Best practices voor beveiliging van Azure Identity Management en toegangsbeheer

  • Artikel
  • 23 minuten om te lezen

In dit artikel bespreken we een verzameling van best practices voor azure-identiteitsbeheer en toegangsbeheerbeveiliging. Deze best practices zijn afgeleid van onze ervaring met Azure AD en de ervaringen van klanten zoals uzelf.

Voor elke best practice leggen we het volgende uit:

  • Wat de best practice is
  • Waarom u deze functie wilt best practice
  • Wat kan het resultaat zijn als u de best practice
  • Mogelijke alternatieven voor de best practice
  • Hoe u kunt leren hoe u de best practice

Dit artikel best practices voor beveiliging voor identiteitsbeheer en toegangsbeheer van Azure is gebaseerd op een consensus-mening en mogelijkheden en functiesets van het Azure-platform, zoals deze bestaan op het moment dat dit artikel werd geschreven.

De bedoeling van het schrijven van dit artikel is om een algemeen schema te bieden voor een robuuster beveiligingsstatus na de implementatie, begeleid door onze controlelijst'5 stappenvoor het beveiligen van uw identiteitsinfrastructuur', waarmee u enkele van onze kernfuncties en -services doorloopt.

Adviezen en technologieën veranderen in de tijd. Dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.

De best practices voor beveiliging voor identiteitsbeheer en toegangsbeheer van Azure die in dit artikel worden besproken, zijn onder andere:

  • Identiteit behandelen als de primaire beveiligingsperimeter
  • Identiteitsbeheer centraliseren
  • Verbonden tenants beheren
  • Eenmalige aanmelding inschakelen
  • Voorwaardelijke toegang in te stellen
  • Routinematige beveiligingsverbeteringen plannen
  • Wachtwoordbeheer inschakelen
  • Meervoudige verificatie afdwingen voor gebruikers
  • Op rollen gebaseerd toegangsbeheer gebruiken
  • Minder blootstelling van bevoegde accounts
  • Locaties beheren waar resources zich bevinden
  • Azure AD gebruiken voor opslagverificatie

Identiteit behandelen als de primaire beveiligingsperimeter

Veel mensen beschouwen identiteit als de primaire perimeter voor beveiliging. Dit is een verschuiving van de traditionele focus op netwerkbeveiliging. Netwerkperimeters worden steeds moeilijker en die perimeterverdediging kan niet zo effectief zijn als vóór de explosieve van BYOD-apparaten en cloudtoepassingen.

Azure Active Directory (Azure AD) is de Azure-oplossing voor identiteits- en toegangsbeheer. Azure AD is een multitenant directory- en identiteitsbeheerservice in de cloud van Microsoft. Het combineert belangrijke directoryservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging in één oplossing.

In de volgende secties worden de best practices voor identiteits- en toegangsbeveiliging met behulp van Azure AD vermeld.

Best practice: besturingselementen en detecties van beveiliging rondom gebruikers- en service-identiteiten centeren. Detail: Gebruik Azure AD om co-ocates van besturingselementen en identiteiten uit te voeren.

Identiteitsbeheer centraliseren

In een hybride identiteitsscenario wordt u aangeraden uw on-premises en clouddirecties te integreren. Integratie stelt uw IT-team in staat om accounts vanaf één locatie te beheren, ongeacht waar een account wordt gemaakt. Integratie helpt uw gebruikers ook productiever te zijn door een gemeenschappelijke identiteit te bieden voor toegang tot zowel cloudresources als on-premises resources.

Best practice: Eén Azure AD-exemplaar tot stand brengen. Consistentie en één gezaghebbende bron vergroten de duidelijkheid en verminderen de beveiligingsrisico's van menselijke fouten en de complexiteit van de configuratie. Detail: wijs één Azure AD-directory aan als gezaghebbende bron voor zakelijke en organisatieaccounts.

Best practice: integreer uw on-premises directories met Azure AD.
Detail: Gebruik Azure AD Verbinding maken om uw on-premises directory te synchroniseren met uw clouddirectory.

Notitie

Er zijn factoren die van invloed zijn op de prestaties van Azure AD Verbinding maken. Zorg ervoor dat Azure AD Verbinding maken voldoende capaciteit heeft om te voorkomen dat slecht presterende systemen de beveiliging en productiviteit in de weg staan. Grote of complexe organisaties (organisaties die meer dan 100.000 objecten inrichten) moeten de aanbevelingen volgen om hun Azure AD-Verbinding maken optimaliseren.

Best practice: synchroniseer geen accounts met Azure AD met hoge bevoegdheden in uw bestaande Active Directory-exemplaar. Detail: wijzig de standaardconfiguratie van Azure AD Verbinding maken deze accounts worden gefilterd. Deze configuratie vermindert het risico dat aanvallers vanuit de cloud naar on-premises assets draaien (waardoor een groot incident kan worden aangetroffen).

Best practice: schakel wachtwoord-hashsynchronisatie in.
Detail: Wachtwoord-hashsynchronisatie is een functie die wordt gebruikt voor het synchroniseren van hashes van gebruikerswachtwoords van een on-premises Active Directory-exemplaar naar een Azure AD-exemplaar in de cloud. Deze synchronisatie helpt bij het beveiligen tegen gelekte referenties die opnieuw worden afgespeeld na eerdere aanvallen.

Zelfs als u besluit federatie te gebruiken met Active Directory Federation Services (AD FS) of andere id-providers, kunt u eventueel wachtwoordhashsynchronisatie instellen als back-up voor het geval uw on-premises servers mislukken of tijdelijk niet beschikbaar zijn. Met deze synchronisatie kunnen gebruikers zich aanmelden bij de service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory exemplaar. Identity Protection kan ook verdachte referenties detecteren door gesynchroniseerde wachtwoordhashes te vergelijken met bekende wachtwoorden, als een gebruiker hetzelfde e-mailadres en hetzelfde wachtwoord heeft gebruikt voor andere services die niet zijn verbonden met Azure AD.

Zie Synchronisatie van wachtwoordhashsynchronisatie met Azure AD implementeren Verbinding maken synchronisatie voor meer informatie.

Best practice: voor het ontwikkelen van nieuwe toepassingen gebruikt u Azure AD voor verificatie. Detail: gebruik de juiste mogelijkheden om verificatie te ondersteunen:

  • Azure AD voor werknemers
  • Azure AD B2B voor gastgebruikers en externe partners
  • Azure AD B2C hoe klanten zich registreren, aanmelden en hun profielen beheren wanneer ze uw toepassingen gebruiken

Organisaties die hun on-premises identiteit niet integreren met hun cloudidentiteit, kunnen meer overhead hebben bij het beheren van accounts. Deze overhead verhoogt de kans op fouten en beveiligingsschending.

Notitie

U moet kiezen in welke directories kritieke accounts zich bevinden en of het gebruikte beheerwerkstation wordt beheerd door nieuwe cloudservices of bestaande processen. Het gebruik van bestaande beheer- en identiteits inrichtingsprocessen kan enkele risico's verminderen, maar kan ook het risico creëren dat een aanvaller een on-premises account in gevaar zal brengen en naar de cloud kan draaien. Mogelijk wilt u een andere strategie gebruiken voor verschillende rollen (bijvoorbeeld IT-beheerders versus business unit-beheerders). U hebt twee opties. De eerste optie is het maken van Azure AD-accounts die niet zijn gesynchroniseerd met uw on-premises Active Directory-exemplaar. Voeg uw beheerwerkstation toe aan Azure AD, dat u kunt beheren en patchen met behulp van Microsoft Intune. De tweede optie is om bestaande beheerdersaccounts te gebruiken door deze te synchroniseren met uw on-premises Active Directory exemplaar. Gebruik bestaande werkstations in uw Active Directory-domein voor beheer en beveiliging.

Verbonden tenants beheren

Uw beveiligingsorganisatie heeft zichtbaarheid nodig om risico's te beoordelen en om te bepalen of het beleid van uw organisatie en eventuele wettelijke vereisten worden gevolgd. Zorg ervoor dat uw beveiligingsorganisatie inzicht heeft in alle abonnementen die zijn verbonden met uw productieomgeving en netwerk (via Azure ExpressRoute of site-naar-site VPN). Een globale beheerder in Azure AD kan de toegang tot de rol Gebruikerstoegangbeheerder verhogen en alle abonnementen en beheerde groepen zien die zijn verbonden met uw omgeving.

Zie Toegang verhogen om alle Azure-abonnementen en -beheergroepen te beheren om ervoor te zorgen dat u en uw beveiligingsgroep alle abonnementen of beheergroepen kunnen weergeven die zijn verbonden met uw omgeving. U moet deze verhoogde toegang verwijderen nadat u de risico's hebt beoordeeld.

Eenmalige aanmelding inschakelen

In een wereld waarin alles mobiel en cloud is, wilt u vanaf elke locatie eenmalige aanmelding (SSO) inschakelen voor apparaten, apps en services, zodat uw gebruikers overal en altijd productief kunnen zijn. Wanneer u meerdere identiteitsoplossingen moet beheren, wordt dit niet alleen een beheerprobleem voor IT, maar ook voor gebruikers die meerdere wachtwoorden moeten onthouden.

Door dezelfde identiteitsoplossing te gebruiken voor al uw apps en resources, kunt u eenmalige aanmelding bereiken. En uw gebruikers kunnen dezelfde set referenties gebruiken om zich aan te melden en toegang te krijgen tot de resources die ze nodig hebben, ongeacht of de resources zich on-premises of in de cloud bevinden.

Best practice: SSO inschakelen.
Detail: Azure AD breidt on-premises Active Directory uit naar de cloud. Gebruikers kunnen hun primaire werk- of schoolaccount gebruiken voor hun apparaten die lid zijn van een domein, bedrijfsbronnen en alle web- en SaaS-toepassingen die ze nodig hebben om hun werk gedaan te krijgen. Gebruikers hoeven niet meerdere sets gebruikersnamen en wachtwoorden te onthouden en de toegang tot hun toepassing kan automatisch worden ingericht (of de inrichting ervan wordt beëindigd) op basis van de groepslidmaatschap van hun organisatie en hun status als werknemer. En u kunt deze toegang beheren voor galerie-apps of voor uw eigen on-premises apps die u hebt ontwikkeld en gepubliceerd via de Azure AD-toepassingsproxy.

Gebruik eenmalige aanmelding om gebruikers toegang te geven tot hun SaaS-toepassingen op basis van hun werk- of schoolaccount in Azure AD. Dit is niet alleen van toepassing op SaaS-apps van Microsoft, maar ook op andere apps, zoals Google Apps en Salesforce. U kunt uw toepassing configureren voor het gebruik van Azure AD als een op SAML gebaseerde id-provider. Als beveiligingscontrole geeft Azure AD geen token uit waarmee gebruikers zich kunnen aanmelden bij de toepassing, tenzij ze toegang hebben gekregen via Azure AD. U kunt rechtstreeks toegang verlenen of via een groep waar gebruikers lid van zijn.

Organisaties die geen gemeenschappelijke identiteit maken om eenmalige aanmelding voor hun gebruikers en toepassingen tot stand te gebracht, zijn meer blootgesteld aan scenario's waarin gebruikers meerdere wachtwoorden hebben. Deze scenario's vergroten de kans dat gebruikers wachtwoorden opnieuw gebruiken of zwakke wachtwoorden gebruiken.

Voorwaardelijke toegang in te stellen

Gebruikers hebben vanaf elke locatie toegang tot de resources van uw organisatie met behulp van verschillende apparaten en apps. Als IT-beheerder wilt u ervoor zorgen dat deze apparaten voldoen aan uw normen voor beveiliging en naleving. Alleen focussen op wie toegang heeft tot een resource is niet meer voldoende.

Voor een goede balans tussen beveiliging en productiviteit moet u nadenken over hoe een resource wordt gebruikt voordat u een beslissing kunt nemen over toegangsbeheer. Met voorwaardelijke toegang van Azure AD kunt u aan deze vereiste voldoen. Met voorwaardelijke toegang kunt u geautomatiseerde beslissingen voor toegangsbeheer nemen op basis van voorwaarden voor toegang tot uw cloud-apps.

Best practice: Beheer en beheer de toegang tot bedrijfsresources.
Details: algemene beleidsregels voor voorwaardelijke toegang van Azure AD configureren op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en met Azure AD verbonden apps.

Best practice: verouderde verificatieprotocollen blokkeren. Detail: aanvallers maken elke dag gebruik van zwakke plekken in oudere protocollen, met name voor wachtwoordsprayaanvallen. Configureer voorwaardelijke toegang om verouderde protocollen te blokkeren.

Routinematige beveiligingsverbeteringen plannen

Beveiliging is altijd in ontwikkeling en het is belangrijk om in uw cloud- en identiteitsbeheerkader een manier te bouwen om regelmatig groei te laten zien en nieuwe manieren te ontdekken om uw omgeving te beveiligen.

Identiteitsbeveiligingsscore is een set aanbevolen beveiligingscontroles die Microsoft publiceert en die u een numerieke score biedt om uw beveiligingsstatus te meten en toekomstige beveiligingsverbeteringen te plannen. U kunt uw score ook weergeven in vergelijking met die in andere branches, evenals uw eigen trends in de tijd.

Best practice: plan routinematige beveiligingsbeoordelingen en verbeteringen op basis van best practices in uw branche. Detail: gebruik de functie Identity Secure Score om uw verbeteringen in de toekomst te rangschikken.

Wachtwoordbeheer inschakelen

Als u meerdere tenants hebt of als u wilt dat gebruikers hun eigen wachtwoorden opnieuw kunnen instellen,is het belangrijk dat u het juiste beveiligingsbeleid gebruikt om misbruik te voorkomen.

Best practice: stel self-service voor wachtwoord opnieuw instellen (SSPR) in voor uw gebruikers.
Detail: gebruik de selfservice voor wachtwoord opnieuw instellen van Azure AD.

Best practice: controleer hoe of SSPR echt wordt gebruikt.
Detail: bemonitor de gebruikers die zich registreren met behulp van het rapport Azure AD Password Reset Registration Activity. De rapportagefunctie van Azure AD helpt u bij het beantwoorden van vragen met behulp van vooraf gebouwde rapporten. Als u de juiste licentie hebt, kunt u ook aangepaste query's maken.

Best practice: breid wachtwoordbeleid in de cloud uit naar uw on-premises infrastructuur. Detail: verbeter het wachtwoordbeleid in uw organisatie door dezelfde controles uit te voeren op on-premises wachtwoordwijzigingen als voor cloudgebaseerde wachtwoordwijzigingen. Installeer Azure AD-wachtwoordbeveiliging Windows Server Active Directory on-premises agents om lijsten met verboden wachtwoorden uit te breiden naar uw bestaande infrastructuur. Gebruikers en beheerders die on-premises wachtwoorden wijzigen, instellen of opnieuw instellen, moeten voldoen aan hetzelfde wachtwoordbeleid als cloudgebruikers.

Meervoudige verificatie afdwingen voor gebruikers

U wordt aangeraden verificatie in twee stappen te vereisen voor al uw gebruikers. Dit geldt ook voor beheerders en anderen in uw organisatie die een aanzienlijke invloed kunnen hebben als hun account is aangetast (bijvoorbeeld financieel medewerker).

Er zijn meerdere opties voor het vereisen van verificatie in twee stappen. De beste optie voor u is afhankelijk van uw doelen, de Azure AD-editie die u gebruikt en uw licentieprogramma. Zie Verificatie in twee stappen vereisen voor een gebruiker om de beste optie voor u te bepalen. Zie de pagina's met prijzen voor Azure AD en Azure AD Multi-Factor Authentication voor meer informatie over licenties en prijzen.

Hieronder volgen opties en voordelen voor het inschakelen van verificatie in twee stappen:

Optie 1: MFA inschakelen voor alle gebruikers en aanmeldingsmethoden met Azure AD Security Defaults Benefit: met deze optie kunt u eenvoudig en snel MFA afdwingen voor alle gebruikers in uw omgeving met een streng beleid voor:

  • Beheeraccounts en beheermechanismen voor aanmelding op de uitdaging
  • MFA-uitdaging vereisen via Microsoft Authenticator voor alle gebruikers
  • Verouderde verificatieprotocollen beperken.

Deze methode is beschikbaar voor alle licentielagen, maar kan niet worden gecombineerd met bestaand beleid voor voorwaardelijke toegang. Meer informatie vindt u in Standaardinstellingen voor Azure AD-beveiliging

Optie 2: Schakel Multi-Factor Authentication in door de gebruikerstoestand te wijzigen.
Voordeel: dit is de traditionele methode voor het vereisen van verificatie in twee stappen. Het werkt met zowel Azure AD Multi-Factor Authentication in de cloud als Azure Multi-Factor Authentication-server. Als u deze methode gebruikt, moeten gebruikers elke keer dat ze zich aanmelden verificatie in twee stappen uitvoeren en het beleid voor voorwaardelijke toegang overschrijven.

Zie Welke versie van Azure AD MFA ishet beste voor mijn organisatie? om te bepalen waar Multi-Factor Authentication moet worden ingeschakeld.

Optie 3: Schakel Multi-Factor Authentication in met beleid voor voorwaardelijke toegang. Voordeel: met deze optie kunt u vragen om verificatie in twee stappen onder specifieke voorwaarden met behulp van voorwaardelijke toegang. Specifieke voorwaarden kunnen gebruikersaan melden vanaf verschillende locaties, niet-vertrouwde apparaten of toepassingen die u als riskant beschouwt. Als u specifieke voorwaarden definieert waarin verificatie in twee stappen is vereist, kunt u voorkomen dat uw gebruikers constant worden gevraagd. Dit kan een onprettig gebruikerservaring zijn.

Dit is de meest flexibele manier om verificatie in twee stappen in te stellen voor uw gebruikers. Het inschakelen van een beleid voor voorwaardelijke toegang werkt alleen voor Azure AD Multi-Factor Authentication in de cloud en is een premium-functie van Azure AD. U vindt meer informatie over deze methode in Cloudgebaseerde Azure AD Multi-Factor Authentication implementeren.

Optie 4: Schakel Multi-Factor Authentication met beleid voor voorwaardelijke toegang in door op risico gebaseerd beleid voor voorwaardelijketoegang te evalueren.
Benefit: met deze optie kunt u het volgende doen:

  • Mogelijke beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie.
  • Configureer geautomatiseerde reacties op gedetecteerde verdachte acties die zijn gerelateerd aan de identiteiten van uw organisatie.
  • Verdachte incidenten onderzoeken en passende actie ondernemen om deze op te lossen.

Deze methode maakt gebruik van Azure AD Identity Protection evaluatie van risico's om te bepalen of verificatie in twee stappen is vereist op basis van gebruikers- en aanmeldingsrisico's voor alle cloudtoepassingen. Voor deze methode is Azure Active Directory P2-licentie vereist. U vindt meer informatie over deze methode in Azure Active Directory Identity Protection.

Notitie

Optie 2, waarbij Multi-Factor Authentication wordt inschakelen door de gebruikerstoestand te wijzigen, overschrijven de beleidsregels voor voorwaardelijke toegang. Omdat de opties 3 en 4 beleidsregels voor voorwaardelijke toegang gebruiken, kunt u optie 2 niet gebruiken.

Organisaties die geen extra lagen van identiteitsbeveiliging toevoegen, zoals verificatie in twee stappen, zijn vatbaarder voor aanvallen op referentiediefstal. Een aanval op referentiediefstal kan leiden tot gegevensinbraken.

Op rollen gebaseerd toegangsbeheer gebruiken

Toegangsbeheer voor cloudbronnen is essentieel voor elke organisatie die gebruikmaakt van de cloud. Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u beheren wie toegang heeft tot Azure-resources, wat ze kunnen doen met deze resources en tot welke gebieden ze toegang hebben.

Door groepen of afzonderlijke rollen aan te geven die verantwoordelijk zijn voor specifieke functies in Azure, voorkomt u verwarring die kan leiden tot menselijke en automatiseringsfouten die beveiligingsrisico's met zich meebrengen. Het beperken van toegang op basis van de beveiligingsprincipes voor de noodzaak tot en met de minste bevoegdheden is van cruciaal belang voor organisaties die beveiligingsbeleid voor gegevenstoegang willen afdwingen.

Uw beveiligingsteam moet inzicht hebben in uw Azure-resources om risico's te kunnen beoordelen en verhelpen. Als het beveiligingsteam operationele verantwoordelijkheden heeft, hebben ze extra machtigingen nodig om hun taken uit te voeren.

U kunt Azure RBAC gebruiken om machtigingen toe te wijzen aan gebruikers, groepen en toepassingen met een bepaald bereik. Het bereik van een roltoewijzing kan een abonnement, een resourcegroep of een enkele resource zijn.

Best practice: taken scheiden binnen uw team en alleen de hoeveelheid toegang verlenen aan gebruikers die ze nodig hebben om hun taken uit te voeren. In plaats van iedereen onbeperkte machtigingen te verlenen in uw Azure-abonnement of -resources, staat u alleen bepaalde acties toe voor een bepaald bereik. Detail: gebruik ingebouwde Azure-rollen in Azure om bevoegdheden toe te wijzen aan gebruikers.

Notitie

Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring, die zich opstapelt in een 'verouderde' configuratie die moeilijk te herstellen is zonder dat u bang bent iets te verbreken. Vermijd resourcespecifieke bevoegdheden. Gebruik in plaats daarvan beheergroepen voor bedrijfsbrede machtigingen en resourcegroepen voor machtigingen binnen abonnementen. Vermijd gebruikersspecifieke machtigingen. Wijs in plaats daarvan toegang toe aan groepen in Azure AD.

Best practice: verleen beveiligingsteams met Azure-verantwoordelijkheden toegang om Azure-resources te bekijken, zodat ze risico's kunnen beoordelen en verhelpen. Detail: verleen beveiligingsteams de rol Azure RBAC-beveiligingslezer. U kunt de hoofdbeheergroep of de segmentbeheergroep gebruiken, afhankelijk van het bereik van verantwoordelijkheden:

  • Hoofdbeheergroep voor teams die verantwoordelijk zijn voor alle bedrijfsbronnen
  • Segmentbeheergroep voor teams met een beperkt bereik (meestal vanwege regelgeving of andere organisatiegrenzen)

Best practice: verleen beveiligingsteams met directe operationele verantwoordelijkheden de juiste machtigingen. Detail: Controleer de ingebouwde Azure-rollen voor de juiste roltoewijzing. Als de ingebouwde rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u aangepaste Azure-rollen maken. Net als bij ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals op abonnements-, resourcegroep- en resourcebereiken.

Best practices: Verleen Microsoft Defender for Cloud toegang tot beveiligingsrollen die deze nodig hebben. Met Defender for Cloud kunnen beveiligingsteams snel risico's identificeren en verhelpen. Detail: voeg beveiligingsteams met deze behoeften toe aan de azure RBAC-beveiligingsbeheerdersrol, zodat ze beveiligingsbeleidsregels kunnen bekijken, beveiligingsbeleid kunnen bekijken, beveiligingsbeleid kunnen bewerken, waarschuwingen en aanbevelingen kunnen bekijken en waarschuwingen en aanbevelingen kunnen afwijzen. U kunt dit doen met behulp van de hoofdbeheergroep of de segmentbeheergroep, afhankelijk van het bereik van de verantwoordelijkheden.

Organisaties die geen toegangsbeheer voor gegevens afdwingen met behulp van mogelijkheden zoals Azure RBAC, geven hun gebruikers mogelijk meer bevoegdheden dan nodig is. Dit kan leiden tot gegevenscompromitteerd doordat gebruikers toegang hebben tot typen gegevens (bijvoorbeeld hoge bedrijfsimpact) die ze niet mogen hebben.

Minder blootstelling van bevoegde accounts

Het beveiligen van bevoegde toegang is een essentiële eerste stap bij het beveiligen van bedrijfsactiva. Door het aantal personen te minimaliseren dat toegang heeft tot beveiligde informatie of resources, wordt de kans verkleind dat een kwaadwillende gebruiker toegang krijgt of dat een geautoriseerde gebruiker per ongeluk een gevoelige resource beïnvloedt.

Bevoegde accounts zijn accounts die IT-systemen beheren en beheren. Cyberaanvallen richten zich op deze accounts om toegang te krijgen tot de gegevens en systemen van een organisatie. Om bevoegde toegang te beveiligen, moet u de accounts en systemen isoleren van het risico van blootstelling aan een kwaadwillende gebruiker.

U wordt aangeraden een roadmap te ontwikkelen en te volgen om bevoegde toegang tegen cyberaanvallen te beveiligen. Voor informatie over het maken van een gedetailleerd schema voor het beveiligen van identiteiten en toegang die worden beheerd of gerapporteerd in Azure AD, Microsoft Azure, Microsoft 365 en andere cloudservices, bekijkt u Bevoorrechte toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD.

Hieronder vindt u een overzicht van de best practices in Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD:

Best practice: toegang tot bevoegde accounts beheren, beheren en bewaken.
Detail: Schakel Azure AD-Privileged Identity Management. Nadat u de functie Privileged Identity Management, ontvangt u e-mailberichten met meldingen over wijzigingen in de rol met bevoegde toegang. Deze meldingen geven een vroegtijdige waarschuwing wanneer extra gebruikers worden toegevoegd aan zeer bevoorrechte rollen in uw directory.

Best practice: zorg ervoor dat alle kritieke beheerdersaccounts beheerde Azure AD-accounts zijn. Detail: verwijder alle consumentenaccounts uit kritieke beheerdersrollen (bijvoorbeeld Microsoft-accounts zoals hotmail.com, live.com en outlook.com).

Best practice: zorg ervoor dat alle kritieke beheerdersrollen een afzonderlijk account hebben voor beheertaken om phishing en andere aanvallen te voorkomen om beheerdersbevoegdheden in gevaar te brengen. Detail: maak een afzonderlijk beheerdersaccount met de bevoegdheden die nodig zijn om de beheertaken uit te voeren. Blokkeer het gebruik van deze beheerdersaccounts voor dagelijkse productiviteitshulpprogramma's, Microsoft 365 e-mail of willekeurig surfen op internet.

Best practice: identificeer en categoriseer accounts met zeer bevoorrechte rollen.
Detail: nadat u Azure AD-Privileged Identity Management, kunt u de gebruikers weergeven die de rol globale beheerder, beheerder met bevoorrechte rollen en andere zeer bevoorrechte rollen hebben. Verwijder accounts die niet meer nodig zijn in deze rollen en categoriseer de resterende accounts die zijn toegewezen aan beheerdersrollen:

  • Afzonderlijk toegewezen aan gebruikers met beheerdersaccounts en kunnen worden gebruikt voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
  • Alleen voor administratieve doeleinden afzonderlijk toegewezen aan gebruikers met beheerders beheerders toegewezen
  • Gedeeld door meerdere gebruikers
  • Voor scenario's voor toegang in noodgevallen
  • Voor geautomatiseerde scripts
  • Voor externe gebruikers

Best practice: Implementeert JIT-toegang (Just-In-Time) om de blootstellingstijd van bevoegdheden verder te verlagen en uw zichtbaarheid in het gebruik van bevoegde accounts te vergroten.
Detail: met Azure AD Privileged Identity Management u het volgende:

  • Beperk gebruikers om alleen hun BEVOEGDHEDEN JIT aan te nemen.
  • Wijs rollen toe voor een kortere duur met de zekerheid dat de bevoegdheden automatisch worden ingetrokken.

Best practice: definieer ten minste twee accounts voor toegang in noodgevallen.
Detail: accounts voor toegang in noodgevallen helpen organisaties om bevoegde toegang in een bestaande Azure Active Directory beperken. Deze accounts hebben een hoge bevoegdheden en zijn niet toegewezen aan specifieke personen. Accounts voor toegang in noodgevallen zijn beperkt tot scenario's waarin normale beheerdersaccounts niet kunnen worden gebruikt. Organisaties moeten het gebruik van het noodaccount beperken tot alleen de benodigde tijd.

Evalueer de accounts die zijn toegewezen aan of in aanmerking komen voor de rol van globale beheerder. Als u geen cloudaccounts ziet die gebruikmaken van het domein (bedoeld voor *.onmicrosoft.com toegang in noodgevallen), maakt u deze. Zie Beheerdersaccounts voor noodtoegang beheren in Azure AD voor meer informatie.

Best practice: gebruik een 'break glass'-proces in geval van nood. Detail: volg de stappen in Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD.

Best practice: vereisen dat alle kritieke beheerdersaccounts zonder wachtwoord zijn (voorkeur) of Multi-Factor Authentication vereisen. Detail: gebruik de Microsoft Authenticator-app om u aan te melden bij een Azure AD-account zonder een wachtwoord te gebruiken. Net als Windows Hello for Businessmaakt de Microsoft Authenticator gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat en biometrische verificatie of een pincode gebruikt.

Azure AD Multi-Factor Authentication vereisen bij het aanmelden voor alle afzonderlijke gebruikers die permanent zijn toegewezen aan een of meer van de Azure AD-beheerdersrollen: globale beheerder, beheerder met bevoorrechte rol, Exchange Online-beheerder en SharePoint Online-beheerder. Schakel Multi-Factor Authentication in voor uw beheerdersaccounts en zorg ervoor dat gebruikers van beheerdersaccounts zich hebben geregistreerd.

Best practice: voor kritieke beheerdersaccounts hebt u een beheerwerkstation waar productietaken niet zijn toegestaan (bijvoorbeeld bladeren en e-mail). Dit beschermt uw beheerdersaccounts tegen aanvalsvectoren die gebruikmaken van bladeren en e-mail en vermindert het risico op een groot incident aanzienlijk. Detail: gebruik een beheerwerkstation. Kies een beveiligingsniveau voor werkstations:

  • Uiterst veilige productiviteitsapparaten bieden geavanceerde beveiliging voor browsen en andere productiviteitstaken.
  • Privileged Access Workstations (PAWs) bieden een toegewezen besturingssysteem dat is beveiligd tegen aanvallen via internet en bedreigingsvectoren voor gevoelige taken.

Best practice: deprovision beheerdersaccounts verwijderen wanneer werknemers uw organisatie verlaten. Detail: zorg voor een proces dat beheerdersaccounts uit- of verwijdert wanneer werknemers uw organisatie verlaten.

Best practice: test regelmatig beheerdersaccounts met behulp van de huidige aanvalstechnieken. Detail: gebruik Microsoft 365 Attack Simulator of een aanbieding van derden om realistische aanvalsscenario's in uw organisatie uit te voeren. Dit kan u helpen om kwetsbare gebruikers te vinden voordat er een echte aanval plaatsvindt.

Best practice: neem stappen om de meest gebruikte aangevallen technieken te beperken.
Detail: Microsoft-accounts in beheerdersrollen identificeren die moeten worden overgeschakeld naar werk- of schoolaccounts

Zorg voor afzonderlijke gebruikersaccounts en doorsturen via e-mail voor globale beheerdersaccounts

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Wachtwoord-hashsynchronisatie in-

Multi-Factor Authentication vereisen voor gebruikers met alle bevoorrechte rollen en voor gebruikers die worden blootgesteld

Uw Microsoft 365 verkrijgen (als u Microsoft 365)

Lees de Microsoft 365 voor beveiliging (als u Microsoft 365)

Bewaking van Microsoft 365-activiteit configureren (als u Microsoft 365)

Eigenaren van plan voor incident-/noodrespons vaststellen

Bevoorrechte on-premises beheerdersaccounts beveiligen

Als u bevoegde toegang niet beveiligt, is het mogelijk dat u te veel gebruikers met een zeer bevoorrechte rol hebt en kwetsbaarder bent voor aanvallen. Kwaadwillende actoren, waaronder cyberaanvallen, richten zich vaak op beheerdersaccounts en andere elementen van bevoegde toegang om toegang te krijgen tot gevoelige gegevens en systemen door diefstal van referenties te gebruiken.

Locaties beheren waar resources worden gemaakt

Cloudoperators in staat stellen taken uit te voeren terwijl wordt voorkomen dat ze conventies verbreken die nodig zijn voor het beheren van de resources van uw organisatie, is erg belangrijk. Organisaties die de locaties willen beheren waar resources worden gemaakt, moeten deze locaties in code code schrijven.

U kunt deze Azure Resource Manager om beveiligingsbeleid te maken waarvan de definities de acties of resources beschrijven die specifiek worden geweigerd. U wijst deze beleidsdefinities toe op het gewenste bereik, zoals het abonnement, de resourcegroep of een afzonderlijke resource.

Notitie

Beveiligingsbeleid is niet hetzelfde als Azure RBAC. Ze gebruiken In feite Azure RBAC om gebruikers te machtigen om deze resources te maken.

Organisaties die niet beheren hoe resources worden gemaakt, zijn kwetsbaarder voor gebruikers die de service kunnen misbruiken door meer resources te maken dan nodig is. Het proces voor het maken van resources beveiligen is een belangrijke stap bij het beveiligen van een multitenant-scenario.

Actief controleren op verdachte activiteiten

Een actief identiteitscontrolesysteem kan snel verdacht gedrag detecteren en een waarschuwing activeren voor verder onderzoek. De volgende tabel bevat twee Azure AD-mogelijkheden die organisaties kunnen helpen bij het bewaken van hun identiteiten:

Best practice: u hebt een methode om het volgende te identificeren:

Detail: gebruik Azure AD Premium anomalierapporten. Laat it-beheerders deze rapporten dagelijks of op aanvraag uitvoeren (meestal in een scenario voor het reageren op incidenten).

Best practice: een actief bewakingssysteem hebben dat u op de hoogte stelt van risico's en het risiconiveau (hoog, gemiddeld of laag) kan aanpassen aan uw bedrijfsvereisten.
Detail: gebruik Azure AD Identity Protection, waarmee de huidige risico's op het eigen dashboard worden gevlagd en dagelijkse samenvattingsmeldingen via e-mail worden verzonden. Als u de identiteiten van uw organisatie wilt beveiligen, kunt u op risico's gebaseerd beleid configureren dat automatisch reageert op gedetecteerde problemen wanneer een opgegeven risiconiveau wordt bereikt.

Organisaties die hun identiteitssystemen niet actief bewaken, lopen het risico dat gebruikersreferenties worden gecompromitteerd. Zonder kennis dat er verdachte activiteiten plaatsvinden via deze referenties, kunnen organisaties dit type bedreiging niet beperken.

Azure AD gebruiken voor opslagverificatie

Azure Storage ondersteunt verificatie en autorisatie met Azure AD voor Blob Storage en Queue Storage. Met Azure AD-verificatie kunt u op rollen gebaseerd toegangsbeheer van Azure gebruiken om specifieke machtigingen te verlenen aan gebruikers, groepen en toepassingen tot het bereik van een afzonderlijke blobcontainer of wachtrij.

U wordt aangeraden Azure AD te gebruiken voor het authenticeren van toegang tot opslag.

Volgende stap

Zie Best practices en patronen voor Azure-beveiliging voor meer best practices voor beveiliging die u kunt gebruiken bij het ontwerpen, implementeren en beheren van uw cloudoplossingen met behulp van Azure.