Best practices voor Operationele beveiliging van Azure

Dit artikel bevat een aantal operationele best practices voor het beveiligen van uw gegevens, toepassingen en andere assets in Azure.

De best practices zijn gebaseerd op een consensus van mening en werken met de huidige mogelijkheden en functiesets van het Azure-platform. Adviezen en technologieën veranderen in de tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.

Krachtige operationele beveiligingsprocedures definiëren en implementeren

Operationele beveiliging van Azure verwijst naar de services, besturingselementen en functies die beschikbaar zijn voor gebruikers voor het beveiligen van hun gegevens, toepassingen en andere assets in Azure. Operationele beveiliging van Azure is gebaseerd op een framework dat gebruikmaakt van de kennis die is opgedaan via mogelijkheden die uniek zijn voor Microsoft, waaronder de Security Development Lifecycle (SDL),het Microsoft Security Response Center-programma en een diepgaande kennis van het bedreigingslandschap voor cyberbeveiliging.

Gebruikerswachtwoorden beheren en bewaken

De volgende tabel bevat een aantal best practices met betrekking tot het beheren van gebruikerswachtwoorden:

Best practice:zorg ervoor dat u het juiste niveau van wachtwoordbeveiliging in de cloud hebt.
Detail:volg de richtlijnen in Microsoft Password Guidance (Richtlijnenvoor Microsoft-wachtwoorden), die zijn ingesteld op gebruikers van de Microsoft-identiteitsplatforms (Azure Active Directory, Active Directory en Microsoft-account).

Best practice:controleer op verdachte acties met betrekking tot uw gebruikersaccounts.
Detail:Controleer op gebruikers die risico lopen en riskante aanmeldingen met behulp van Azure AD-beveiligingsrapporten.

Best practice:automatisch wachtwoorden met een hoog risico detecteren en herstellen.
Detail:Azure AD Identity Protection is een functie van de Azure AD Premium P2-editie waarmee u het volgende kunt doen:

  • Mogelijke beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie
  • Geautomatiseerde reacties configureren op gedetecteerde verdachte acties die zijn gerelateerd aan de identiteiten van uw organisatie
  • Verdachte incidenten onderzoeken en passende acties ondernemen om deze op te lossen

Incidentmeldingen ontvangen van Microsoft

Zorg ervoor dat uw beveiligingsteam Azure-incidentmeldingen ontvangt van Microsoft. Een incidentmelding laat uw beveiligingsteam weten dat u Azure-resources hebt aangetast, zodat deze snel kunnen reageren op mogelijke beveiligingsrisico's en deze kunnen verhelpen.

In de Azure-inschrijvingsportal kunt u ervoor zorgen dat contactgegevens van beheerders details bevatten die beveiligingsbewerkingen melden. Contactgegevens zijn een e-mailadres en telefoonnummer.

Azure-abonnementen organiseren in beheergroepen

Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U ordent abonnementen in containers die beheergroepen worden genoemd en u en past uw governancevoorwaarden toe op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast.

U kunt een flexibele structuur van beheergroepen en abonnementen in een map inbouwen. Elke directory krijgt één beheergroep op het hoogste niveau, de hoofdbeheergroep. Deze hoofdbeheergroep is zo in de hiërarchie ingebouwd dat alle beheergroepen en abonnementen hierin zijn opgevouwen. Met de hoofdbeheergroep kunnen globale beleidsregels en Azure-roltoewijzingen worden toegepast op mapniveau.

Hier volgen enkele best practices voor het gebruik van beheergroepen:

Best practice:zorg ervoor dat nieuwe abonnementen governance-elementen zoals beleidsregels en machtigingen toepassen wanneer ze worden toegevoegd.
Detail:gebruik de hoofdbeheergroep om beveiligingselementen voor de hele onderneming toe te wijzen die van toepassing zijn op alle Azure-assets. Beleidsregels en machtigingen zijn voorbeelden van elementen.

Best practice:Lijn de bovenste niveaus van beheergroepen uit met segmentatiestrategie om een punt te bieden voor controle en beleidsconsistentie binnen elk segment.
Detail:maak één beheergroep voor elk segment onder de hoofdbeheergroep. Maak geen andere beheergroepen in de hoofdmap.

Best practice:beperk de diepte van de beheergroep om verwarring te voorkomen die leidt tot zowel bewerkingen als beveiliging.
Detail:beperk uw hiërarchie tot drie niveaus, waaronder de hoofdmap.

Best practice:selecteer zorgvuldig welke items u wilt toepassen op de hele onderneming met de hoofdbeheergroep.
Detail:zorg ervoor dat elementen van de hoofdbeheergroep duidelijk moeten worden toegepast op elke resource en dat ze weinig impact hebben.

Goede kandidaten zijn onder andere:

  • Wettelijke vereisten die een duidelijke bedrijfsimpact hebben (bijvoorbeeld beperkingen met betrekking tot gegevenssoevereiniteit)
  • Vereisten met bijna nul potentiële negatieve gevolgen voor bewerkingen, zoals beleid met controle-effect of Azure RBAC-machtigingstoewijzingen die zorgvuldig zijn gecontroleerd

Best practice:plan en test alle wijzigingen voor het hele bedrijf zorgvuldig in de hoofdbeheergroep voordat u ze gaat toepassen (beleid, Azure RBAC-model, etc.).
Detail:wijzigingen in de hoofdbeheergroep kunnen van invloed zijn op elke resource in Azure. Hoewel ze een krachtige manier bieden om consistentie in de onderneming te garanderen, kunnen fouten of onjuist gebruik een negatieve invloed hebben op productiebewerkingen. Test alle wijzigingen in de hoofdbeheergroep in een testlab of productietest.

Het maken van een omgeving stroomlijnen met blauwdrukken

Met de Azure Blueprints-service kunnen cloudarchitecten en centrale informatietechnologiegroepen een herhaalbare set Azure-resources definiëren die voldoet aan de normen, patronen en vereisten van een organisatie en deze implementeert. Azure Blueprints maakt het ontwikkelteams mogelijk om snel nieuwe omgevingen te bouwen en op te zetten met een set ingebouwde onderdelen en het vertrouwen dat ze deze omgevingen maken binnen de naleving van de organisatie.

Opslagservices controleren op onverwachte wijzigingen in gedrag

Het diagnosticeren en oplossen van problemen in een gedistribueerde toepassing die wordt gehost in een cloudomgeving kan complexer zijn dan in traditionele omgevingen. Toepassingen kunnen worden geïmplementeerd in een PaaS- of IaaS-infrastructuur, on-premises, op een mobiel apparaat of in een combinatie van deze omgevingen. Het netwerkverkeer van uw toepassing kan openbare en particuliere netwerken doorlopen en uw toepassing kan gebruikmaken van meerdere opslagtechnologieën.

U moet continu de opslagservices bewaken die uw toepassing gebruikt voor onverwachte wijzigingen in het gedrag (zoals tragere reactietijden). Gebruik logboekregistratie om gedetailleerdere gegevens te verzamelen en een probleem uitgebreid te analyseren. De diagnostische gegevens die u opvraagt bij zowel bewaking als logboekregistratie helpen u bij het vaststellen van de hoofdoorzaak van het probleem dat in uw toepassing is aangetroffen. Vervolgens kunt u het probleem oplossen en de juiste stappen bepalen om het probleem op te lossen.

Azure Storage Analytics voert logboekregistratie uit en biedt metrische gegevens voor een Azure-opslagaccount. U wordt aangeraden deze gegevens te gebruiken om aanvragen te traceren, gebruikstrends te analyseren en problemen met uw opslagaccount te diagnosticeren.

Bedreigingen voorkomen, detecteren en hierop reageren

Met Microsoft Defender for Cloud kunt u bedreigingen voorkomen, detecteren en hierop reageren door meer inzicht te bieden in (en controle over) de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders ongemerkt zouden blijven en werkt met verschillende beveiligingsoplossingen.

De gratis laag van Defender for Cloud biedt beperkte beveiliging voor alleen uw Azure-resources. De prijscategorie Standard breidt deze mogelijkheden uit naar on-premises en andere clouds. Defender for Cloud Standard helpt u beveiligingsproblemen te vinden en op te lossen, toegangs- en toepassingsbesturingselementen toe te passen om schadelijke activiteiten te blokkeren, bedreigingen te detecteren met behulp van analyses en informatie en snel te reageren wanneer ze worden aangevallen. U kunt Defender for Cloud Standard de eerste 60 dagen gratis proberen. U wordt aangeraden uw Azure-abonnement te upgraden naar Defender for Cloud Standard.

Gebruik Defender for Cloud om een centraal overzicht te krijgen van de beveiligingstoestand van al uw Azure-resources. Controleer in één oogopslag of de juiste beveiligingscontroles zijn ingesteld en correct zijn geconfigureerd, en identificeer snel resources die aandacht nodig hebben.

Defender for Cloud kan ook worden geïntegreerd met Microsoft Defender Advanced Threat Protection (ATP),dat uitgebreide mogelijkheden voor eindpuntdetectie en -respons (EDR) biedt. Met Microsoft Defender ATP-integratie kunt u afwijkingen herkennen. U kunt ook geavanceerde aanvallen op server-eindpunten detecteren en hierop reageren die worden bewaakt door Defender for Cloud.

Bijna alle bedrijfsorganisaties hebben een SIEM-systeem (Security Information and Event Management) om opkomende bedreigingen te identificeren door logboekgegevens van apparaten voor het verzamelen van diverse signalen samen te consolideren. De logboeken worden vervolgens geanalyseerd door een systeem voor gegevensanalyse om te bepalen wat 'interessant' is aan de ruis die onvermijdelijk is in alle oplossingen voor het verzamelen en analyseren van logboeken.

Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie via waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en geautomatiseerde reactie op bedreigingen.

Hier volgen enkele best practices voor het voorkomen, detecteren en reageren op bedreigingen:

Best practice:verhoog de snelheid en schaalbaarheid van uw SIEM-oplossing met behulp van een SIEM in de cloud.
Detail:onderzoek de functies en mogelijkheden van Microsoft Sentinel en vergelijk deze met de mogelijkheden van wat u momenteel on-premises gebruikt. Overweeg microsoft Sentinel over te nemen als het voldoet aan de SIEM-vereisten van uw organisatie.

Best practice:zoek de ernstigste beveiligingsproblemen, zodat u onderzoek kunt prioriteren.
Detail:controleer uw Azure-beveiligingsscore om de aanbevelingen te zien die het resultaat zijn van het Azure-beleid en de initiatieven die zijn ingebouwd in Microsoft Defender for Cloud. Deze aanbevelingen helpen bij het aanpakken van de belangrijkste risico's, zoals beveiligingsupdates, eindpuntbeveiliging, versleuteling, beveiligingsconfiguraties, ontbrekende WAF, met internet verbonden VM's en nog veel meer.

Met de beveiligingsscore, die is gebaseerd op CIS-besturingselementen (Center for Internet Security), kunt u de Azure-beveiliging van uw organisatie benchmarken op basis van externe bronnen. Externe validatie helpt bij het valideren en verrijken van de beveiligingsstrategie van uw team.

Best practice:beveilig de beveiligingsstatus van machines, netwerken, opslag- en gegevensservices en toepassingen om potentiële beveiligingsproblemen te ontdekken en te prioriteren.
Detail:volg de beveiligingsaanbevelingen in Defender for Cloud, beginnend met de items met de hoogste prioriteit.

Best practice:Integreer Defender for Cloud-waarschuwingen in uw SIEM-oplossing (Security Information and Event Management).
Detail:De meeste organisaties met een SIEM gebruiken deze als een centraal clearinghouse voor beveiligingswaarschuwingen waarvoor een reactie van een analist is vereist. Verwerkte gebeurtenissen die door Defender for Cloud worden geproduceerd, worden gepubliceerd naar het Azure-activiteitenlogboek, een van de logboeken die beschikbaar zijn via Azure Monitor. Azure Monitor biedt een geconsolideerde pijplijn voor het routeren van bewakingsgegevens naar een SIEM-hulpprogramma. Zie Stream alerts to a SIEM, SOAR, or IT Service Management solution (Waarschuwingen streamen naar een SIEM-, SOAR- of IT Service Management-oplossing) voor instructies. Zie Microsoft Defender for Cloud Verbinding maken als u Microsoft Sentinel gebruikt.

Best practice:Integreer Azure-logboeken met uw SIEM.
Detail:gebruik Azure Monitor om gegevens te verzamelen en te exporteren. Deze praktijk is essentieel voor het inschakelen van onderzoek naar beveiligingsincidents en het online bewaren van logboeken is beperkt. Als u Microsoft Sentinel gebruikt, zie Verbinding maken gegevensbronnen.

Best practice:besnel uw onderzoeks- en opsporingsprocessen en verminder het aantal fout-positieven door de mogelijkheden voor eindpuntdetectie en -respons (EDR) te integreren in uw aanvalsonderzoek.
Detail:schakel de integratie van Microsoft Defender for Endpoint in via uw Defender for Cloud-beveiligingsbeleid. Overweeg het gebruik van Microsoft Sentinel voor het onderzoeken van bedreigingen en het reageren op incidenten.

End-to-end netwerkbewaking op basis van scenario's bewaken

Klanten bouwen een end-to-end-netwerk in Azure door netwerkbronnen zoals een virtueel netwerk, ExpressRoute, Application Gateway en load balancers te combineren. Bewaking is beschikbaar op elk van de netwerkbronnen.

Azure Network Watcher is een regionale service. Gebruik de hulpprogramma's voor diagnostische gegevens en visualisatie om omstandigheden op netwerkscenarioniveau in, naar en van Azure te bewaken en te diagnosticeren.

Hier volgen best practices voor netwerkbewaking en beschikbare hulpprogramma's.

Best practice:Externe netwerkbewaking automatiseren met pakketopname.
Details:netwerkproblemen bewaken en diagnosticeren zonder u aan te melden bij uw VM's met behulp van Network Watcher. Activeer pakketopname door waarschuwingen in te stellen en toegang te krijgen tot realtime prestatiegegevens op pakketniveau. Wanneer u een probleem ziet, kunt u dit in detail onderzoeken voor betere diagnoses.

Best practice:krijg inzicht in uw netwerkverkeer met behulp van stroomlogboeken.
Detail:bouw meer inzicht in uw netwerkverkeerspatronen met behulp van stroomlogboeken van netwerkbeveiligingsgroep. Informatie in stroomlogboeken helpt u bij het verzamelen van gegevens voor naleving, controle en bewaking van uw netwerkbeveiligingsprofiel.

Best practice:Problemen met VPN-connectiviteit vaststellen.
Detail:gebruik Network Watcher om uw meest voorkomende problemen met VPN Gateway en verbinding op te sporen. U kunt het probleem niet alleen identificeren, maar ook gedetailleerde logboeken gebruiken om verder onderzoek te doen.

Implementatie beveiligen met bewezen DevOps-hulpprogramma's

Gebruik de volgende best practices voor DevOps om ervoor te zorgen dat uw onderneming en teams productief en efficiënt zijn.

Best practice:automatiseer het bouwen en implementeren van services.
Detail:Infrastructuur als code is een set technieken en procedures waarmee IT-professionals de dagelijkse belasting van het bouwen en beheren van modulaire infrastructuur kunnen wegnemen. It-professionals kunnen hiermee hun moderne serveromgeving bouwen en onderhouden op een manier die lijkt op hoe softwareontwikkelaars toepassingscode bouwen en onderhouden.

U kunt de Azure Resource Manager toepassingen inrichten met behulp van een declaratieve sjabloon. U kunt in één enkele sjabloon meerdere services plus de bijbehorende afhankelijkheden implementeren. U gebruikt dezelfde sjabloon om uw toepassing herhaaldelijk te implementeren in elke fase van de toepassingslevenscyclus.

Best practice:automatisch bouwen en implementeren in Azure-web-apps of cloudservices.
Detail:u kunt uw service configureren Azure DevOps Projects automatisch te bouwen en te implementeren in Azure-web-apps of cloudservices. Azure DevOps implementeert automatisch de binaire bestanden nadat er een build naar Azure is uitgevoerd na het inchecken van de code. Het bouwproces van het pakket is gelijk aan de opdracht Package in Visual Studio en de publicatiestappen zijn gelijk aan de opdracht Publish in Visual Studio.

Best practice:Releasebeheer automatiseren.
Detail:Azure Pipelines is een oplossing voor het automatiseren van implementatie in meerdere fases en het beheren van het releaseproces. Maak beheerde pijplijnen voor continue implementatie om snel, eenvoudig en vaak vrij te geven. Met Azure Pipelines kunt u uw releaseproces automatiseren en u kunt vooraf gedefinieerde goedkeuringswerkstromen hebben. Implementeer on-premises en in de cloud, breid deze uit en pas deze indien nodig aan.

Best practice:controleer de prestaties van uw app voordat u deze start of updates implementeert voor productie.
Detail:Voer belastingstests in de cloud uit om:

  • Prestatieproblemen vinden in uw app.
  • De kwaliteit van de implementatie verbeteren.
  • Zorg ervoor dat uw app altijd beschikbaar is.
  • Zorg ervoor dat uw app verkeer kan verwerken voor uw volgende lancerings- of marketingcampagne.

Apache JMeter is een gratis, open source hulpprogramma met een sterke community-back-over.

Best practice:Be monitor de prestaties van toepassingen.
Detail:Azure-toepassing Insights is een extensible APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Gebruik Application Insights om uw live webtoepassing te bewaken. Prestatieafwijkingen worden automatisch gedetecteerd. Het bevat analysehulpprogramma's om u te helpen bij het vaststellen van problemen en om te begrijpen wat gebruikers daadwerkelijk doen met uw app. Het is bedoeld om u te helpen de prestaties en bruikbaarheid continu te verbeteren.

Beperken en beveiligen tegen DDoS

DDoS (Distributed Denial of Service) is een type aanval dat probeert toepassingsbronnen uit teputten. Het doel is om de beschikbaarheid van de toepassing te beïnvloeden en de mogelijkheid om legitieme aanvragen af te handelen. Deze aanvallen worden steeds geavanceerder en groter in omvang en impact. Ze kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

Ontwerpen en bouwen voor DDoS-tolerantie vereist planning en ontwerp voor verschillende foutmodi. Hieronder volgen de best practices voor het bouwen van DDoS-flexibele services in Azure.

Best practice:zorg ervoor dat beveiliging een prioriteit is gedurende de hele levenscyclus van een toepassing, van ontwerp en implementatie tot implementatie en bewerkingen. Toepassingen kunnen fouten hebben waardoor een relatief klein aantal aanvragen veel resources kan gebruiken, wat resulteert in een servicestoring.
Detail:als u een service wilt beveiligen die wordt uitgevoerd op Microsoft Azure, moet u een goed begrip hebben van uw toepassingsarchitectuur en zich richten op de vijf pijlers van softwarekwaliteit. U moet bekend zijn met typische verkeersvolumes, het connectiviteitsmodel tussen de toepassing en andere toepassingen en de service-eindpunten die worden blootgesteld aan het openbare internet.

Het is belangrijk om ervoor te zorgen dat een toepassing flexibel genoeg is voor het afhandelen van een Denial of Service die is gericht op de toepassing zelf. Beveiliging en privacy zijn ingebouwd in het Azure-platform, te beginnen met security development lifecycle (SDL). De SDL behandelt beveiliging in elke ontwikkelingsfase en zorgt ervoor dat Azure voortdurend wordt bijgewerkt om het nog veiliger te maken.

Best practice:ontwerp uw toepassingen zo dat ze horizontaal worden geschaald om te voldoen aan de vraag van een verhoogde belasting, met name in het geval van een DDoS-aanval. Als uw toepassing afhankelijk is van één exemplaar van een service, wordt er één storingspunt gemaakt. Het inrichten van meerdere exemplaren maakt uw systeem robuuster en schaalbaarder.
Detail:voor Azure App Serviceselecteert u een App Service abonnement dat meerdere exemplaren biedt.

Configureer Azure Cloud Services rollen voor het gebruik van meerdere exemplaren.

Voor Azure Virtual Machineszorgt u ervoor dat uw VM-architectuur meer dan één VM bevat en dat elke VM is opgenomen in een beschikbaarheidsset. We raden u aan om virtuele-machineschaalsets te gebruiken voor mogelijkheden voor automatisch schalen.

Best practice:Het gelaagd maken van beveiligingsbeveiliging in een toepassing vermindert de kans op een geslaagde aanval. Implementeert beveiligde ontwerpen voor uw toepassingen met behulp van de ingebouwde mogelijkheden van het Azure-platform.
Detail:het risico op aanvallen neemt toe met de grootte (surface area) van de toepassing. U kunt de surface area beperken door een goedkeuringslijst te gebruiken om de weergegeven IP-adresruimte en luisterpoorten te sluiten die niet nodig zijn op de load balancers(Azure Load Balancer en Azure Application Gateway).

Netwerkbeveiligingsgroepen zijn een andere manier om het aanvalsoppervlak te verminderen. U kunt servicetags en toepassingsbeveiligingsgroepen gebruiken om de complexiteit voor het maken van beveiligingsregels en het configureren van netwerkbeveiliging te minimaliseren, als een natuurlijke uitbreiding van de structuur van een toepassing.

U moet waar mogelijk Azure-services implementeren in een virtueel netwerk. Met deze praktijk kunnen servicebronnen communiceren via privé-IP-adressen. Azure-serviceverkeer van een virtueel netwerk gebruikt standaard openbare IP-adressen als bron-IP-adressen.

Het gebruik van service-eindpunten schakelt serviceverkeer om om privéadressen van virtuele netwerken te gebruiken als bron-IP-adressen wanneer ze toegang hebben tot de Azure-service vanuit een virtueel netwerk.

We zien vaak dat de on-premises resources van klanten samen met hun resources in Azure worden aangevallen. Als u een on-premises omgeving verbindt met Azure, minimaliseert u de blootstelling van on-premises resources aan het openbare internet.

Azure heeft twee DDoS-serviceaanbiedingen die bescherming bieden tegen netwerkaanvallen:

  • Basisbeveiliging is standaard zonder extra kosten geïntegreerd in Azure. De schaal en capaciteit van het wereldwijd geïmplementeerde Azure-netwerk bieden bescherming tegen veelvoorkomende netwerklaagaanvallen door gebruik te maken van continue verkeersbewaking en risicobeperking in realtime. Basic vereist geen wijzigingen in de gebruikersconfiguratie of toepassing en helpt bij het beveiligen van alle Azure-services, met inbegrip van PaaS-services zoals Azure DNS.
  • Standaardbeveiliging biedt geavanceerde mogelijkheden voor DDoS-beperking tegen netwerkaanvallen. Het is automatisch afgestemd op het beveiligen van uw specifieke Azure-resources. Beveiliging is eenvoudig in te stellen tijdens het maken van virtuele netwerken. Het kan ook worden uitgevoerd na het maken en vereist geen wijzigingen in de toepassing of resource.

Enable Azure Policy

Azure Policy is een service in Azure die u gebruikt om beleidsregels te maken, toe te wijzen en te beheren. Met dit beleid worden regels en effecten afgedwongen voor uw resources, zodat deze resources voldoen aan de standaarden en serviceovereenkomsten van uw bedrijf. Azure Policy voorziet in deze behoefte door uw resources met toegewezen beleid te controleren op niet-naleving.

Schakel Azure Policy om het geschreven beleid van uw organisatie te bewaken en af te dwingen. Dit zorgt voor naleving van uw bedrijf of wettelijke beveiligingsvereisten door het beveiligingsbeleid voor uw hybride cloudworkloads centraal te beheren. Meer informatie over het maken en beheren van beleid om naleving af te dwingen. Zie Azure Policy definitiestructuur voor een overzicht van de elementen van een beleid.

Hier volgen enkele best practices voor beveiliging die u moet volgen nadat u de Azure Policy:

Best practice:Beleid ondersteunt verschillende soorten effecten. U kunt er meer over lezen in Azure Policy definitiestructuur. Bedrijfsbewerkingen kunnen negatief worden beïnvloed door het weiger-effect en het hersteleffect. Begin daarom met het controle-effect om het risico op negatieve gevolgen van het beleid te beperken.
Detail:Start beleidsimplementaties in de controlemodus en ga vervolgens verder om te weigeren of te herstellen. Test en bekijk de resultaten van het controle-effect voordat u gaat weigeren of herstellen.

Zie Beleid maken en beheren om naleving af te dwingen voor meer informatie.

Best practice:identificeer de rollen die verantwoordelijk zijn voor het controleren op beleidsschendingen en zorg ervoor dat snel de juiste herstelactie wordt ondernomen.
Detail:de toegewezen rol naleving laten bewaken via de Azure Portal of via de opdrachtregel.

Best practice:Azure Policy is een technische weergave van het geschreven beleid van een organisatie. Wijs alle Azure Policy toe aan organisatiebeleid om verwarring te verminderen en de consistentie te vergroten.
Detail:Documenttoewijzing in de documentatie van uw organisatie of in de Azure Policy-definitie zelf door een verwijzing naar het organisatiebeleid toe te voegen in de beleidsdefinitie of de beschrijving van de initiatiefdefinitie.

Azure AD-risicorapporten bewaken

Het overgrote deel van de beveiligingsschending vindt plaats wanneer aanvallers toegang krijgen tot een omgeving door de identiteit van een gebruiker te stelen. Het detecteren van aangetaste identiteiten is geen eenvoudige taak. Azure AD maakt gebruik machine learning algoritmen en heuristieken voor het detecteren van verdachte acties die zijn gerelateerd aan uw gebruikersaccounts. Elke gedetecteerde verdachte actie wordt opgeslagen in een record met de naam risicodetectie. Risicodetecties worden vastgelegd in Azure AD-beveiligingsrapporten. Lees voor meer informatie over het beveiligingsrapport over gebruikers die risico lopen en het beveiligingsrapport over riskante aanmeldingen.

Volgende stappen

Zie Best practices en patronen voor Azure-beveiliging voor meer best practices voor beveiliging die u kunt gebruiken bij het ontwerpen, implementeren en beheren van uw cloudoplossingen met behulp van Azure.

De volgende resources zijn beschikbaar voor meer algemene informatie over azure-beveiliging en gerelateerde Microsoft-services: