Azure-beveiligingsbasislijn voor Service Fabric

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Service Fabric. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Service Fabric.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Service Fabric of waarvoor de verantwoordelijkheid Microsoft is, zijn uitgesloten. Als u wilt zien hoe Service Fabric volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van de Service Fabric-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Zorg ervoor dat alle Virtual Network subnetimplementaties een netwerkbeveiligingsgroep hebben toegepast met netwerktoegangsbeheer die specifiek is voor de vertrouwde poorten en bronnen van uw toepassing.

Verantwoordelijkheid: Klant

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender voor Cloud en herstel aanbevelingen voor netwerkbeveiliging voor het virtuele netwerk, subnet en netwerkbeveiligingsgroep die wordt gebruikt om uw Azure Service Fabric-cluster te beveiligen. Schakel stroomlogboeken voor netwerkbeveiligingsgroepen in en verzend logboeken naar een Azure Storage-account om verkeer te controleren. U kunt ook stroomlogboeken voor netwerkbeveiligingsgroepen verzenden naar een Azure Log Analytics-werkruimte en Azure Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Enkele voordelen van Azure Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: geef een front-endgateway op om één toegangspunt te bieden voor gebruikers, apparaten of andere toepassingen. Azure API Management integreert rechtstreeks met Service Fabric, zodat u toegang tot back-endservices kunt beveiligen, DOS-aanvallen kunt voorkomen met behulp van beperking en API-sleutels, JWT-tokens, certificaten en andere referenties kunt verifiëren.

Overweeg om Azure Web Application Firewall (WAF) te implementeren voor kritieke webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Schakel diagnostische instelling in voor WAF en opnamelogboeken in een opslagaccount, Event Hub of Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: Voor beveiliging tegen DDoS-aanvallen schakelt u Azure DDoS Standard-beveiliging in op het virtuele netwerk waar uw Azure Service Fabric-cluster wordt geïmplementeerd. Gebruik geïntegreerde bedreigingsinformatie van Microsoft Defender for Cloud om communicatie met bekende schadelijke of ongebruikte IP-adressen van internet te weigeren.

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: Schakel stroomlogboeken voor netwerkbeveiligingsgroepen in voor de netwerkbeveiligingsgroepen die zijn gekoppeld aan het subnet dat wordt gebruikt om uw Service Fabric-cluster te beveiligen. Noteer de NSG-stroomlogboeken in een Azure Storage-account om stroomrecords te genereren. Schakel azure Network Watcher pakketopname in, indien nodig voor het onderzoeken van afwijkende activiteiten.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Selecteer een aanbieding in de Azure Marketplace die ondersteuning biedt voor idS-/IPS-functionaliteit met nettoladinginspectiemogelijkheden. Als inbraakdetectie en/of preventie op basis van nettoladinginspectie geen vereiste is, kan Azure Firewall met Bedreigingsinformatie worden gebruikt. Azure Firewall filteren op basis van bedreigingsinformatie kan verkeer naar en van bekende schadelijke IP-adressen en domeinen waarschuwen en weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.

Implementeer de firewalloplossing van uw keuze op elk van de netwerkgrenzen van uw organisatie om schadelijk verkeer te detecteren en/of te weigeren.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: implementeer Azure Application Gateway voor webtoepassingen waarvoor HTTPS/SSL is ingeschakeld voor vertrouwde certificaten.

Verantwoordelijkheid: Klant

1.8: Complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: Gebruik servicetags voor virtuele netwerken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen (NSG) die zijn gekoppeld aan het subnet waarin uw Azure Service Fabric-cluster is geïmplementeerd. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor netwerkresources met betrekking tot uw Azure Service Fabric-cluster. Gebruik Azure Policy aliassen in de naamruimten Microsoft.ServiceFabric en Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw Azure Service Fabric-cluster te controleren of af te dwingen.

U kunt Ook Azure Blueprints gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en beleidsregels, in één blauwdrukdefinitie te verpakken. Pas de blauwdruk eenvoudig toe op nieuwe abonnementen en omgevingen en verfijn het beheer en beheer via versiebeheer.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor documentverkeer

Richtlijnen: Tags gebruiken voor netwerkbeveiligingsgroepen en andere resources met betrekking tot netwerkbeveiliging en verkeersstroom die zijn gekoppeld aan uw Service Fabric-cluster. Gebruik voor afzonderlijke regels voor netwerkbeveiligingsgroepen het veld Beschrijving om bedrijfsbehoefte, duur enzovoort op te geven voor regels die verkeer naar/van een netwerk toestaan.

Gebruik een van de ingebouwde Azure Policy definities met betrekking tot taggen, zoals Tag vereisen en de waarde ervan, om ervoor te zorgen dat alle resources worden gemaakt met Tags en u op de hoogte te stellen van bestaande resources zonder vlag.

U kunt Azure PowerShell of Azure CLI (opdrachtregelinterface) gebruiken om acties op te zoeken of uit te voeren op resources op basis van hun tags.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om netwerkresourceconfiguraties te bewaken en wijzigingen te detecteren voor netwerkresources die betrekking hebben op uw Azure Service Fabric-implementaties. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkresources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: U kunt uw Azure Service Fabric-cluster onboarden naar Azure Monitor om beveiligingsgegevens te aggregeren die door het cluster worden gegenereerd. Bekijk voorbeelden van diagnostische problemen en oplossingen met Service Fabric.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure Monitor inschakelen voor het Service Fabric-cluster, deze doorsturen naar een Log Analytics-werkruimte. Hiermee worden relevante clustergegevens en metrische gegevens van het besturingssysteem vastgelegd voor alle Azure Service Fabric-clusterknooppunten.

Verantwoordelijkheid: Klant

2.4: Beveiligingslogboeken verzamelen van besturingssystemen

Richtlijnen: onboarding van het Azure Service Fabric-cluster naar Azure Monitor. Zorg ervoor dat de Log Analytics-werkruimte die wordt gebruikt, de bewaarperiode voor logboeken heeft ingesteld volgens de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: onboarding van het Service Fabric-cluster naar Azure Monitor. Zorg ervoor dat de Log Analytics-werkruimte die wordt gebruikt, de bewaarperiode voor logboeken heeft ingesteld volgens de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Azure Log Analytics-werkruimtequery's gebruiken om query's uit te voeren op Azure Service Fabric-logboeken.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Azure Log Analytics-werkruimte gebruiken voor het bewaken en waarschuwen van afwijkende activiteiten in beveiligingslogboeken en gebeurtenissen met betrekking tot uw Azure Service Fabric-cluster.

Verantwoordelijkheid: Klant

2.8: Logboekregistratie van antimalware centraliseren

Richtlijnen: Windows Defender is standaard geïnstalleerd op Windows Server 2016. Raadpleeg de documentatie over antimaleware voor configuratieregels als u geen Windows Defender gebruikt. Windows Defender wordt niet ondersteund in Linux.

Verantwoordelijkheid: Klant

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Implementeer een oplossing van derden voor DNS-logboekregistratie.

Verantwoordelijkheid: Klant

2.10: Logboekregistratie van opdrachtregelcontrole inschakelen

Richtlijnen: consolelogboekregistratie handmatig configureren per knooppunt.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheerdersaccounts onderhouden

Richtlijnen: houd de record bij van het lokale beheerdersaccount dat is gemaakt tijdens het inrichten van het Azure Service Fabric-cluster en eventuele andere accounts die u maakt. Als bovendien Azure Active Directory-integratie (Azure AD) wordt gebruikt, Azure AD ingebouwde rollen heeft die expliciet moeten worden toegewezen en daarom query's kunnen uitvoeren. Gebruik de Azure AD PowerShell-module om adhoc-query's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

Daarnaast kunt u aanbevelingen voor Microsoft Defender voor cloudidentiteit en toegangsbeheer gebruiken.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Bij het inrichten van een cluster moet u in Azure nieuwe wachtwoorden maken voor de webportal. Er zijn geen standaardwachtwoorden om te wijzigen, maar u kunt verschillende wachtwoorden opgeven voor toegang tot de webportal.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Verificatie voor Service Fabric integreren met Azure Active Directory (Azure AD). Beleidsregels en procedures maken voor het gebruik van toegewezen beheerdersaccounts.

Daarnaast kunt u aanbevelingen voor Microsoft Defender voor cloudidentiteit en toegangsbeheer gebruiken.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding (SSO) gebruiken met Azure Active Directory

Richtlijnen: Gebruik waar mogelijk eenmalige aanmelding van Azure Active Directory (Azure AD) in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik aanbevelingen voor Microsoft Defender voor cloudidentiteit en toegangsbeheer.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle toegang op basis van Azure Active Directory

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen.

Verantwoordelijkheid: Klant

3.6: Toegewezen machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Gebruik Privileged Access Workstation (PAW) met meervoudige verificatie die is geconfigureerd voor het aanmelden en configureren van uw Service Fabric-clusters en gerelateerde resources.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken voor het genereren van logboeken en waarschuwingen wanneer verdachte of onveilige activiteiten plaatsvinden in de omgeving. Gebruik bovendien Azure AD risicodetecties om waarschuwingen en rapporten over riskant gebruikersgedrag weer te geven.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Voorwaardelijke toegang benoemde locaties gebruiken om alleen toegang toe te staan vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Gebruik Azure Active Directory (Azure AD) als het centrale verificatie- en autorisatiesysteem om de toegang tot beheereindpunten van Service Fabric-clusters te beveiligen. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en slaat gebruikersreferenties veilig op.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.ServiceFabric:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory-verificatie (Azure AD) gebruiken met uw Service Fabric-cluster. Azure AD biedt logboeken om verouderde accounts te detecteren. Daarnaast gebruikt u Azure Identity Access Reviews om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. De toegang van de gebruiker kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Waarschuwing over gedragdeviatie van accountaanmelding

Richtlijnen: Aanmeldings- en auditlogboeken van Azure Active Directory (Azure AD) gebruiken om te controleren op pogingen om toegang te krijgen tot gedeactiveerde accounts. Deze logboeken kunnen worden geïntegreerd in elk SIEM-/bewakingsprogramma van derden.

U kunt dit proces stroomlijnen door diagnostische instellingen te maken voor Azure AD gebruikersaccounts, de auditlogboeken en aanmeldingslogboeken te verzenden naar een Azure Log Analytics-werkruimte. Configureer de gewenste waarschuwingen in de Azure Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmelding bij accountaanmelding

Richtlijnen: Gebruik de functies van Azure Active Directory (Azure AD) Risk and Identity Protection om geautomatiseerde antwoorden te configureren voor gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten. U kunt ook gegevens opnemen in Microsoft Sentinel voor verder onderzoek.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventaris van gevoelige informatie onderhouden

Richtlijnen: Tags gebruiken voor resources die betrekking hebben op uw Service Fabric-clusterimplementaties om u te helpen bij het bijhouden van Azure-resources die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Resources moeten worden gescheiden door Virtual Network of subnet, op de juiste manier worden gelabeld en beveiligd door een netwerkbeveiligingsgroep of Azure Firewall. Resources die gevoelige gegevens opslaan of verwerken, moeten voldoende geïsoleerd zijn. Voor Virtual Machines het opslaan of verwerken van gevoelige gegevens implementeert u beleid en procedures om ze uit te schakelen wanneer ze niet in gebruik zijn.

Verantwoordelijkheid: Klant

4.3: Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Implementeer een geautomatiseerd hulpprogramma op netwerkperimeters die bewaakt op onbevoegde overdracht van gevoelige informatie en blokkeert dergelijke overdrachten terwijl beveiligingsprofessionals van informatie worden gewaarschuwd.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat ze tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: alle gevoelige informatie tijdens overdracht versleutelen. Zorg ervoor dat clients die verbinding maken met uw Azure-resources, tls 1.2 of hoger kunnen onderhandelen.

Gebruik een X.509-certificaat voor serveridentiteit en TLS-versleuteling van HTTP-communicatie voor Service Fabric-client-naar-knooppunten. Een willekeurig aantal extra certificaten kan worden geïnstalleerd op een cluster voor toepassingsbeveiligingsdoeleinden, waaronder versleuteling en ontsleuteling van toepassingsconfiguratiewaarden en -gegevens op knooppunten tijdens replicatie. Volg de aanbevelingen van Microsoft Defender voor Cloud voor versleuteling in rust en versleuteling tijdens overdracht, indien van toepassing.

Verantwoordelijkheid: Gedeeld

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Storage- of rekenresources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat ze tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.7: Preventie van gegevensverlies op basis van host gebruiken om toegangsbeheer af te dwingen

Richtlijnen: Voor Service Fabric-clusters die gevoelige informatie opslaan of verwerken, markeert u het cluster en gerelateerde resources als gevoelig met behulp van tags. Functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Storage- of rekenresources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat ze tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: Versleuteling at rest gebruiken voor alle Azure-resources. Microsoft raadt Azure aan om uw versleutelingssleutels te beheren, maar in sommige gevallen kunt u uw eigen sleutels beheren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.ServiceFabric:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend Controleren, Weigeren, Uitgeschakeld 1.1.0

4.9: Logboek en waarschuwing bij wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer wijzigingen plaatsvinden in kritieke Azure-resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: voer regelmatig de Service Fabric Fault Analysis Service en Chaos-services uit om fouten in het hele cluster te simuleren om de robuustheid en betrouwbaarheid van uw services te beoordelen.

Volg aanbevelingen van Microsoft Defender voor Cloud over het uitvoeren van evaluatie van beveiligingsproblemen op uw virtuele Azure-machines en containerinstallatiekopieën.

Gebruik een oplossing van derden voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en webtoepassingen. Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, beheerdersaccount. Overweeg om de JIT-inrichtingsmethodologie voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.

Verantwoordelijkheid: Klant

5.2: Geautomatiseerde oplossing voor patchbeheer van besturingssystemen implementeren

Richtlijnen: Automatische upgrades van installatiekopieën van het besturingssysteem inschakelen voor de virtuele-machineschaalsets van uw Service Fabric-cluster.

Als u ook eerst patches voor het besturingssysteem wilt testen voordat u naar productie gaat, gebruikt u de handmatige trigger voor upgrades van de installatiekopieën van de besturingssysteeminstallatiekopieën van uw schaalset. Houd er rekening mee dat de handmatige triggeroptie geen ingebouwde terugdraaiactie biedt. Besturingssysteempatches bewaken met Updatebeheer vanuit Azure Automation.

Verantwoordelijkheid: Klant

5.3: Geautomatiseerde patchbeheeroplossing implementeren voor softwaretitels van derden

Richtlijnen: Automatische upgrades van installatiekopieën van het besturingssysteem inschakelen voor de virtuele-machineschaalsets van uw Azure Service Fabric-cluster. Patch Orchestration Application (POA) is een alternatieve oplossing die is bedoeld voor Service Fabric-clusters die buiten Azure worden gehost. POA kan worden gebruikt met Azure-clusters, met extra hostingoverhead.

Verantwoordelijkheid: Klant

5.4: back-to-back-beveiligingsscans vergelijken

Richtlijnen: Scanresultaten met consistente intervallen exporteren en de resultaten vergelijken om te controleren of beveiligingsproblemen zijn opgelost. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die worden voorgesteld door Microsoft Defender voor Cloud, kunt u in de portal van de geselecteerde oplossing draaien om historische scangegevens weer te geven.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: Gebruik een gemeenschappelijk scoreprogramma voor risico's (bijvoorbeeld gemeenschappelijk scoresysteem voor beveiligingsproblemen) of de standaardrisicobeoordelingen van uw hulpprogramma voor scannen van derden.

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventory and Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnement(en). Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources binnen uw abonnementen.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt het ten zeerste aanbevolen om azure Resource Manager resources te maken en te gebruiken.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig taggen, beheergroepen en afzonderlijke abonnementen om assets te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: Definieer goedgekeurde Azure-resources en goedgekeurde software voor rekenresources.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Gebruik Azure Resource Graph om resources in uw abonnementen op te vragen/te detecteren. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd.

Verantwoordelijkheid: Klant

6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources

Richtlijnen: Implementeer een oplossing van derden voor het bewaken van clusterknooppunten voor niet-goedgekeurde softwaretoepassingen.

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort), inclusief Service Fabric-clusters, binnen uw abonnementen. Verwijder niet-goedgekeurde Azure-resources die u detecteert. Implementeer voor Service Fabric-clusterknooppunten een oplossing van derden om niet-goedgekeurde software te verwijderen of te waarschuwen.

Verantwoordelijkheid: Klant

6.8: Alleen goedgekeurde toepassingen gebruiken

Richtlijnen: Voor Service Fabric-clusterknooppunten implementeert u een oplossing van derden om te voorkomen dat niet-geautoriseerde software wordt uitgevoerd.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: gebruik Azure Policy om te beperken welke services u in uw omgeving kunt inrichten.

Verantwoordelijkheid: Klant

6.10: Een inventaris van goedgekeurde softwaretitels onderhouden

Richtlijnen: Voor Azure Service Fabric-clusterknooppunten implementeert u een oplossing van derden om te voorkomen dat niet-geautoriseerde bestandstypen worden uitgevoerd.

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resources Manager te beperken door toegang blokkeren te configureren voor de Microsoft Azure Management-app.

Verantwoordelijkheid: Klant

6.12: Beperk de mogelijkheid van gebruikers om scripts uit te voeren binnen rekenresources

Richtlijnen: Besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren binnen Azure-rekenresources te beperken.

Verantwoordelijkheid: Klant

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: Software die vereist is voor bedrijfsactiviteiten, maar die een hoger risico voor de organisatie kan opleveren, moet worden geïsoleerd binnen een eigen virtuele machine en/of virtueel netwerk en voldoende beveiligd met een Azure Firewall of netwerkbeveiligingsgroep.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.ServiceFabric om aangepast beleid te maken om de netwerkconfiguratie van uw Service Fabric-cluster te controleren of af te dwingen.

Verantwoordelijkheid: Klant

7.2: Veilige besturingssysteemconfiguraties instellen

Richtlijnen: Installatiekopieën van het Service Fabric-besturingssysteem worden beheerd en onderhouden door Microsoft. Klant die verantwoordelijk is voor het implementeren van beveiligde configuraties voor het besturingssysteem van uw clusterknooppunten.

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure Service Fabric-clusters en gerelateerde resources.

Verantwoordelijkheid: Klant

7.4: Besturingssysteemconfiguraties beveiligen

Richtlijnen: Installatiekopieën van het Service Fabric-clusterbesturingssysteem die worden beheerd en onderhouden door Microsoft. De klant is verantwoordelijk voor het implementeren van statusconfiguratie op besturingssysteemniveau.

Verantwoordelijkheid: Gedeeld

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: als u aangepaste Azure Policy definities gebruikt, gebruikt u Azure DevOps of Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Verantwoordelijkheid: Klant

7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan

Richtlijnen: Als u aangepaste installatiekopieën gebruikt, gebruikt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën. Voor containerinstallatiekopieën slaat u ze op in Azure Container Registry en maakt u gebruik van Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.ServiceFabric om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Ontwikkel bovendien een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.ServiceFabric om aangepast beleid te maken om de configuratie van uw Service Fabric-cluster te controleren of af te dwingen.

Verantwoordelijkheid: Klant

7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen

Richtlijnen: Gebruik Microsoft Defender voor Cloud om basislijnscans uit te voeren op os- en Docker-instellingen voor containers.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Gebruik Managed Service Identity in combinatie met Azure Key Vault om geheimbeheer voor uw cloudtoepassingen te vereenvoudigen en te beveiligen.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Beheerde identiteiten kunnen worden gebruikt in Door Azure geïmplementeerde Service Fabric-clusters en voor toepassingen die zijn geïmplementeerd als Azure-resources. Met beheerde identiteiten kunt u verifiëren bij elke service die ondersteuning biedt voor Azure Active Directory-verificatie (Azure AD), inclusief Key Vault, zonder referenties in uw code.

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Als u code gebruikt die betrekking heeft op uw Azure Service Fabric-implementatie, kunt u referentiescanner implementeren om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Gebruik Azure Key Vault om Service Fabric-clustercertificaten automatisch te roteren.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.1: Centraal beheerde antimalwaresoftware gebruiken

Richtlijnen: Windows Defender antivirussoftware standaard is geïnstalleerd op Windows Server 2016. De gebruikersinterface wordt standaard geïnstalleerd op een aantal SKU's, maar is niet vereist.

Raadpleeg de documentatie voor antimalware voor configuratieregels als u Windows Defender niet gebruikt. Windows Defender wordt niet ondersteund in Linux.

Verantwoordelijkheid: Klant

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Regelmatige geautomatiseerde back-ups garanderen

Richtlijnen: Met de service Back-up en herstel in Service Fabric kunt u eenvoudig en automatisch back-ups maken van gegevens die zijn opgeslagen in stateful services. Het maken van back-ups van toepassingsgegevens is periodiek essentieel voor beveiliging tegen gegevensverlies en niet-beschikbaarheid van services. Service Fabric biedt een optionele back-up- en herstelservice, waarmee u periodieke back-ups van stateful Reliable Services (inclusief Actor Services) kunt configureren zonder dat u extra code hoeft te schrijven. Het vereenvoudigt ook het herstellen van eerder gemaakte back-ups.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups en back-ups maken van door de klant beheerde sleutels

Richtlijnen: Back-upherstelservice inschakelen in uw Service Fabric-cluster en back-upbeleid maken om periodiek en on-demand back-ups te maken van stateful services. Maak een back-up van door de klant beheerde sleutels in Azure Key Vault.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg ervoor dat u herstel vanuit de back-upherstelservice kunt uitvoeren door periodiek back-upconfiguratiegegevens en beschikbare back-ups te controleren. Test het herstel van door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Back-ups van de Service Fabric Backup Restore-service maken gebruik van een Azure Storage-account in uw abonnement. Azure Storage versleutelt alle gegevens in een opslagaccount-at-rest. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels. Voor extra controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor versleuteling van opslaggegevens.

Als u door de klant beheerde sleutels gebruikt, moet u ervoor zorgen dat Soft-Delete in Key Vault is ingeschakeld om sleutels te beveiligen tegen onbedoelde of schadelijke verwijdering.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Ontwikkel een handleiding voor het reageren op incidenten voor uw organisatie. Zorg ervoor dat er schriftelijke incidentresponsplannen zijn die alle rollen van personeel definiëren, evenals de fasen van incidentafhandeling en -beheer van detectie tot incidentbeoordeling.

Verantwoordelijkheid: Klant

10.2: Een procedure voor het scoren en prioritiseren van incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de metrische gegevens die worden gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing heeft geleid.

Bovendien markeert u abonnementen met behulp van tags en maakt u een naamgevingssysteem om Azure-resources te identificeren en categoriseren, met name de resources die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het herstel van waarschuwingen op basis van de kritiek van de Azure-resources en -omgeving waar het incident is opgetreden.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te leggen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of niet-geautoriseerde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Voer regelmatig penetratietests uit voor uw Azure-resources en zorg voor herstel van alle kritieke beveiligingsresultaten

Richtlijnen: Volg de Regels voor penetratietests van Microsoft Cloud om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen