Azure-beveiligingsbasislijn voor Azure App Configuration

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure App Configuration. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure App Configuration.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure App Configuration en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Zie het volledige Azure App Configuration toewijzingsbestand voor beveiligingsbasislijnen om te zien hoe Azure App Configuration volledig is toegewezen aan de Azure Security Benchmark.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Azure App Configuration implementeert geen resources rechtstreeks in een virtueel netwerk. Omdat de service niet is geïmplementeerd in een virtueel netwerk, kunt u bepaalde netwerkfuncties niet gebruiken om het interne verkeer van de service te beveiligen, zoals: netwerkbeveiligingsgroepen, routetabellen of andere netwerkapparaten, zoals een Azure Firewall. Met App Configuration kunt u echter privé-eindpunten gebruiken om veilig verbinding te maken met Azure App Configuration vanuit een virtueel netwerk.

Gebruik Microsoft Sentinel om het gebruik van verouderde onveilige protocollen zoals SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds en zwakke coderingen in Kerberos te detecteren.

Verantwoordelijkheid: Gedeeld

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Azure App Configuration ondersteunt het gebruik van privé-eindpunten om gegevens veilig te verzenden via een privékoppeling. Gebruik Azure ExpressRoute of vpn (Virtual Private Network) van Azure om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden meer betrouwbaarheid, snellere snelheden en lagere latenties dan typische internetverbinding. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering van virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.AppConfiguration:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Gebruik Azure Private Link om privétoegang tot Azure App Configuration vanuit uw virtuele netwerken mogelijk te maken zonder het internet te overschrijden.

Privétoegang is een aanvullende diepgaande verdedigingsmaatregel naast verificatie en verkeersbeveiliging die wordt aangeboden door Azure-services.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.AppConfiguration:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Wanneer u configuratiewaarden opent via een virtueel netwerk, beveiligt u uw resources tegen aanvallen van externe netwerken, waaronder DDoS-aanvallen (Distributed Denial of Service), toepassingsspecifieke aanvallen en ongevraagd en mogelijk schadelijk internetverkeer. Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Bescherm uw assets tegen DDoS-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw virtuele Azure-netwerken. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's met betrekking tot uw netwerkresources te detecteren.

Azure App Configuration is niet bedoeld om webtoepassingen uit te voeren, maar biedt deze de configuratie voor deze webtoepassingen. U hoeft geen extra instellingen te configureren of extra netwerkservices te implementeren om deze te beschermen tegen externe netwerkaanvallen die zijn gericht op webtoepassingen.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Azure Virtual Network-servicetags gebruiken om netwerktoegangsbeheer voor netwerkbeveiligingsgroepen te definiëren of Azure Firewall geconfigureerd voor uw App Configuration-resources. U kunt de servicetag AppConfiguration gebruiken in plaats van specifieke IP-adressen bij het maken van beveiligingsregels voor uitgaand verkeer in het netwerk van uw toepassing. Door de naam van de servicetag op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Azure App Configuration de onderliggende DNS-configuraties niet beschikbaar maakt, worden deze instellingen onderhouden door Microsoft.

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure App Configuration is geïntegreerd met Azure Active Directory (Azure AD), de standaardservice voor identiteits- en toegangsbeheer van Azure. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingsprocedure van uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen beoordelen in hoeverre uw identiteitsbeveiliging voldoet aan de aanbevelingen op basis van best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot App Configuration gegevens met behulp van Azure AD en OAuth:

  • App Configuration gegevenseigenaar: gebruik deze rol om lees-/schrijf-/verwijdertoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration-resource.
  • App Configuration gegevenslezer: gebruik deze rol om leestoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration-resource.
  • Inzender: Gebruik deze rol om de App Configuration resource te beheren. Hoewel de App Configuration gegevens kunnen worden geopend met behulp van toegangssleutels, verleent deze rol geen directe toegang tot de gegevens met behulp van Azure AD.
  • Lezer: Gebruik deze rol om leestoegang te geven tot de App Configuration resource. Hiermee verleent u geen toegang tot de toegangssleutels van de resource, noch tot de gegevens die zijn opgeslagen in App Configuration.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Door Azure beheerde identiteiten gebruiken om toegang te krijgen tot Azure App Configuration vanuit niet-menselijke accounts, zoals andere Azure-services. Het wordt aanbevolen om de functie beheerde identiteit van Azure te gebruiken in plaats van een krachtiger menselijk account te maken om toegang te krijgen tot uw resources of uw resources uit te voeren om de noodzaak om aanvullende referenties te beheren te beperken. Azure App Configuration kan ook een beheerde identiteit zelf worden toegewezen om systeemeigen te verifiëren bij andere Azure-services/-resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Dit kan handig zijn om eenvoudige toegang vanuit App Configuration naar Azure Key Vault in te schakelen bij het ophalen van geheimen. Wanneer u beheerde identiteiten gebruikt, wordt de identiteit beheerd door het Azure-platform en hoeft u geen geheimen in te richten of te roteren.

Azure App Configuration ondersteunt het verlenen van twee typen identiteiten aan uw toepassing:

  • Een door het systeem toegewezen identiteit is gekoppeld aan uw configuratieresource. Deze wordt verwijderd als uw configuratieresource wordt verwijderd. Een configuratieresource kan slechts één door het systeem toegewezen identiteit hebben.
  • Een door de gebruiker toegewezen identiteit is een zelfstandige Azure-resource die kan worden toegewezen aan uw configuratieresource. Een configuratieresource kan meerdere door de gebruiker toegewezen identiteiten hebben.

Wanneer beheerde identiteiten niet kunnen worden gebruikt, maakt u een service-principal met beperkte machtigingen op Azure App Configuration resourceniveau. Configureer deze service-principals met certificaatreferenties en maak alleen gebruik van clientgeheimen. In beide gevallen kan Azure Key Vault worden gebruikt om in combinatie met door Azure beheerde identiteiten te worden gebruikt, zodat de runtime-omgeving (bijvoorbeeld een Azure-functie) de referentie uit de sleutelkluis kan ophalen.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure App Configuration azure Active Directory (Azure AD) gebruikt om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat ondernemingsidentiteiten zoals werknemers, maar ook externe identiteiten, zoals partners, verkopers en leveranciers. Azure AD maakt eenmalige aanmelding (SSO) mogelijk om de App Configuration-service te beheren via de Azure Portal met behulp van gesynchroniseerde zakelijke Active Directory-identiteiten. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Azure App Configuration stelt klanten in staat om configuraties op te slaan die mogelijk identiteiten of geheimen bevatten. Het wordt aanbevolen referentiescanner te implementeren om referenties binnen configuraties te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Gebruik de Azure App Configuration-service samen met Azure Key Vault. Sla referenties op in Key Vault en koppel deze referenties aan deze referenties door een Key Vault verwijzing te maken in uw App-configuratieresource. Wanneer App Configuration deze verwijzingen maakt, worden de URI's van de Key Vault waarden opgeslagen in plaats van de waarden zelf. Toepassingen kunnen verbinding maken met App Configuration om referenties op te halen uit Key Vault.

Voor GitHub kunt u de systeemeigen functie voor het scannen op geheimen gebruiken om referenties of een andere vormen van geheimen binnen de code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau, omdat gebruikers met deze bevoegdheid elke resource in uw Azure-omgeving direct of indirect kunnen lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure Active Directory (Azure AD) inschakelen met behulp van Azure AD Privileged Identity Management (PIM). JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Toegangssleutels zijn zeer bevoegd en moeten regelmatig worden geroteerd als best practice voor beveiliging. Toegangssleutels bevatten verbindingsreeksen, die referentiegegevens bevatten en worden beschouwd als geheimen. Deze geheimen moeten worden opgeslagen in Azure Key Vault en uw code moet worden geverifieerd bij Key Vault om ze op te halen. Toegangssleutels kunnen lezen/schrijven of alleen leestoegang geven tot een toepassing. Zorg ervoor dat het juiste type toegangssleutel wordt uitgegeven om onbevoegde toegang te voorkomen. Als u veiliger wilt zijn, gebruikt u de functie beheerde identiteiten in Azure AD. Dit vereist alleen dat toepassingen de URL van het configuratie-eindpunt hebben voor toegang tot configuratiewaarden.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure App Configuration azure Active Directory-accounts (Azure AD) gebruikt om de resources te beheren, gebruikersaccounts en toewijzing regelmatig te controleren om ervoor te zorgen dat de accounts en hun toegang geldig zijn.

Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot App Configuration gegevens met behulp van Azure AD en OAuth:

  • App Configuration gegevenseigenaar: gebruik deze rol om lees-/schrijf-/verwijdertoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration-resource.

  • App Configuration gegevenslezer: gebruik deze rol om leestoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration-resource

U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen, zoals de bovenstaande App Configuration rollen, te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Opmerking: beheerde identiteiten worden waar mogelijk voorgesteld om te verifiëren bij App Configuration van een andere service of toepassing. U moet alle service-principals of verbindingsreeksen beheren die zijn geconfigureerd met toegang tot App Configuration afzonderlijk wanneer deze worden gebruikt.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen als beheerders, ontwikkelaars en serviceoperators met vergaande bevoegdheden. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken met betrekking tot de App Configuration. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd en beveiligde configuraties afdwingen, waaronder krachtige verificatie, software- en hardwarebasislijnen, beperkte logische toegang en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure App Configuration is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten groeperen. Er zijn vooraf gedefinieerde ingebouwde rollen voor Azure App Configuration en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Azure biedt de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot App Configuration gegevens met behulp van Azure AD en OAuth:

  • App Configuration gegevenseigenaar: gebruik deze rol om lees-/schrijf-/verwijdertoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration-resource.
  • App Configuration gegevenslezer: gebruik deze rol om leestoegang te geven tot App Configuration gegevens. Hiermee verleent u geen toegang tot de App Configuration-resource.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

App Configuration ondersteunt het opslaan van de configuratie van meerdere toepassingen in één App Configuration resource. Als u de toegang tot gegevens tussen toepassingen wilt beperken, maakt u een App Configuration resource per toepassing en stelt u Azure RBAC dienovereenkomstig in.

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces kiezen voor Microsoft-ondersteuning

Richtlijnen: Implementeer een organisatiegoedkeuringsproces voor ondersteuningsscenario's waarbij Microsoft mogelijk toegang nodig heeft tot uw App Configuration gegevens. Customer Lockbox is momenteel niet beschikbaar voor App Configuration ondersteuningsscenario's.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: Uw gevoelige gegevens detecteren, classificeren en labelen, zodat u de juiste besturingselementen kunt ontwerpen om ervoor te zorgen dat gevoelige informatie veilig wordt opgeslagen, verwerkt en verzonden door de technologiesystemen van de organisatie. Labelen voor gevoelige informatie, in de vorm van taggen, wordt ondersteund voor App Configuration resources, maar niet voor configuratiewaarden die erin zijn opgenomen. Zodra een toepassing lees- of schrijftoegang heeft tot een configuratiearchief, heeft deze volledige toegang tot een van de configuraties in dat archief.

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Voor het onderliggende platform, dat wordt beheerd door Microsoft, behandelt Microsoft alle klantinhoud als gevoelig en beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd. Zorg ervoor dat u regelmatig de toegangssleutels naar uw App Configuration resources roteert. Referentiegegevens uit verbindingsreeksen kunnen worden opgeslagen in Azure Key Vault en uw code moet worden geverifieerd bij Key Vault om deze op te halen. Toegangssleutels kunnen lezen/schrijven of alleen leestoegang geven tot een toepassing. Zorg ervoor dat het juiste type toegangssleutel wordt uitgegeven om onbevoegde toegang te voorkomen. Als u veiliger wilt zijn, gebruikt u de functie beheerde identiteiten in Azure Active Directory (Azure AD). Dit vereist alleen dat toepassingen de URL van het configuratie-eindpunt hebben voor toegang tot configuratiewaarden.

Toegang beperken met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC):

  • Scheid gevoelige gegevens in een eigen App Configuration resource en wijs vervolgens RBAC-beleid dienovereenkomstig toe, zodat alleen geautoriseerde toegang is ingeschakeld
  • Toegangsbeheer op basis van netwerken gebruiken
  • Specifieke besturingselementen in Azure-services (zoals versleuteling in SQL en andere databases) en zorgen voor consistent toegangsbeheer, moeten alle typen toegangsbeheer worden afgestemd op uw bedrijfssegmentatiestrategie.
  • De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Gedeeld

DP-3: Controleren op niet-geautoriseerde overdracht van gevoelige gegevens

Richtlijnen: Controleer op niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van de onderneming. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.

Azure-app configuratie zelf niet controleert op onbevoegde overdracht van gevoelige gegevens, maar is afhankelijk van onderliggende platforms die door Microsoft worden beheerd voor deze mogelijkheden. App Configuration kan worden gebruikt in combinatie met Azure Key Vault, die Defender voor Key Vault-waarschuwingen ondersteunt.

Azure Information Protection (AIP) biedt controlevoorzieningen voor informatie die is geclassificeerd en gelabeld.

Als dit nodig is voor de naleving van preventie van gegevensverlies (DLP), kunt u een DLP-oplossing op een host gebruiken om detectie en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

Verantwoordelijkheid: Microsoft

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moeten gegevens tijdens overdracht worden beschermd tegen 'out-of-band'-aanvallen met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure App Configuration gebruikt TLS-versleuteling voor alle HTTP-aanvragen. De Azure-infrastructuur biedt een extra laag versleuteling op netwerkniveau voor alle aanvragen tussen Azure-datacenters. Zorg ervoor dat HTTP-verkeer dat clients die verbinding maken met uw App Configuration-resources, kunnen onderhandelen over TLS v1.2 of hoger.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moet data-at-rest worden beveiligd tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure biedt standaard versleuteling van data-at-rest. Voor zeer gevoelige gegevens hebt u opties voor het implementeren van extra versleuteling at rest op alle Azure-resources, indien beschikbaar. Azure beheert standaard uw versleutelingssleutels, maar Azure biedt de mogelijkheid om uw eigen sleutels (door de klant beheerde sleutels) voor Azure App Configuration te beheren.

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Azure App Configuration. Beveiligingsteams hebben deze inventaris vaak nodig om de mogelijke blootstelling van hun organisatie aan toekomstige risico's te evalueren, en willen deze inventaris gebruiken als invoer waarmee ze de beveiliging constant kunnen verbeteren. Maak een Azure Active Directory-groep (Azure AD) die het geautoriseerde beveiligingsteam van uw organisatie bevat en wijs ze leestoegang toe aan alle Azure App Configuration resources. Dit kan worden vereenvoudigd door één roltoewijzing op hoog niveau binnen uw abonnement.

De microsoft Defender voor Cloud-inventarisfunctie en Azure Resource Graph kunnen alle resources in uw abonnementen doorzoeken en detecteren, waaronder Azure-services, toepassingen en netwerkresources.

Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Azure App Configuration ondersteunt implementaties op basis van Azure Resource Manager en het afdwingen van configuraties met behulp van Azure Policy. Gebruik Azure Policy om te controleren welke services gebruikers in uw omgeving kunnen inrichten en beperken. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: App Configuration kan worden geïntegreerd met Azure Active Directory (Azure AD). Dit biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwen voor bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen, afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de microsoft Defender for Cloud Threat Protection-module ook uitgebreidere beveiligingswaarschuwingen van Azure-servicelagen verzamelen. Deze mogelijkheid biedt u inzicht in accountafwijkingen binnen de afzonderlijke resources.

Een andere methode voor het verkrijgen van toegang tot uw App Configuration configuratieresource is het gebruik van toegangssleutels. Deze moeten regelmatig worden geroteerd om ervoor te zorgen dat er geen onbevoegde agents toegang krijgen tot uw configuratieresource. U kunt ze rechtstreeks in de portal draaien onder 'toegangssleutels'.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Azure App Configuration implementeert geen resources rechtstreeks in een virtueel netwerk. Met App Configuration kunt u echter privé-eindpunten gebruiken om veilig verbinding te maken met Azure App Configuration vanuit een virtueel netwerk. Azure App Configuration produceert of verwerkt geen DNS-querylogboeken die moeten worden ingeschakeld.

Schakel logboekregistratie in op uw geconfigureerde App Configuration privé-eindpunten om vast te leggen:

  • Gegevens die worden verwerkt door het privé-eindpunt (IN/OUT)
  • Gegevens verwerkt door de Private Link-service (IN/UIT)
  • Beschikbaarheid NAT-poort

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw App Configuration resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd. Voor App Configuration zijn activiteitenlogboeken alleen beschikbaar op het besturingsvlak en worden ze weergegeven door de Azure Resource Manager (ARM). Logboekregistratie van klantgerichte gegevensvlakken voor App Configuration wordt momenteel niet ondersteund. Azure-resourcelogboeken zijn ook niet beschikbaar om te worden geconfigureerd.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat alle opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van App Configuration logboeken de bewaarperiode voor logboeken hebben ingesteld volgens de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure App Configuration biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Azure App Configuration-service is afhankelijk van microsoft-tijdsynchronisatiebronnen en wordt niet beschikbaar gesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Azure App Configuration ondersteunt onderstaand servicespecifieke beleidsregels die beschikbaar zijn in Azure Microsoft Defender for Cloud om configuraties van uw Azure-resources te controleren en af te dwingen. Dit kan worden geconfigureerd in Microsoft Defender for Cloud of Azure Policy initiatieven.

  • App Configuration moet een door de klant beheerde sleutel gebruiken: door de klant beheerde sleutels bieden verbeterde gegevensbeveiliging door u in staat te stellen uw versleutelingssleutels te beheren. Dit is vaak nodig om aan de nalevingsvereisten te voldoen.
  • App Configuration moet een privékoppeling gebruiken: met privé-eindpuntverbindingen kunnen clients in een virtueel netwerk veilig toegang krijgen tot Azure App Configuration via een privékoppeling.

U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.

Verantwoordelijkheid: Gedeeld

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Defender voor Cloud gebruiken om uw configuratiebasislijn te bewaken en af te dwingen met behulp van Azure Policy. Azure Policy voor App Configuration omvat:

  • App Configuration moet een door de klant beheerde sleutel gebruiken: door de klant beheerde sleutels bieden verbeterde gegevensbeveiliging door u in staat te stellen uw versleutelingssleutels te beheren. Dit is vaak nodig om aan de nalevingsvereisten te voldoen.
  • App Configuration moet een privékoppeling gebruiken: met privé-eindpuntverbindingen kunnen clients in een virtueel netwerk veilig toegang krijgen tot Azure App Configuration via een privékoppeling.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Gedeeld

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Azure App Configuration is een PaaS-aanbieding en implementeert geen klantgerichte rekenresources die ondersteuning bieden voor hulpprogramma's voor evaluatie van beveiligingsproblemen. Microsoft verwerkt beveiligingsproblemen en evaluaties voor het onderliggende platform dat ondersteuning biedt voor App Configuration.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Azure App Configuration is een PaaS-aanbieding. Er worden geen klantgerichte rekenresources geïmplementeerd die ondersteuning bieden voor hulpprogramma's voor evaluatie van beveiligingsproblemen. Microsoft verwerkt beveiligingsproblemen en evaluaties voor het onderliggende platform dat ondersteuning biedt voor App Configuration.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-1: Eindpuntdetectie en -respons gebruiken (EDR)

Richtlijnen: Azure App Configuration implementeert geen klantgerichte rekenresources waarvoor klanten eindpuntdetectie- en responsbeveiliging (EDR) moeten configureren. De onderliggende infrastructuur voor App Configuration wordt verwerkt door Microsoft, waaronder antimalware en EDR-verwerking.

Verantwoordelijkheid: Microsoft

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Azure App Configuration implementeert geen klantgerichte rekenresources waarvoor klanten antimalwarebeveiliging moeten configureren. De onderliggende infrastructuur voor App Configuration wordt verwerkt door Microsoft, waaronder antimalwareafhandeling.

Verantwoordelijkheid: Microsoft

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Azure App Configuration implementeert geen klantgerichte rekenresources waarvoor klanten moeten zorgen dat antimalwarehandtekeningen consistent worden bijgewerkt. De onderliggende infrastructuur voor App Configuration wordt verwerkt door Microsoft, waaronder alle antimalwareafhandeling.

Verantwoordelijkheid: Microsoft

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om te voorkomen dat sleutels verloren gaan en te herstellen. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen