Inleiding tot Azure-beveiliging

Overzicht

We weten dat beveiliging een taak in de cloud is en hoe belangrijk het is dat u nauwkeurige en actuele informatie over Azure-beveiliging vindt. Een van de beste redenen om Azure te gebruiken voor uw toepassingen en services is om te profiteren van de uitgebreide reeks beveiligingshulpprogramma's en -mogelijkheden. Met deze hulpprogramma's en mogelijkheden kunt u beveiligde oplossingen maken op het beveiligde Azure-platform. Microsoft Azure biedt vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens, terwijl transparante verantwoordelijkheid mogelijk wordt.

In dit artikel vindt u een uitgebreid overzicht van de beveiliging die beschikbaar is in Azure.

Azure-platform

Azure is een platform voor openbare cloudservices dat ondersteuning biedt voor een breed scala aan besturingssystemen, programmeertalen, frameworks, hulpprogramma's, databases en apparaten. Het kan Linux-containers uitvoeren met Docker-integratie; apps bouwen met JavaScript, Python, .NET, PHP, Java en Node.js; back-ends bouwen voor iOS-, Android- en Windows apparaten.

Openbare cloudservices van Azure ondersteunen dezelfde technologieën waar miljoenen ontwikkelaars en IT-professionals al op vertrouwen. Wanneer u op een openbare cloudserviceprovider bouwt of IT-assets migreert, vertrouwt u op de mogelijkheden van die organisatie om uw toepassingen en gegevens te beveiligen met de services en de besturingselementen die ze bieden om de beveiliging van uw cloudgebaseerde assets te beheren.

De infrastructuur van Azure is ontworpen van faciliteit tot toepassingen voor het tegelijkertijd hosten van miljoenen klanten en biedt een betrouwbare basis waarop bedrijven kunnen voldoen aan hun beveiligingsvereisten.

Daarnaast biedt Azure u een breed scala aan configureerbare beveiligingsopties en de mogelijkheid om deze te controleren, zodat u de beveiliging kunt aanpassen om te voldoen aan de unieke vereisten van de implementaties van uw organisatie. Dit document helpt u te begrijpen hoe u met de beveiligingsmogelijkheden van Azure aan deze vereisten kunt voldoen.

Samenvatting van de beveiligingsmogelijkheden van Azure

Afhankelijk van het cloudservicemodel is er een variabele verantwoordelijkheid voor wie verantwoordelijk is voor het beheren van de beveiliging van de toepassing of service. Er zijn mogelijkheden beschikbaar in het Azure-platform om u te helpen bij het voldoen aan deze verantwoordelijkheden via ingebouwde functies en via partneroplossingen die kunnen worden geïmplementeerd in een Azure-abonnement.

De ingebouwde mogelijkheden zijn ingedeeld in zes functionele gebieden: Bewerkingen, Toepassingen, Storage, Netwerken, Compute en Identiteit. Meer informatie over de functies en mogelijkheden die beschikbaar zijn in het Azure-platform op deze zes gebieden vindt u in samenvattingsinformatie.

Operations

Deze sectie bevat aanvullende informatie over belangrijke functies in beveiligingsbewerkingen en samenvattingsinformatie over deze mogelijkheden.

Microsoft Defender for Cloud

Defender for Cloud helpt u bij het voorkomen, detecteren en reageren op bedreigingen met meer zichtbaarheid in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt zouden blijven, en werkt met een uitgebreid ecosysteem van beveiligingsoplossingen.

Bovendien helpt Defender for Cloud met beveiligingsbewerkingen door u één dashboard te bieden waarin waarschuwingen en aanbevelingen worden gegeven die onmiddellijk kunnen worden uitgevoerd. Vaak kunt u problemen oplossen met één klik in de Defender for Cloud-console.

Azure Resource Manager

Azure Resource Manager kunt u als groep met de resources in uw oplossing werken. U kunt alle resources voor uw oplossing implementeren, bijwerken of verwijderen in een enkele, gecoördineerde bewerking. U gebruikt een Azure Resource Manager sjabloon voor implementatie en die sjabloon kan worden gebruikt voor verschillende omgevingen, zoals testen, fasering en productie. Resource Manager biedt beveiliging, controle en tagfuncties die u na de implementatie helpen bij het beheren van uw resources.

Azure Resource Manager implementaties op basis van sjablonen helpen de beveiliging te verbeteren van oplossingen die in Azure zijn geïmplementeerd, omdat standaardinstellingen voor beveiligingsbeheer kunnen worden geïntegreerd in gestandaardiseerde implementaties op basis van sjablonen. Dit vermindert het risico op beveiligingsconfiguratiefouten die kunnen optreden tijdens handmatige implementaties.

Application Insights

Application Insights is een extensible Application Performance Management-service (APM) voor webontwikkelaars. Met Application Insights kunt u uw live webtoepassingen bewaken en automatisch prestatieafwijkingen detecteren. Het bevat krachtige analysehulpprogramma's om u te helpen bij het vaststellen van problemen en om te begrijpen wat gebruikers daadwerkelijk doen met uw apps. Uw toepassing wordt continu bewaakt wanneer deze wordt uitgevoerd, zowel tijdens het testen als nadat u deze hebt gepubliceerd of geïmplementeerd.

Application Insights maakt grafieken en tabellen die u laten zien, bijvoorbeeld op welke momenten van de dag de meeste gebruikers worden ontvangen, hoe responsief de app is en hoe goed deze wordt aangeboden door externe services waar deze van afhankelijk is.

Als er crashes, fouten of prestatieproblemen zijn, kunt u de telemetriegegevens in detail doorzoeken om de oorzaak te diagnosticeren. En de service stuurt u e-mailberichten als er wijzigingen zijn in de beschikbaarheid en prestaties van uw app. Application Insight wordt dus een waardevol beveiligingshulpprogramma omdat het helpt bij de beschikbaarheid van de vertrouwelijkheid, integriteit en beschikbaarheidsbeveiligings triad.

Azure Monitor

Azure Monitor biedt visualisatie, query's, routering, waarschuwingen, automatisch schalen en automatiseringvoor gegevens uit zowel het Azure-abonnement (activiteitenlogboek) als elke afzonderlijke Azure-resource(resourcelogboeken). U kunt deze Azure Monitor u te waarschuwen over beveiligingsgebeurtenissen die worden gegenereerd in Azure-logboeken.

Azure Monitor-logboeken

Azure Monitor logboeken: biedt naast Azure-resources ook een IT-beheeroplossing voor zowel on-premises als externe cloudinfrastructuur (zoals AWS). Gegevens van Azure Monitor kunnen rechtstreeks worden doorgeleid naar Azure Monitor logboeken, zodat u metrische gegevens en logboeken voor uw hele omgeving op één plek kunt zien.

Azure Monitor logboeken kunnen een nuttig hulpmiddel zijn voor forensische en andere beveiligingsanalyses, omdat u met het hulpprogramma snel grote hoeveelheden beveiligingsgerelateerde items kunt doorzoeken met een flexibele querybenadering. Daarnaast kunnen on-premises firewall- en proxylogboeken worden geëxporteerd naar Azure en beschikbaar worden gesteld voor analyse met behulp Azure Monitor logboeken.

Azure Advisor

Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u uw Azure-implementaties kunt optimaliseren. Advisor analyseert de configuratie van uw resources en de gebruiksgerelateerde telemetrie. Vervolgens worden oplossingen aanbevolen om de prestaties,beveiliging en betrouwbaarheid van uw resources te verbeteren en tegelijkertijd te zoeken naar mogelijkheden om uw totale Azure-uitgaven te verminderen. Azure Advisor biedt beveiligingsaanbevelingen, waardoor uw algehele beveiligingsstatus aanzienlijk kan worden verbeterd voor oplossingen die u in Azure implementeert. Deze aanbevelingen worden gedaan op basis van beveiligingsanalyses die door Microsoft Defender for Cloud zijn uitgevoerd.

Toepassingen

De sectie bevat aanvullende informatie over belangrijke functies in toepassingsbeveiliging en samenvattingsinformatie over deze mogelijkheden.

Scannen op beveiligingsprobleem in webtoepassing

Een van de eenvoudigste manieren om aan de slag te gaan met het testen op beveiligingsproblemen in uw App Service-app is door de integratie met Tinfoil Security te gebruiken voor het scannen van beveiligingsproblemen met één klik op uw app. U kunt de testresultaten weergeven in een eenvoudig te begrijpen rapport en leren hoe u elk beveiligingsprobleem kunt oplossen met stapsgewijle instructies.

Penetratietesten

We voeren geen penetratietests van uw toepassing voor u uit, maar we begrijpen wel dat u tests wilt en moet uitvoeren op uw eigen toepassingen. Dat is goed, want wanneer u de beveiliging van uw toepassingen verbetert, kunt u het hele Azure-ecosysteem beter beveiligen. Hoewel het niet langer nodig is om Microsoft op de hoogte te stellen van pentestactiviteiten, moeten klanten nog steeds voldoen aan de Microsoft Cloud Penetration Testing Rules of Engagement.

Web Application Firewall

De Web Application Firewall (WAF) in Azure Application Gateway helpt webtoepassingen te beschermen tegen veelvoorkomende aanvallen op internet, zoals SQL-injectie, cross-site scripting-aanvallen en sessiekaping. Deze is vooraf geconfigureerd met beveiliging tegen bedreigingen die door de Open Web Application Security Project (OWASP)zijn geïdentificeerd als de top 10 van veelvoorkomende beveiligingsproblemen.

Verificatie en autorisatie in Azure App Service

App Service verificatie/autorisatie is een functie waarmee uw toepassing gebruikers kan aanmelden, zodat u geen code hoeft te wijzigen op de back-end van de app. Het biedt een eenvoudige manier om uw toepassing te beveiligen en te werken met gegevens per gebruiker.

Gelaagde beveiligingsarchitectuur

Omdat App Service-omgevingen een geïsoleerde runtime-omgeving bieden die is geïmplementeerd in een Azure Virtual Network,kunnen ontwikkelaars een gelaagde beveiligingsarchitectuur maken die verschillende niveaus van netwerktoegang biedt voor elke toepassingslaag. Een veelvoorkomende wens is om API-back-ends te verbergen voor algemene internettoegang en alleen TOE te staan dat API's worden aangeroepen door upstream-web-apps. Netwerkbeveiligingsgroepen (NSG's) kunnen worden gebruikt in Azure Virtual Network-subnetten met App Service-omgevingen om openbare toegang tot API-toepassingen te beperken.

Diagnostische gegevens en toepassingsdiagnose voor webservers

App Service web-apps bieden diagnostische functionaliteit voor het vastleggen van logboekgegevens van zowel de webserver als de webtoepassing. Deze zijn logisch gescheiden in diagnostische gegevens van webservers en diagnostische gegevens van toepassingen. Webserver bevat twee belangrijke ontwikkelingen in het diagnosticeren en oplossen van problemen met sites en toepassingen.

De eerste nieuwe functie is realtime statusinformatie over toepassingsgroepen, werkprocessen, sites, toepassingsdomeinen en het uitvoeren van aanvragen. De tweede nieuwe voordelen zijn de gedetailleerde traceergebeurtenissen die een aanvraag volgen tijdens het volledige aanvraag- en antwoordproces.

Als u het verzamelen van deze traceergebeurtenissen wilt inschakelen, kan IIS 7 worden geconfigureerd om automatisch volledige traceerlogboeken in XML-indeling vast te leggen voor een bepaalde aanvraag op basis van verstreken tijd- of foutreactiecodes.

Storage

De sectie bevat aanvullende informatie over belangrijke functies in Azure Storage-beveiliging en samenvattingsinformatie over deze mogelijkheden.

Azure RBAC (op rollen gebaseerd toegangsbeheer van Azure)

U kunt uw opslagaccount beveiligen met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Het beperken van toegang op basis van de beveiligingsprincipes voor de noodzaak tot en met de minste bevoegdheden is van cruciaal belang voor organisaties die beveiligingsbeleid voor gegevenstoegang willen afdwingen. Deze toegangsrechten worden verleend door de juiste Azure-rol toe te wijzen aan groepen en toepassingen met een bepaald bereik. U kunt ingebouwde Azure-rollengebruiken, zoals Storage accountbijdrager, om bevoegdheden aan gebruikers toe te wijzen. Toegang tot de opslagsleutels voor een opslagaccount met behulp van Azure Resource Manager-model kan worden beheerd via Azure RBAC.

Shared Access Signature

Een Shared Access Signature (SAS) biedt gedelegeerde toegang tot resources in uw opslagaccount. De SAS betekent dat u een client beperkte machtigingen kunt verlenen voor objecten in uw opslagaccount voor een bepaalde periode en met een opgegeven set machtigingen. U kunt deze beperkte machtigingen verlenen zonder dat u de toegangssleutels van uw account moet delen.

Versleuteling 'in transit'

Versleuteling 'in transit' is een mechanisme voor het beveiligen van gegevens wanneer deze worden verzonden tussen netwerken. Met Azure Storage kunt u gegevens beveiligen met behulp van:

• Versleuteling op transportniveau,zoals HTTPS, wanneer u gegevens overdraagt naar of Azure Storage.

• Wire-versleuteling,zoals SMB 3.0-versleuteling voor Azure-bestands shares.

• Versleuteling aan de clientzijde om de gegevens te versleutelen voordat ze naar de opslag worden overgebracht en om de gegevens te ontsleutelen nadat ze uit de opslag zijn overgebracht.

Versleuteling 'at rest'

Voor veel organisaties is versleuteling van data-at-rest een verplichte stap op weg naar privacy, naleving en gegevenssoevereiniteit. Er zijn drie beveiligingsfuncties voor Azure Storage die versleuteling van gegevens 'at rest' bieden:

• Storage Service Encryption kunt u aanvragen dat de opslagservice gegevens automatisch versleutelt wanneer u ze naar de Azure Storage.

• Versleuteling aan de clientzijde biedt ook de functie versleuteling-at-rest.

• Azure Disk Encryption kunt u de besturingssysteemschijven en gegevensschijven versleutelen die worden gebruikt door een virtuele IaaS-machine.

Storage Analytics

Azure Storage Analytics voert logboekregistratie uit en biedt metrische gegevens voor een opslagaccount. U kunt deze gegevens gebruiken om aanvragen te traceren, gebruikstrends te analyseren en problemen met uw opslagaccount te diagnosticeren. Opslaganalyse registreert gedetailleerde informatie over geslaagde en mislukte aanvragen bij een opslagservice. Deze informatie kan worden gebruikt voor het bewaken van afzonderlijke aanvragen en voor het vaststellen van problemen met een opslagservice. Aanvragen worden op basis van 'best effort' geregistreerd. De volgende typen geverifieerde aanvragen worden geregistreerd:

• Geslaagde aanvragen.
• Mislukte aanvragen, waaronder time-out, beperking, netwerk, autorisatie en andere fouten.
• Aanvragen die gebruikmaken van een Shared Access Signature (SAS), inclusief mislukte en geslaagde aanvragen.
• Aanvragen voor analysegegevens.

Clients Browser-Based cors inschakelen

Cross-Origin Resource Sharing (CORS) is een mechanisme waarmee domeinen elkaar toestemming kunnen geven voor toegang tot elkaars resources. De gebruikersagent verzendt extra headers om ervoor te zorgen dat de JavaScript-code die wordt geladen vanuit een bepaald domein toegang heeft tot resources die zich in een ander domein bevinden. Het laatste domein antwoordt vervolgens met extra headers die de toegang tot de resources van het oorspronkelijke domein toestaan of weigeren.

Azure Storage-services ondersteunen nu CORS, zodat nadat u de CORS-regels voor de service hebt ingesteld, een correct geverifieerde aanvraag voor de service vanuit een ander domein wordt geëvalueerd om te bepalen of deze is toegestaan volgens de regels die u hebt opgegeven.

Netwerken

De sectie bevat aanvullende informatie over belangrijke functies in Azure-netwerkbeveiliging en samenvattingsinformatie over deze mogelijkheden.

Besturingselementen voor netwerklagen

Netwerktoegangsbeheer is het beperken van de connectiviteit van en naar specifieke apparaten of subnetten en vertegenwoordigt de kern van netwerkbeveiliging. Het doel van netwerktoegangsbeheer is ervoor te zorgen dat uw virtuele machines en services alleen toegankelijk zijn voor gebruikers en apparaten waarvoor u ze toegankelijk wilt maken.

Netwerkbeveiligingsgroepen

Een netwerkbeveiligingsgroep (NSG) is een eenvoudige stateful firewall voor pakketfiltering en stelt u in staat toegang te beheren op basis van een 5-tuple. NSG's bieden geen toepassingslaaginspectie of geverifieerd toegangsbesturingselement. Ze kunnen worden gebruikt om verkeer te controleren dat tussen subnetten binnen een Azure-Virtual Network en verkeer tussen een Azure-Virtual Network en internet.

Routebeheer en geforceerd tunnelen

De mogelijkheid om routeringsgedrag in uw virtuele Azure-netwerken te bepalen, is een essentiële mogelijkheid voor netwerkbeveiliging en toegangsbeheer. Als u er bijvoorbeeld voor wilt zorgen dat al het verkeer van en naar uw Azure Virtual Network via dat virtuele beveiligingsapparaat gaat, moet u het routeringsgedrag kunnen beheren en aanpassen. U kunt dit doen door User-Defined routes in Azure te configureren.

Met door de gebruiker gedefinieerde routes kunt u binnenkomende en uitgaande paden aanpassen voor verkeer van en naar afzonderlijke virtuele machines of subnetten om de veiligste route mogelijk te maken. Geforceerd tunnelen is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding mogen maken met apparaten op internet.

Dit wijt af van het kunnen accepteren van binnenkomende verbindingen en er vervolgens op te reageren. Front-endwebservers moeten reageren op aanvragen van internethosts, zodat internetverkeer naar deze webservers is toegestaan en de webservers kunnen reageren.

Geforceerd tunnelen wordt vaak gebruikt om uitgaand verkeer naar internet af te dwingen om on-premises beveiligings proxies en firewalls te passeren.

Virtual Network-beveiligingsapparaten

Hoewel netwerkbeveiligingsgroepen, User-Defined-routes en geforceerd tunnelen u een beveiligingsniveau bieden op het netwerk en de transportlagen van het OSI-model,kan het zijn dat u beveiliging op een hoger niveau van de stack wilt inschakelen. U hebt toegang tot deze verbeterde netwerkbeveiligingsfuncties met behulp van een netwerkbeveiligingsapparaatoplossing van een Azure-partner. U vindt de meest recente netwerkbeveiligingsoplossingen van Azure-partners door naar de Azure Marketplace te gaan en te zoeken naar 'beveiliging' en 'netwerkbeveiliging'.

Azure Virtual Network

Een virtueel Azure-netwerk (VNET) is een weergave van uw eigen netwerk in de cloud. Het is een logische isolatie van de Azure-netwerk-fabric die is toegewezen aan uw abonnement. U kunt de IP-adresblokken, DNS-instellingen, beveiligingsbeleidsregels en routetabellen binnen dit netwerk volledig beheren. U kunt uw VNet segmenteren in subnetten en virtuele Azure IaaS-machines (VM's) en/of cloudservices (PaaS-rol-exemplaren) in virtuele Azure-netwerken plaatsen.

Hiermee kunt u het virtuele netwerk via een van de beschikbare verbindingsopties in Azure verbinden met uw on-premises netwerk. In wezen kunt u uw netwerk uitbreiden naar Azure met behoud van de volledige controle over IP-adresblokken en de schaalvoordelen van Azure voor ondernemingen.

Azure-netwerken ondersteunen verschillende scenario's voor beveiligde externe toegang. Enkele hiervan zijn:

• Verbinding maken afzonderlijke werkstations naar een Azure-Virtual Network

• Verbinding maken on-premises netwerk verbinding maken met een Azure Virtual Network met een VPN

• Verbinding maken on-premises netwerk verbinden met een Azure Virtual Network met een toegewezen WAN-verbinding

• Verbinding maken Azure Virtual Networks met elkaar verbinden

Azure Private Link

Azure Private Link kunt u privé toegang krijgen tot Azure PaaS Services (bijvoorbeeld Azure Storage en SQL Database) en door Azure gehoste services van klanten/partners in uw virtuele netwerk via een privé-eindpunt . Het instellen en gebruiken van Azure Private Link is consistent voor Azure PaaS-services, services die eigendom zijn van klanten en gedeelde partnerservices. Verkeer van uw virtuele netwerk naar de Azure-service blijft altijd op het Microsoft Azure backbone-netwerk.

Met privé-eindpunten kunt u uw kritieke Azure-servicebronnen alleen beveiligen naar uw virtuele netwerken. Het privé-eindpunt van Azure gebruikt een privé-IP-adres van uw VNet om u privé en veilig te verbinden met een service-powered by Azure Private Link, waardoor de service effectief in uw VNet wordt ingevoerd. Het beschikbaar maken van uw virtuele netwerk op het openbare internet is niet langer nodig om services in Azure te gebruiken.

U kunt ook uw eigen Private Link-service maken in uw virtuele netwerk. Azure Private Link service is de verwijzing naar uw eigen service die powered by Azure Private Link. Uw service die wordt uitgevoerd achter Azure Standard Load Balancer kan worden ingeschakeld voor Private Link-toegang, zodat consumenten van uw service privé toegang hebben vanaf hun eigen virtuele netwerken. Uw klanten kunnen een privé-eindpunt in hun virtuele netwerk maken en dit aan deze service toe te wijsen. Het beschikbaar maken van uw service op het openbare internet is niet langer nodig om services in Azure weer te geven.

VPN Gateway

Als u netwerkverkeer wilt verzenden tussen uw Azure Virtual Network en uw on-premises site, moet u een VPN-gateway maken voor uw Azure Virtual Network. Een VPN-gateway is een type virtuele netwerkgateway die versleuteld verkeer verzendt via een openbare verbinding. U kunt ook VPN-gateways gebruiken om verkeer tussen virtuele Azure-netwerken te verzenden via de Azure-netwerk-fabric.

ExpressRoute

Microsoft Azure ExpressRoute is een toegewezen WAN-verbinding waarmee u uw on-premises netwerken kunt uitbreiden naar de Microsoft-cloud via een toegewezen privéverbinding die wordt gefaciliilieerd door een connectiviteitsprovider.

Met ExpressRoute kunt u verbindingen tot stand brengen met Microsoft-cloudservices, zoals Microsoft Azure, Microsoft 365 en CRM Online. Via een connectiviteitsprovider in een co-locatiefaciliteit is connectiviteit mogelijk vanuit een any-to-any (IP VPN) netwerk, een point-to-point Ethernet-netwerk of een virtuele overlappende verbinding.

ExpressRoute-verbindingen gaan niet via het openbare internet en kunnen dus als veiliger worden beschouwd dan vpn-oplossingen. Daardoor zijn ExpressRoute-verbindingen betrouwbaarder en sneller en hebben ze lagere latenties en betere beveiliging dan gewone verbindingen via internet.

Application Gateway

Microsoft Azure Application Gateway biedt een ADC (Application Delivery Controller) als een service, die verschillende taakverdelingsmogelijkheden van laag 7 biedt voor uw toepassing.

Hiermee kunt u de productiviteit van webfarms optimaliseren door CPU-intensieve TLS-beëindiging te offloaden naar de Application Gateway (ook wel bekend als 'TLS-offload' of 'TLS-bridging'). Het biedt ook andere routeringsmogelijkheden voor laag 7, waaronder round robin-distributie van binnenkomend verkeer, sessie-affiniteit op basis van cookies, routering op basis van URL-pad en de mogelijkheid om meerdere websites achter één Application Gateway. Azure Application Gateway is een load balancer in laag 7.

De gateway biedt opties voor failovers en het routeren van HTTP-aanvragen tussen servers (on-premises en in de cloud).

De toepassing biedt veel ADC-functies (Application Delivery Controller), waaronder HTTP-taakverdeling, sessie-affiniteit op basis van cookies, TLS-offload,aangepaste statustests, ondersteuning voor meerdere -site en vele andere.

Web Application Firewall

Web Application Firewall is een functie van Azure Application Gateway die beveiliging biedt voor webtoepassingen die application gateway gebruiken voor standaard ADC-functies (Application Delivery Control). Web Application Firewall doet dit door deze te beschermen tegen het grootste deel van de algemene internetbeveiligingsproblemen uit de OWASP top 10.

• Beveiliging tegen SQL-injecties

• Beveiliging tegen veelvoorkomende aanvallen via internet, zoals opdrachtinjectie, het smokkelen van HTTP-aanvragen, het uitsplitsen van HTTP-antwoorden en aanvallen waarbij een extern bestand wordt ingesloten

• Beveiliging tegen schendingen van het HTTP-protocol

• Beveiliging tegen afwijkingen van het HTTP-protocol, zoals een gebruikersagent voor de host en Accept-headers die ontbreken

• Beveiliging tegen bots, crawlers en scanners

• Detectie van veelvoorkomende onjuiste configuraties van toepassingen (apache, IIS, enzovoort)

Een gecentraliseerde Web Application Firewall ter bescherming tegen aanvallen via internet maakt het beveiligingsbeheer veel eenvoudiger en biedt de toepassing meer veiligheid tegen de bedreigingen van indringers. Een WAF-oplossing kan ook sneller reageren op een beveiligingsrisico door een patch voor een bekend beveiligingsprobleem toe te passen op een centrale locatie in plaats van elke afzonderlijke webtoepassing te beveiligen. Bestaande toepassingsgateways kunnen eenvoudig worden geconverteerd naar een toepassingsgateway met Web Application Firewall.

Traffic Manager

Met Microsoft Azure Traffic Manager kunt u de distributie van gebruikersverkeer voor service-eindpunten in verschillende datacenters bepalen. Service-eindpunten die worden ondersteund door Traffic Manager zijn azure-VM's, Web Apps en cloudservices. U kunt Traffic Manager ook gebruiken met externe, niet-Azure-eindpunten. Traffic Manager gebruikt de Domain Name System (DNS) om clientaanvragen naar het meest geschikte eindpunt te sturen op basis van een verkeersrouteringsmethode en de status van de eindpunten.

Traffic Manager biedt een scala aan verkeersrouteringsmethoden die geschikt zijn voor verschillende toepassingsbehoeften, eindpunt health monitoringen automatische failover. Traffic Manager is bestand tegen storingen, waaronder het uitvallen van een hele Azure-regio.

Azure Load Balancer

Azure Load Balancer zorgt dat uw toepassingen een hoge beschikbaarheid hebben en goede netwerkprestaties leveren. Het is een Laag 4-load balancer (TCP, UDP) die binnenkomend verkeer verdeelt over gezonde exemplaren van services die zijn gedefinieerd in een set met load balanceds. Azure Load Balancer kunnen worden geconfigureerd voor:

• De load balancer van binnenkomend internetverkeer naar virtuele machines. Deze configuratie wordt ook wel openbare taakverdeling genoemd.

• Verkeer balanceren tussen virtuele machines in een virtueel netwerk, tussen virtuele machines in cloudservices of tussen on-premises computers en virtuele machines in een cross-premises virtueel netwerk. Deze configuratie wordt ook wel interne taakverdeling genoemd.

• Extern verkeer doorsturen naar een specifieke virtuele machine

Interne DNS

U kunt de lijst met DNS-servers beheren die worden gebruikt in een VNet in Beheerportal of in het netwerkconfiguratiebestand. De klant kan maximaal 12 DNS-servers voor elk VNet toevoegen. Bij het opgeven van DNS-servers is het belangrijk om te controleren of u de DNS-servers van de klant in de juiste volgorde voor de omgeving van de klant vermeldt. DNS-serverlijsten werken niet round robin. Ze worden gebruikt in de volgorde waarin ze zijn opgegeven. Als de eerste DNS-server in de lijst kan worden bereikt, gebruikt de client die DNS-server ongeacht of de DNS-server goed werkt of niet. Als u de DNS-serverorder voor het virtuele netwerk van de klant wilt wijzigen, verwijdert u de DNS-servers uit de lijst en voegt u deze weer toe in de volgorde die de klant wil. DNS biedt ondersteuning voor het beschikbaarheidsaspect van de BEVEILIGINGSs triad 'CIA'.

Azure DNS

De Domain Name System DNS is verantwoordelijk voor het omzetten (of omzetten) van een website of servicenaam naar het IP-adres. Azure DNS is een service voor het hosten van DNS-domeinen die naamomzetting biedt met behulp van de Microsoft Azure-infrastructuur. Door uw domeinen in Azure te hosten, kunt u uw DNS-records met dezelfde referenties, API's, hulpprogramma's en facturering beheren als voor uw andere Azure-services. DNS biedt ondersteuning voor het beschikbaarheidsaspect van de BEVEILIGINGSs triad 'CIA'.

Azure Monitor logboeken NSG's

U kunt de volgende diagnostische logboekcategorieën voor NSG's inschakelen:

• Gebeurtenis: bevat vermeldingen waarvoor NSG-regels worden toegepast op VM's en instantierollen op basis van MAC-adres. De status voor deze regels wordt elke 60 seconden verzameld.

• Regelteller: bevat vermeldingen voor het aantal keren dat elke NSG-regel wordt toegepast om verkeer te weigeren of toe te staan.

Defender for Cloud

Microsoft Defender for Cloud analyseert continu de beveiligingstoestand van uw Azure-resources voor best practices voor netwerkbeveiliging. Wanneer Defender for Cloud potentiële beveiligingsproblemen identificeert, worden er aanbevelingen gedaan die u begeleiden bij het configureren van de benodigde besturingselementen om uw resources te beveiligen en te beveiligen.

Compute

De sectie bevat aanvullende informatie over de belangrijkste functies op dit gebied en samenvattingsinformatie over deze mogelijkheden.

Antimalware & Antivirus

Met Azure IaaS kunt u antimalwaresoftware van beveiligingsleveranciers zoals Microsoft, Symantec, Trend Micro, Mc Symantec en Symantec gebruiken om uw virtuele machines te beveiligen tegen schadelijke bestanden, windows en andere bedreigingen. Microsoft Antimalware voor Azure Cloud Services en Virtual Machines is een beveiligingsmogelijkheid waarmee virussen, spyware en andere schadelijke software kunnen worden identificeren en verwijderd. Microsoft Antimalware configureerbare waarschuwingen wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren of uit te voeren op uw Azure-systemen. Microsoft Antimalware kunnen ook worden geïmplementeerd met Microsoft Defender for Cloud

Hardwarebeveiligingsmodule

Versleuteling en verificatie verbeteren de beveiliging alleen als de sleutels zelf zijn beveiligd. U kunt het beheer en de beveiliging van uw kritieke geheimen en sleutels vereenvoudigen door ze op te slaan in Azure Key Vault. Key Vault biedt de mogelijkheid om uw sleutels op te slaan in HSM's (Hardware Security Modules) die zijn gecertificeerd voor FIPS 140-2 Level 2-standaarden. Uw SQL Server voor back-up of transparante gegevensversleuteling kunnen allemaal worden opgeslagen in Key Vault sleutels of geheimen van uw toepassingen. Machtigingen en toegang tot deze beveiligde items worden beheerd via Azure Active Directory.

Back-up van virtuele machine

Azure Backup is een oplossing die uw toepassingsgegevens beschermt met nul kapitaalinvesteringen en minimale operationele kosten. Toepassingsfouten kunnen uw gegevens beschadigd raken en menselijke fouten kunnen leiden tot fouten in uw toepassingen die kunnen leiden tot beveiligingsproblemen. Met Azure Backup zijn uw virtuele machines met Windows en Linux beveiligd.

Azure Site Recovery

Een belangrijk onderdeel van de BCDR-strategie (strategie voor bedrijfscontinuïteit/noodherstel) van uw organisatie is te bepalen hoe u zakelijke workloads en apps actief kunt houden wanneer geplande en ongeplande uitval optreedt. Azure Site Recovery helpt bij het in goede handen nemen van replicatie, failover en herstel van workloads en apps, zodat ze beschikbaar zijn vanaf een secundaire locatie als uw primaire locatie uitvallen.

SQL VM TDE

Transparent Data Encryption (TDE) en versleuteling op kolomniveau (CLE) zijn SQL functies voor serverversleuteling. Voor deze vorm van versleuteling moeten klanten de cryptografische sleutels beheren en opslaan die u voor versleuteling gebruikt.

De Azure Key Vault service (AKV) is ontworpen om de beveiliging en het beheer van deze sleutels op een veilige en zeer beschikbare locatie te verbeteren. Met de SQL Server-connector SQL Server u deze sleutels uit Azure Key Vault.

Als u een SQL Server on-premises machines gebruikt, zijn er stappen die u kunt volgen om toegang te krijgen Azure Key Vault uw on-premises SQL Server-exemplaar. Maar voor SQL Server in Azure-VM's kunt u tijd besparen met behulp van de functie Azure Key Vault Integration. Met enkele Azure PowerShell om deze functie in te kunnenschakelen, kunt u de configuratie automatiseren die nodig is voor een virtuele SQL voor toegang tot uw sleutelkluis.

VM-schijfversleuteling

Azure Disk Encryption is een nieuwe functie waarmee u de schijven van uw virtuele IaaS-machines Windows Linux kunt versleutelen. De industriestandaard BitLocker-functie van Windows en de DM-Crypt-functie van Linux worden toegepast om volumeversleuteling te bieden voor het besturingssysteem en de gegevensschijven. De oplossing is geïntegreerd met Azure Key Vault om u te helpen de schijfversleutelingssleutels en -geheimen in uw Key Vault beheren. De oplossing zorgt er ook voor dat alle gegevens op de schijven van de virtuele machine in rust in uw Azure-opslag worden versleuteld.

Virtueel netwerk

Virtuele machines hebben netwerkconnectiviteit nodig. Ter ondersteuning van deze vereiste vereist Azure dat virtuele machines zijn verbonden met een Azure-Virtual Network. Een Azure Virtual Network is een logische constructie die is gebouwd op de fysieke Azure-netwerk-fabric. Elke logische Azure Virtual Network is geïsoleerd van alle andere virtuele Azure-netwerken. Deze isolatie helpt ervoor te zorgen dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Microsoft Azure klanten.

Patchupdates

Patchupdates vormen de basis voor het vinden en oplossen van mogelijke problemen en vereenvoudigen het beheerproces van software-updates, door het aantal software-updates te verminderen dat u in uw onderneming moet implementeren en door de naleving te bewaken.

Beheer en rapportage van beveiligingsbeleid

Defender for Cloud helpt u bij het voorkomen, detecteren en reageren op bedreigingen en biedt u meer inzicht in en controle over de beveiliging van uw Azure-resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders niet worden opgemerkt en werkt met een breed ecosysteem van beveiligingsoplossingen.

Identiteits- en toegangsbeheer

Het beveiligen van systemen, toepassingen en gegevens begint met toegangsbesturingselementen op basis van identiteit. De functies voor identiteits- en toegangsbeheer die zijn ingebouwd in zakelijke producten en services van Microsoft helpen uw organisatie en persoonlijke gegevens te beschermen tegen onbevoegde toegang, terwijl ze beschikbaar worden gesteld aan legitieme gebruikers wanneer en waar ze deze nodig hebben.

Beveiligde identiteit

Microsoft gebruikt meerdere beveiligingsprocedures en -technologieën in haar producten en services om identiteit en toegang te beheren.

• Multi-Factor Authentication vereist dat gebruikers meerdere methoden gebruiken voor toegang, on-premises en in de cloud. Het biedt sterke verificatie met een scala aan eenvoudige verificatieopties, terwijl gebruikers worden voorzien van een eenvoudig aanmeldingsproces.

• Microsoft Authenticator biedt een gebruiksvriendelijke Multi-Factor Authentication-ervaring die werkt met zowel Microsoft Azure Active Directory- als Microsoft-accounts en ondersteuning biedt voor wearables en goedkeuringen op basis van vingerafdrukken.

• Het afdwingen van wachtwoordbeleid verhoogt de beveiliging van traditionele wachtwoorden door vereisten op te leggen voor lengte en complexiteit, geforceerd periodiek rouleren en accountvergrendeling na mislukte verificatiepogingen.

• Verificatie op basis van een token maakt verificatie via Azure Active Directory.

• Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u toegang verlenen op basis van de toegewezen rol van de gebruiker, zodat gebruikers eenvoudig alleen de hoeveelheid toegang kunnen krijgen die ze nodig hebben om hun taken uit te voeren. U kunt Azure RBAC aanpassen volgens het bedrijfsmodel en de risicotolerantie van uw organisatie.

• Met geïntegreerd identiteitsbeheer (hybride identiteit) kunt u de controle houden over de toegang van gebruikers via interne datacenters en cloudplatforms, waardoor één gebruikersidentiteit wordt gemaakt voor verificatie en autorisatie voor alle resources.

Apps en gegevens beveiligen

Azure Active Directory,een uitgebreide cloudoplossing voor identiteits- en toegangsbeheer, helpt bij het beveiligen van de toegang tot gegevens in toepassingen op de site en in de cloud, en vereenvoudigt het beheer van gebruikers en groepen. Het combineert belangrijke adreslijstservices, geavanceerd identiteitsbeheer, beveiliging en toegangsbeheer voor toepassingen, en maakt het eenvoudig voor ontwikkelaars om identiteitsbeheer op basis van beleid in hun apps in te bouwen. Om uw Azure Active Directory te verbeteren, kunt u betaalde mogelijkheden toevoegen met de Azure Active Directory Basic-, Premium P1- en Premium P2-edities.

• Cloud App Discovery is een premium-functie van Azure Active Directory waarmee u cloudtoepassingen kunt identificeren die worden gebruikt door de werknemers in uw organisatie.

• Azure Active Directory Identity Protection is een beveiligingsservice die gebruikmaakt van Azure Active Directory-mogelijkheden voor anomaliedetectie om een geconsolideerd overzicht te bieden van risicodetecties en mogelijke beveiligingsproblemen die van invloed kunnen zijn op de identiteiten van uw organisatie.

• Azure Active Directory Domain Services kunt u azure-VM's toevoegen aan een domein zonder dat u domeincontrollers hoeft te implementeren. Gebruikers melden zich aan bij deze VM's met hun zakelijke Active Directory-referenties en hebben naadloos toegang tot resources.

• Azure Active Directory B2C is een zeer beschikbare, wereldwijde identiteitsbeheerservice voor consumenten-apps die kan worden geschaald tot honderden miljoenen identiteiten en kan worden geïntegreerd op mobiele en webplatforms. Uw klanten kunnen zich aanmelden bij al uw apps via aanpasbare ervaringen die gebruikmaken van bestaande sociale media-accounts, of u kunt nieuwe zelfstandige referenties maken.

• Azure Active Directory B2B Collaboration is een veilige partnerintegratieoplossing die uw relaties tussen bedrijven ondersteunt door partners selectief toegang te bieden tot uw bedrijfstoepassingen en -gegevens met behulp van hun zelf-beheerde identiteiten.

• Azure Active Directory is samengevoegd, kunt u cloudmogelijkheden uitbreiden naar Windows 10 apparaten voor gecentraliseerd beheer. Het maakt het mogelijk voor gebruikers om verbinding te maken met de bedrijfs- of organisatiecloud via Azure Active Directory en vereenvoudigt de toegang tot apps en resources.

• Azure Active Directory toepassingsproxy biedt SSO en beveiligde externe toegang voor webtoepassingen die on-premises worden gehost.

Volgende stappen

• Meer informatie over uw gedeelde verantwoordelijkheid in de cloud.

• Ontdek hoe u met Microsoft Defender for Cloud bedreigingen kunt voorkomen, detecteren en er op kunt reageren met meer zichtbaarheid en controle over de beveiliging van uw Azure-resources.