Gecentraliseerd beleidsbeheer met Microsoft Defender voor Cloud

  • 10 minuten

Op beleid gebaseerd beheer kan IT-activiteiten stroomlijnen en helpen de organisatie te beschermen door goed ontworpen beleid af te dwingen. Met Azure Policy kunt u vereisten voor uw Azure-abonnementen definiëren en deze aanpassen aan uw type workload of de gevoeligheid van uw gegevens.

Microsoft Defender voor Cloud is volledig geïntegreerd met Azure Policy. Defender voor Cloud kan beleidsnaleving voor al uw abonnementen bewaken met behulp van een standaardset beveiligingsbeleid. Met een beveiligingsbeleid bepaalt u welke set besturingselementen wordt aanbevolen voor resources binnen het opgegeven abonnement of de opgegeven resourcegroep. Deze beveiligingsbeleidsregels definiëren de gewenste configuratie van uw workloads en helpen om te zorgen voor naleving van de beveiligingsvereisten van het bedrijf of de regelgeving. De standaardinstellingen kunnen worden aangepast en gedefinieerd zodat ze aansluiten op de specifieke wensen van uw organisatie.

Hier volgen enkele van de ingebouwde beveiligingsbeleidsregels die Defender voor Cloud bewaakt:

  • Veilige overdracht naar opslagaccounts moet zijn ingeschakeld.
  • Microsoft Entra-beheerder voor SQL Server moet worden ingericht.
  • Voor clientverificatie moet Microsoft Entra-id worden gebruikt.
  • Diagnostische logboeken in Key Vault moeten zijn ingeschakeld.
  • Er moeten systeemupdates op uw computers worden geïnstalleerd.
  • Controleer ontbrekende blobversleuteling voor opslagaccounts.
  • Just-In-Time-netwerktoegangsbeheer moet worden toegepast op virtuele machines.

Standaard wordt al het beveiligingsbeleid ingeschakeld voor alle bewaakte abonnementen. Beveiligingsbeleid en aanbevelingen zijn aan elkaar gekoppeld. Als u een beveiligingsbeleid inschakelt, bijvoorbeeld met betrekking tot kwetsbaarheden in het besturingssysteem, worden daarmee ook aanbevelingen voor dat beleid ingeschakeld. In Defender voor Cloud definieert u beleidsregels voor uw Azure-abonnementen of -resourcegroepen op basis van de beveiligingsbehoeften van uw bedrijf en de typen toepassingen of vertrouwelijkheid van gegevens in elk abonnement.

Zo kunnen er voor resources die worden gebruikt voor ontwikkeling of tests andere beveiligingsvereisten zijn dan voor resources die worden gebruikt voor productietoepassingen. Toepassingen die gebruikmaken van gereguleerde gegevens, zoals persoonlijke gegevens, kunnen ook een hoger beveiligingsniveau vereisen. Beveiligingsbeleid dat is ingeschakeld in Microsoft Defender voor Cloud beveiligingsaanbeveling en -bewaking aandrijven om potentiële beveiligingsproblemen te identificeren en bedreigingen te beperken.

Beleidsregels worden vanuit het abonnement overgenomen in de resourcegroepen. U kunt de beleidsregels voor beveiliging echter afzonderlijk beheren, op resourcegroepniveau.

Notitie

Als u het beveiligingsbeleid op abonnementsniveau of het niveau van de resourcegroep wilt wijzigen, moet u de eigenaar van het abonnement of een bijdrager voor het abonnement zijn.

Werken met beveiligingsbeleid

U kunt het actieve beveiligingsbeleid bekijken via de Defender voor Cloud Omgevingsinstellingen.

Nadat u uw abonnement hebt geselecteerd, selecteert u Beveiligingsbeleid om de standaard- of aangepaste initiatieven te zien die zijn ingeschakeld voor uw abonnement. In dit geval selecteren we het standaardinitiatief.

Screenshot of the Security policy pane with the default initiative selected.

Selecteer het tabblad Parameters en u ziet een lijst met beleidsparameters met vervolgkeuzelijsten. Mogelijk moet u het selectievakje Alleen parameters weergeven uitschakelen... om een niet-gefilterde weergave weer te geven.

Screenshot that shows the Parameters tab with System updates entered in the search box and the results displayed.

In de vorige installatiekopie ziet u dat we hebben gezocht naar systeemupdates en dat systeemupdates moeten worden geïnstalleerd op uw computers is ingesteld op AuditIfNotExists. In dit abonnement, met verbeterde beveiliging uitgeschakeld, betekent dit dat alle virtuele machines (VM's) worden gecontroleerd om ervoor te zorgen dat de meest recente beveiligingsupdates worden toegepast. Voor alle virtuele machines waarbij fouten worden gevonden, wordt er een controlegebeurtenis gegenereerd.

Nalevingsbeleid wijzigen

Eigenaren en beveiligingsbeheerders kunnen het standaardbeveiligingsbeleid voor elk van de weergegeven Azure-abonnementen en -beheergroepen bewerken via Defender voor Cloud. Azure Portal is de eenvoudigste manier om wijzigingen aan te brengen in beleid, maar u kunt ook een opdrachtregelinterface (Azure CLI of Azure PowerShell) of de programmatische REST API gebruiken.

Laten we enkele aanbevelingen bekijken die Microsoft Defender voor Cloud doen over uw resources met behulp van deze beleidsdefinities.