Beveiliging - Learn | Microsoft Docs

10 minuten

Zorgorganisaties slaan persoonlijke en mogelijk gevoelige klantgegevens op. Financiële instellingen slaan accountnummers, saldi en transactiegeschiedenis op. Retailers slaan aankoopgeschiedenis, accountgegevens en demografische gegevens van klanten op. Door een beveiligingsincident zouden deze gevoelige gegevens openbaargemaakt kunnen worden, wat klanten in verlegenheid kan brengen of financiële schade met zich kan meebrengen. Hoe zorgt u voor de integriteit van hun gegevens en hoe zorgt u dat uw systemen veilig zijn?

In deze eenheid leert u meer over de belangrijke elementen van de pijler beveiliging.

Wat is beveiliging?

Beveiliging is uiteindelijk het beveiligen van de gegevens die uw organisatie gebruikt, opslaat en verzendt. De gegevens die uw organisatie opslaat of verwerkt, moeten goed worden beveiligd. Deze gegevens omvatten mogelijk gevoelige gegevens over klanten, financiële gegevens over uw organisatie of kritieke line-of-business-gegevens ter ondersteuning van uw organisatie. Het beveiligen van de infrastructuur waarin de gegevens aanwezig zijn en de identiteiten die worden gebruikt om er toegang toe te krijgen, is ook uitermate belangrijk.

Uw gegevens zijn mogelijk onderworpen aan aanvullende wettelijke regels en voorschriften, afhankelijk van uw locatie, het soort gegevens dat u opslaat of de branche waarin uw toepassing wordt gebruikt.

Zo geldt voor de gezondheidszorg in de Verenigde Staten bijvoorbeeld een wet die HIPAA (Health Insurance Portability and Accountability Act) wordt genoemd. In de financiële sector wordt voor de verwerking van creditcardgegevens de Payment Card Industry Data Security Standard oftewel de standaard voor de betaalkaartenbranche en gegevensbeveiliging toegepast. Organisaties die gegevens opslaan waarop deze wetten en standaarden van toepassing zijn, moeten ervoor zorgen dat bepaalde veiligheidsmaatregelen worden toegepast om deze gegevens te beschermen. In Europa worden in de AVG (Algemene Verordening Gegevensbescherming) regels voor de bescherming van persoonsgegevens voorgeschreven en de rechten van personen met betrekking tot opgeslagen gegevens vastgelegd. Sommige landen vereisen dat bepaalde soorten gegevens hun landsgrenzen niet overschrijden.

Wanneer de beveiliging wordt geschonden, kan dit aanzienlijke gevolgen hebben voor de financiën en de reputatie van zowel organisaties als klanten. Dit is nadelig van invloed op het vertrouwen van klanten in uw organisatie en mogelijk ook op de gezondheid van uw organisatie op de lange termijn.

Diepgaande verdediging

Als u voor de beveiliging van uw omgeving een aanpak met meerdere lagen hanteert, zal de beveiligingssituatie van uw omgeving verbeteren. Deze beveiliging is algemeen bekend als diepgaande verdediging. We kunnen deze in de volgende lagen opdelen:

Gegevens
Toepassingen
VM/compute
Netwerken
Perimeter
Beleid en toegang
Fysieke beveiliging

Elke laag is gericht op een ander gebied waar aanvallen kunnen plaatsvinden en vormt een extra beveiligingslaag als één laag wegvalt of door een aanvaller wordt omzeild. Als we ons slechts op één laag zouden richten, zouden aanvallers ongehinderd toegang tot uw omgeving hebben als ze door deze laag heen breken.

Door beveiliging aan te pakken in lagen zorgt u ervoor dat een aanvaller veel beter zijn best moet doen om toegang te krijgen tot uw systemen en gegevens. Op elke laag worden andere beveiligingsmechanismen, -technologieën en -functies toegepast. Wanneer u bepaalt welke beveiligingsmaatregelen moeten worden genomen, is het vaak belangrijk wat het gaat kosten. U moet de kosten afwegen tegen de vereisten en het algehele risico voor het bedrijf.

Een afbeelding met diepgaande verdediging en gegevens in het midden. De ringen van beveiliging om de gegevens zijn: toepassing, computing, netwerk, perimeter, identiteit en toegang en fysieke beveiliging.

Geen enkel beveiligingssysteem en geen enkele beveiligingsmethode of -technologie kan uw architectuur volledig beschermen. Beveiliging is meer dan technologie alleen. Het gaat ook over mensen en processen. Door een omgeving te creëren met een holistische kijk op beveiliging en van beveiliging standaard een vereiste te maken, helpt u ervoor te zorgen dat uw organisatie zo veilig mogelijk is.

Beveiligen tegen veelvoorkomende aanvallen

Voor elke laag zijn er enkele gangbare soorten aanvallen waartegen u zichzelf moet beschermen. De volgende lijst is niet uitputtend, maar geeft een indruk hoe elke laag kan worden aangevallen en welke soorten beveiliging u waarschijnlijk nodig hebt.

Gegevenslaag: Als een versleutelingssleutel openbaar wordt gemaakt of als u een zwakke versleuteling gebruikt, kunnen uw gegevens kwetsbaar zijn voor toegang door onbevoegden.
Toepassingslaag: Schadelijke code binnenbrengen en uitvoeren zijn kenmerkende aanvallen in de toepassingslaag. Veelvoorkomende aanvallen zijn SQL-injectie en XSS (cross-site scripting).
VM-/computelaag: Schadelijke software is een veelgebruikte methode om een omgeving aan te vallen. Hierbij wordt schadelijke code uitgevoerd om in te breken in een systeem. Als de schadelijke software eenmaal aanwezig is in een systeem, kunnen verdere aanvallen leiden tot blootstelling van aanmeldingsgegevens en zijdelingse verplaatsing binnen de omgeving.
Netwerklaag: Poorten die onnodig zijn geopend voor internet, vormen een veelgebruikte aanvalsmethode. Dit geldt ook voor SSH of RDP dat openstaat naar virtuele machines. Als deze protocollen openstaan, kunnen uw systemen met brute kracht worden aangevallen terwijl de aanvallers proberen toegang te krijgen.
Perimeterlaag: DoS-aanvallen (Denial of Service) worden vaak uitgevoerd op dit niveau. Via deze aanvallen wordt geprobeerd netwerkbronnen te overstelpen, waardoor ze offline gaan of niet meer kunnen reageren op legitieme aanvragen.
Beleids- en toegangslaag: Op deze laag vindt de verificatie voor uw toepassing plaats. Deze laag omvat bijvoorbeeld moderne verificatieprotocollen, zoals OpenID Connect, OAuth of verificatie op basis van Kerberos, zoals Active Directory. Op deze laag bestaat het risico dat aanvallers toegang krijgen tot aanmeldingsgegevens en het is belangrijk de machtigingen van identiteiten te beperken. U dient ook bewaking in te stellen om te zoeken naar mogelijk gehackte accounts, zoals aanmeldingen die afkomstig zijn vanaf ongebruikelijke locaties.
Fysieke laag: Toegang tot faciliteiten door onbevoegden via methoden, zoals samen met iemand anders mee naar binnen glippen en diefstal van beveiligingsbadges, vindt plaats in deze laag.

Beveiliging met gedeelde verantwoordelijkheid

Om nog eens terug te komen op het model van gedeelde verantwoordelijkheid: we kunnen dit opnieuw toepassen in de context van beveiliging. Afhankelijk van het type service dat u selecteert, zijn bepaalde beveiligingen in de service ingebouwd, terwijl andere uw verantwoordelijkheid blijven. Een zorgvuldige evaluatie van de services en technologieën die u selecteert, is nodig om te controleren of u de juiste beveiligingsmechanismen voor uw architectuur biedt.

Een afbeelding waarin wordt weergegeven hoe cloudproviders en klanten beveiligingsverantwoordelijkheden delen onder verschillende soorten cloudservicemodellen: on-premises, IaaS (infrastructuur als een dienst), PaaS (platform als een dienst) en SaaS (software als een dienst).

Test uw kennis

Voor welke van de volgende typen gegevens moeten mogelijk beveiligingsmaatregelen worden getroffen?

Klantgegevens die persoonlijke informatie bevatten

Financiële gegevens die bedrijfsactiviteiten ondersteunen

Intellectueel eigendom

Voor alle bovenstaande gegevens zijn mogelijk beveiligingsmaatregelen nodig

Wat is een voorbeeld van een aanval die in de beleids- en toegangslaag kan plaatsvinden?

Aanmeldingsgegevens die openbaar zijn gemaakt doordat ze online zijn geplaatst

Een SYN-overloopaanval

Een medewerker in een datacenter volgen zonder referenties te tonen

Ransomware waarmee de schijven van een virtuele machine worden versleuteld

U moet alle vragen beantwoorden voordat uw werk kan worden gecontroleerd.

Doorgaan