Azure-beveiligingsbasislijn voor Azure Active Directory

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Active Directory. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Active Directory.

Wanneer een functie relevante Azure Policy definities bevat die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Active Directory en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Active Directory volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor azure Active Directory-beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network-servicetags om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall geconfigureerd voor uw Azure Active Directory-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven, zoals 'AzureActiveDirectory' in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Azure Active Directory maakt de onderliggende DNS-configuraties niet beschikbaar; deze instellingen worden onderhouden door Microsoft.

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingsprocedure van uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen beoordelen in hoeverre uw identiteitsbeveiliging voldoet aan de aanbevelingen op basis van best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteit waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Beheerde identiteit gebruiken voor Azure-resources voor niet-menselijke accounts, zoals services of automatisering, is het raadzaam om de door Azure beheerde identiteitsfunctie te gebruiken in plaats van een krachtiger menselijk account te maken om toegang te krijgen tot of uw resources uit te voeren. U kunt systeemeigen verificatie uitvoeren bij Azure-services/-resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD) via vooraf gedefinieerde toegangsverleningsregel zonder referenties te gebruiken die zijn gecodeerd in broncode of configuratiebestanden. U kunt beheerde Azure-identiteiten niet toewijzen aan Azure AD resources, maar Azure AD is het mechanisme voor verificatie met beheerde identiteiten die zijn toegewezen aan resources van andere services.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Gebruik Azure Active Directory om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat ondernemingsidentiteiten zoals werknemers, maar ook externe identiteiten, zoals partners, verkopers en leveranciers. Zo kunt u eenmalige aanmelding (SSO) gebruiken voor het beheren en beveiligen van de gegevens en resources van uw organisatie, on premises en in de cloud. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen zijn Azure AD globale beheerder en de beheerder van de bevoorrechte rol, omdat gebruikers die aan deze twee rollen zijn toegewezen, beheerdersrollen kunnen delegeren:

  • Globale beheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.

  • Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast biedt deze rol het beheer van alle aspecten van PIM en administratieve eenheden.

Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. En misschien wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsactiva.

Azure AD heeft accounts met hoge bevoegdheden: de gebruikers en service-principals die direct of indirect zijn toegewezen aan of in aanmerking komen voor de rollen Globale beheerder of Bevoorrechte rolbeheerder en andere rollen met hoge bevoegdheden in Azure AD en Azure.

Beperk het aantal accounts met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau, omdat gebruikers met deze bevoegdheid elke resource in uw Azure-omgeving direct of indirect kunnen lezen en wijzigen.

U kunt bevoegdheden JIT-toegang (Just-In-Time) verlenen voor Azure-resources en Azure AD met behulp van Azure AD Privileged Identity Management (PIM). JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Controleer regelmatig toewijzingen van gebruikersaccounttoegang om ervoor te zorgen dat de accounts en hun toegang geldig zijn, met name gericht op de rollen met hoge bevoegdheden, waaronder globale beheerder en bevoorrechte rolbeheerder. U kunt toegangsbeoordelingen van Azure Active Directory (Azure AD) gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren, zowel voor Azure AD rollen als Azure-rollen. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure Privileged Identity Management ook worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen als beheerders, ontwikkelaars en serviceoperators met vergaande bevoegdheden. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory, Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune als u een beveiligd en beheerd gebruikerswerkstation voor beheertaken wilt implementeren. De beveiligde werkstations kunnen centraal worden beheerd en beveiligde configuraties afdwingen, waaronder krachtige verificatie, software- en hardwarebasislijnen, beperkte logische toegang en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Klanten kunnen hun Azure Active Directory-implementatie (Azure AD) configureren voor minimale bevoegdheden door gebruikers toe te wijzen aan de rollen met de minimale machtigingen die gebruikers nodig hebben om hun beheertaken te voltooien.

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces kiezen voor Microsoft-ondersteuning

Richtlijnen: Azure Active Directory biedt geen ondersteuning voor klanten-lockbox. Microsoft kan samenwerken met klanten via niet-lockbox-methoden voor goedkeuring voor toegang tot klantgegevens.

Verantwoordelijkheid: Gedeeld

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Houd rekening met de volgende richtlijnen voor het implementeren van beveiliging van gevoelige gegevens:

  • Isolatie: Een map is de gegevensgrens waarmee de Azure Active Directory-services (Azure AD) gegevens voor een klant opslaan en verwerken. Klanten moeten bepalen waar ze het grootste deel van hun Azure AD Klantgegevens willen opslaan door de eigenschap Land in hun adreslijst in te stellen.

  • Segmentatie: De rol van globale beheerder heeft volledige controle over alle directorygegevens en de regels voor toegang en verwerking. Een directory kan worden gesegmenteerd in beheereenheden en worden ingericht met gebruikers en groepen die moeten worden beheerd door beheerders van deze eenheden. Globale beheerders kunnen de verantwoordelijkheid overdragen aan andere principes in hun organisatie door ze toe te wijzen aan vooraf gedefinieerde rollen of aangepaste rollen die ze kunnen maken.

  • Toegang: Machtigingen kunnen worden toegepast op een gebruiker, groep, rol, toepassing of apparaat. De toewijzing kan permanent of tijdelijk zijn per Privileged Identity Management configuratie.

  • Versleuteling: Azure AD alle data-at-rest of in transit versleutelt. Met de aanbieding kunnen klanten adreslijstgegevens niet versleutelen met hun eigen versleutelingssleutel.

Als u wilt bepalen hoe het geselecteerde land wordt toegewezen aan de fysieke locatie van de map, raadpleegt u het artikel Waar bevinden zich uw gegevens.

Als de klant gebruikmaakt van verschillende Azure AD hulpprogramma's, functies en toepassingen die communiceren met hun directory, gebruikt u het artikel Azure Active Directory: waar bevinden zich uw gegevens?

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moeten gegevens die onderweg zijn beveiligd tegen 'out-of-band'-aanvallen (bijvoorbeeld verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure AD ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS- en SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Azure AD data-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Beveiligingsteam inzicht geven in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams de machtiging Beveiligingslezer hebben in uw Azure-tenant en -abonnementen zodat ze kunnen controleren op beveiligingsrisico's met behulp van Azure Security Center.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen van Azure Active Directory (Azure AD) voor uw Azure AD resources.

Azure AD activiteitenlogboeken produceert die vaak worden gebruikt voor detectie van bedreigingen en opsporing van bedreigingen. Azure AD aanmeldingslogboeken bieden een record van verificatie- en autorisatieactiviteit voor gebruikers, services en apps. Azure AD auditlogboeken wijzigingen bijhouden die zijn aangebracht in een Azure AD tenant, inclusief wijzigingen die de beveiligingspostuur verbeteren of verminderen.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Azure Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Riskante gebruikers: een riskante gebruiker is een indicator voor een gebruikersaccount dat mogelijk is aangetast.

Identiteitsbeveiligingsrisicodetecties zijn standaard ingeschakeld en vereisen geen onboardingproces. De granulariteit of risicogegevens worden bepaald door de licentie-SKU.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure Active Directory (Azure AD) produceert activiteitenlogboeken. In tegenstelling tot sommige Azure-services maakt Azure AD geen onderscheid tussen activiteiten en resourcelogboeken. Activiteitenlogboeken zijn automatisch beschikbaar in de sectie Azure AD van de Azure Portal en kunnen worden geëxporteerd naar Azure Monitor, Azure Event Hubs, Azure Storage, SIEM's en andere locaties.

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers

  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.

Azure AD biedt ook beveiligingsgerelateerde logboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Azure Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Riskante gebruikers: een riskante gebruiker is een indicator voor een gebruikersaccount dat mogelijk is aangetast.

Identiteitsbeveiligingsrisicodetecties zijn standaard ingeschakeld en vereisen geen onboardingproces. De granulariteit of risicogegevens worden bepaald door de licentie-SKU.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: We raden de volgende richtlijnen aan wanneer klanten hun beveiligingslogboeken willen centraliseren voor eenvoudiger opsporing van bedreigingen en analyse van beveiligingspostuur:

  • Centraliseer logboekopslag en -analyse om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron in Azure AD een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

  • Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

  • Daarnaast kunt u gegevens inschakelen en onboarden naar Azure Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Azure Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat alle opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van aanmeldingslogboeken van Azure Active Directory, auditlogboeken en logboeken met risicogegevens, de bewaarperiode voor logboeken zijn ingesteld op basis van de nalevingsregels van uw organisatie.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure Active Directory (Azure AD) biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Azure AD-service is afhankelijk van microsoft-tijdsynchronisatiebronnen en wordt niet beschikbaar gesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Microsoft-oplossingen voor identiteits- en toegangsbeheer helpen IT om de toegang tot toepassingen en resources in on-premises en in de cloud te beveiligen. Het is belangrijk dat organisaties de aanbevolen beveiligingsprocedures volgen om ervoor te zorgen dat hun implementatie van identiteits- en toegangsbeheer veilig en toleranter is voor aanvallen.

Op basis van uw implementatiestrategie voor identiteits- en toegangsbeheer moet uw organisatie de best practice-richtlijnen van Microsoft volgen om uw identiteitsinfrastructuur te beveiligen.

Organisaties die samenwerken met externe partners moeten bovendien passende governance-, beveiligings- en nalevingsconfiguraties evalueren en implementeren om beveiligingsrisico's te verminderen en gevoelige resources te beschermen.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Secure Score biedt organisaties een meting van hun beveiligingspostuur en aanbevelingen die organisaties kunnen helpen beschermen tegen bedreigingen. Het wordt aanbevolen dat organisaties regelmatig hun Beveiligingsscore controleren op voorgestelde verbeteringsacties om hun identiteitsbeveiligingspostuur te verbeteren.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen