Azure-beveiligingsbasislijn voor servers met Azure Arc

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op servers met Azure Arc. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op servers met Azure Arc.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op servers met Azure Arc en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe servers met Azure Arc volledig worden toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor de beveiligingsbasislijn voor Azure Arc-servers.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: servers met Azure Arc bieden geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. U kunt bepaalde netwerkfuncties niet toepassen op de resources van de aanbieding. Deze resources omvatten netwerkbeveiligingsgroepen (NSG's), routetabellen of andere netwerkafhankelijke apparaten (zoals een Azure Firewall).

Voor de Azure Connected Machine-agent die op uw server wordt uitgevoerd, moet u ervoor zorgen dat deze kan communiceren met de Azure Arc-service via TCP-poort 443 (HTTPS).

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Met behulp van Azure ExpressRoute of vpn (Virtual Private Network) van Azure kunt u privéverbindingen maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet. Vergeleken met typische internetverbinding bieden deze verbindingen:

  • Meer betrouwbaarheid
  • Snellere snelheden
  • Lagere latenties

Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk. Gebruik een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: niet van toepassing; Servers met Azure Arc maken geen eindpunten beschikbaar voor externe netwerken die moeten worden beveiligd met conventionele netwerkbeveiligingen.

Servers met Azure Arc bieden geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. Traditionele netwerkfuncties voorkomen dus DDoS-aanvallen (Denial of Service) niet met systeemeigen Azure-netwerkfuncties, zoals DDoS Protection Standard.

Servers met Azure Arc zijn niet bedoeld om webtoepassingen uit te voeren. U hoeft geen instellingen meer te configureren of extra netwerkservices te implementeren om ze te beschermen tegen externe netwerkaanvallen die gericht zijn op web-apps.

Verantwoordelijkheid: Klant

NS-5: Inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: niet van toepassing; Servers met Azure Arc bieden geen ondersteuning voor implementatie in een virtueel netwerk. U kunt deze servers niet configureren met een IDS- of IPS-oplossing om bedreigingen in het netwerk te detecteren of te voorkomen.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Met behulp van servicetags voor virtuele Azure-netwerken definieert u besturingselementen voor netwerktoegang op NSG's of Azure Firewall die zijn geconfigureerd voor uw serverbronnen met Azure Arc. Gebruik servicetags in plaats van specifieke IP-adressen wanneer je beveiligingsregels maakt. Door de naam van de servicetag op te geven in een bron- of doelregelveld, kunt u het verkeer voor een service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die de servicetag omvat. De servicetag wordt automatisch bijgewerkt wanneer adressen worden gewijzigd.

De volgende servicetags geven een overzicht van de IP-bereiken die worden geopend door de Azure Connected Machine-agent die op uw server wordt uitgevoerd:

  • AzureArcInfrastructure
  • AzureActiveDirectory
  • AzureTrafficManager
  • AzureResourceManager
  • AzureStorage

Configureer deze servicetags als uitgaande regels in uw on-premises of cloudfirewall.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: servers met Azure Arc gebruiken Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals:
    • Azure Portal
    • Azure Storage
    • Virtuele Azure-machine (Linux en Windows)
    • Azure Key Vault
    • Platform as a service (PaaS)
    • SaaS-toepassingen (Software as a Service)
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Maak het beveiligen van Azure AD een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore. Met deze score kunt u uw identiteitsbeveiligingspostuur beoordelen op basis van de best practice-aanbevelingen van Microsoft. Met behulp van deze score kunt u meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen voor aanbevolen procedures. Gebruik het ook om verbeteringen aan te brengen in uw beveiligingspostuur.

Opmerking: Azure AD ondersteunt externe identiteiten. Met deze functie kunnen gebruikers zonder Microsoft-account zich met hun externe identiteit aanmelden bij hun toepassingen en resources.

Twee ingebouwde rollen kunnen u helpen bij het beheren van servers met Azure Arc met minimale bevoegdheden:

  • Met de azure Connected Machine Onboarding-rol kunnen gebruikers nieuwe machines registreren als servers met Azure Arc. Maar gebruikers kunnen de machine niet beheren zodra de machine is gemaakt. Wijs deze rol alleen toe aan serviceaccounts die u gebruikt om automatisch servers te registreren bij Azure Arc.
  • De rol Azure Connected Machine Administrator verleent volledige toegang tot een server met Azure Arc. Een gebruiker aan wie deze rol is toegewezen, kan:
    • Nieuwe servers registreren.
    • Extensies op de server implementeren en beheren.
    • Verwijder de resource.
    • Verken machtigingen voor het maken en beheren van Azure Arc Private Link bereiken.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Servers met Azure Arc ondersteunen beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met servers met Azure Arc in plaats van service-principals te maken voor toegang tot andere resources. Servers met Azure Arc kunnen systeemeigen verificatie uitvoeren bij de Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. Verificatie vindt plaats via een vooraf gedefinieerde regel voor het verlenen van toegang. Er worden geen referenties gebruikt die zijn vastgelegd in broncode- of configuratiebestanden.

Aan elke server met Azure Arc wordt automatisch een unieke, door het systeem toegewezen beheerde identiteit toegewezen. Deze identiteit wordt gebruikt door:

  • De Azure Connected Machine-agent.
  • Extensies.
  • Toepassingen die u op de computer machtigt om te communiceren met Azure-services.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Servers met Azure Arc gebruiken Azure AD om identiteits- en toegangsbeheer te bieden voor:

  • Azure-resources
  • Cloudtoepassingen
  • On-premises toepassingen

Identiteits- en toegangsbeheer omvat bedrijfsidentiteiten, zoals werknemers en externe identiteiten, zoals:

  • Partners
  • Leveranciers
  • Leveranciers

Met dit beheer kan eenmalige aanmelding (SSO) de toegang tot de gegevens en resources van uw organisatie beheren en beveiligen. Eenmalige aanmelding werkt zowel on-premises als in de cloud. Voor naadloze, veilige toegang en betere zichtbaarheid en controle maakt u verbinding met Azure AD al uw:

  • Gebruikers
  • Toepassingen
  • Apparaten

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IM-4: Krachtige verificatiebesturingselementen gebruiken voor alle toegang op basis van Azure AD

Richtlijnen: Servers met Azure Arc gebruiken Azure AD, die krachtige verificatiebesturingselementen ondersteunt via meervoudige verificatie (MFA) en krachtige methoden zonder wachtwoord.

  • MFA. Schakel Azure AD MFA in. Volg vervolgens aanbevelingen voor Microsoft Defender voor Cloud Identity and Access Management voor aanbevolen procedures in uw MFA-installatie. Op basis van aanmeldingsvoorwaarden en risicofactoren kan MFA worden afgedwongen op:
    • Alle gebruikers
    • Gebruikers selecteren
    • Niveau per gebruiker
  • Verificatie zonder wachtwoord. Er zijn drie verificatieopties zonder wachtwoord beschikbaar:
    • Windows Hello voor Bedrijven.
    • Microsoft Authenticator-app.
    • On-premises verificatiemethoden, zoals smartcards.

Gebruik voor beheerders en bevoegde gebruikers het hoogste niveau van de sterke verificatiemethode. Implementer vervolgens het juiste sterke verificatiebeleid voor andere gebruikers.

Servers met Azure Arc bieden ondersteuning voor verouderde verificatie op basis van wachtwoorden. Deze ondersteuning omvat alleen cloudaccounts (gebruikersaccounts die rechtstreeks in Azure zijn gemaakt) die een basiswachtwoordbeleid hebben. Het bevat ook hybride accounts (gebruikersaccounts die afkomstig zijn van on-premises Active Directory) die het on-premises wachtwoordbeleid volgen. Wanneer u verificatie op basis van wachtwoorden gebruikt, biedt Azure AD een mogelijkheid voor wachtwoordbeveiliging. Met deze mogelijkheid voorkomt u dat gebruikers wachtwoorden instellen die gemakkelijk te raden zijn. Microsoft biedt een algemene lijst met verboden wachtwoorden die worden bijgewerkt op basis van telemetrie. Klanten kunnen de lijst uitbreiden op basis van hun behoeften, zoals huisstijl- of culturele verwijzingen. Deze wachtwoordbeveiliging kan worden gebruikt voor cloudaccounts en hybride accounts.

Opmerking: verificatie die alleen is gebaseerd op wachtwoordreferenties, is gevoelig voor populaire aanvalsmethoden. Gebruik voor hogere beveiliging sterke verificatie, zoals MFA en een sterk wachtwoordbeleid. Voor toepassingen van derden en marketplace-services die mogelijk standaardwachtwoorden hebben, wijzigt u de wachtwoorden bij de eerste installatie van de service.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.HybridCompute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar persoonlijk sleutelpaar, ook wel bekend als SSH-sleutels. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, uitgeschakeld 2.0.1

IM-5: Bewaken van accounts op afwijkingen en waarschuwingenbeheer

Richtlijnen: Servers met Azure Arc zijn geïntegreerd met Azure AD, die de volgende gegevensbronnen biedt:

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.
  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die in een resource binnen Azure AD worden aangebracht, zoals het toevoegen of verwijderen van:
    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van het gebruikersaccount is.
  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

Deze gegevensbronnen kunnen worden geïntegreerd met:

  • Azure Monitor
  • Microsoft Sentinel
  • SIEM-systemen (Security Information and Event Management) van derden

Microsoft Defender voor Cloud kan u ook waarschuwen over bepaalde verdachte activiteiten. Deze activiteiten kunnen een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement omvatten.

Azure Advanced Threat Protection (ATP) is een beveiligingsoplossing. Het kan Active Directory-signalen gebruiken om het volgende te identificeren, te detecteren en te onderzoeken:

  • Geavanceerde bedreigingen
  • Gecompromitteerde identiteiten
  • Kwaadwillende insideracties

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers die aan deze twee rollen zijn toegewezen, kunnen beheerdersrollen delegeren:

  • Globale beheerder/bedrijfsbeheerder. Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD. Deze gebruikers hebben ook toegang tot services die gebruikmaken van Azure AD identiteiten.

  • Beheerder van bevoorrechte rol. Gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD. Deze gebruikers kunnen ook roltoewijzingen binnen Azure AD Privileged Identity Management (PIM) beheren. Met deze rol kunnen alle aspecten van PIM en beheereenheden worden beheerd.

Opmerking: Als u aangepaste rollen gebruikt met bepaalde machtigingen die zijn toegewezen, hebt u mogelijk andere kritieke rollen waarvoor beheer is vereist. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsactiva.

Beperk het aantal accounts of rollen met hoge bevoegdheden. Beveilig deze accounts op een verhoogd niveau. Gebruikers met deze bevoegdheid kunnen elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen.

Met behulp van Azure AD PIM kunt u Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure AD inschakelen. JIT verleent tijdelijke machtigingen om bevoegde taken alleen uit te voeren wanneer gebruikers deze nodig hebben. Wanneer er verdachte of onveilige activiteiten in uw Azure AD organisatie zijn, kan PIM ook beveiligingswaarschuwingen genereren.

De rol Azure Connected Machine Administrator verleent volledige toegang voor het beheren van servers met Azure Arc. Deze toegang omvat de mogelijkheid om agents te implementeren en scripts uit te voeren op de server met behulp van Azure Arc-extensies. Behandel leden van deze rol en andere rollen met volledige rechten voor Azure Arc-resources als indirecte beheerders van het Windows- of Linux-besturingssysteem dat is verbonden met Azure Arc.

Verantwoordelijkheid: Klant

PA-2: Beheerderstoegang tot essentiële bedrijfssystemen beperken

Richtlijnen: Servers met Azure Arc gebruiken op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de toegang tot bedrijfskritieke systemen te isoleren. Hiermee wordt beperkt welke accounts bevoegde toegang krijgen tot de abonnementen en beheergroepen waarin ze zich bevinden.

Beperk de toegang tot de beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke toegangsbeheer, zoals:

  • Active Directory-domein controllers (DC's).
  • Beveiligingshulpprogramma's.
  • Systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen.

Als aanvallers inbreuk maken op deze beheer- en beveiligingssystemen, kunnen ze deze systemen onmiddellijk wapenen om bedrijfskritieke assets in gevaar te krijgen.

Om consistent toegangsbeheer te garanderen, kunt u alle typen toegangsbeheer uitlijnen op uw bedrijfssegmentatiestrategie.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Twee Azure AD RBAC-rollen zijn speciaal ontworpen voor servers met Azure Arc:

  • Azure Connected Machine Administrator. Deze rol verleent:

    • Volledige toegang tot de serverresource met Azure Arc.
    • De mogelijkheid om extensies te beheren op de server met Azure Arc.
    • De mogelijkheid om Azure Arc-Private Link bereiken te beheren.
  • Onboarding van Azure Connected Machine. Deze rol verleent voldoende toegang om een server te registreren bij Azure Arc.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-4: Noodtoegang instellen in Azure AD

Richtlijnen: servers met Azure Arc gebruiken Azure AD om de resources te beheren. Maakt u zich zorgen over het per ongeluk buitensluiten van uw Azure AD organisatie? Stel vervolgens een account voor noodtoegang in voor toegang wanneer u geen normale beheerdersaccounts kunt gebruiken. Accounts voor toegang voor noodgevallen zijn zeer bevoegd. Wijs deze accounts niet toe aan specifieke personen. Accounts voor noodtoegang zijn beperkt tot scenario's voor noodgevallen of 'break glass', waarbij normale beheerdersaccounts niet kunnen worden gebruikt.

Houd de referenties (zoals wachtwoord, certificaat of smartcard) veilig voor accounts voor noodtoegang. Laat deze referenties alleen zien aan personen die gemachtigd zijn om ze alleen in een noodgeval te gebruiken.

Verantwoordelijkheid: Klant

PA-5: Rechtenbeheer automatiseren

Richtlijnen: servers met Azure Arc zijn geïntegreerd met Azure AD om de resources te beheren. Gebruik Azure AD rechtenbeheerfuncties om werkstromen voor toegangsaanvragen te automatiseren, waaronder:

  • Toegangstoewijzingen
  • Beoordelingen
  • Verloopdatum

Goedkeuring met dubbele of meerdere fasen wordt ook ondersteund.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals:

  • Beheerder
  • Ontwikkelaar
  • Kritieke serviceoperator

Gebruik zeer beveiligde gebruikerswerkstations of Azure Bastion voor beheertaken. Als u een beveiligd en beheerd gebruikerswerkstation wilt implementeren, gebruikt u:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

Beheer de beveiligde werkstations centraal om beveiligde configuratie af te dwingen, waaronder:

  • Sterke verificatie.
  • Software- en hardwarebasislijnen.
  • Beperkte logische en netwerktoegang.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Servers met Azure Arc zijn geïntegreerd met Azure RBAC om de resources te beheren. Met Azure RBAC kunt u toegang tot Azure-resources beheren via roltoewijzingen. Wijs deze rollen toe aan:

  • Gebruikers
  • Groepen
  • Service-principals
  • Beheerde identiteiten

Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources. Inventariseer of voer query's uit op deze rollen via hulpprogramma's, zoals:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Beperk altijd de bevoegdheden die u toewijst aan resources via Azure RBAC aan wat de rollen vereisen. Deze praktijk vormt een aanvulling op de JIT-benadering van Azure AD PIM en moet regelmatig worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen te verlenen. Maak alleen aangepaste rollen wanneer dat nodig is.

Twee ingebouwde rollen zijn specifiek bedoeld voor gebruik met servers met Azure Arc:

  • Azure Connected Machine Administrator: verwijs deze rol alleen aan gebruikers die wijzigingen moeten aanbrengen in servers met Azure Arc. Deze wijzigingen omvatten het implementeren van agents of scripts via extensies. Leden van deze groep zijn indirecte beheerders van de onderliggende serverbesturingssystemen.
  • Onboarding van Azure Connected Machine. Deze rol heeft een minimale set machtigingen die nodig zijn om een nieuwe server te registreren bij Azure Arc. Het is bedoeld voor service-principals die worden gebruikt met onboardingoplossingen op schaal.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces voor Microsoft-ondersteuning kiezen

Richtlijnen: niet van toepassing; Servers met Azure Arc bieden geen ondersteuning voor klanten-lockboxen. Microsoft kan met klanten werken via niet-lockbox-methoden voor goedkeuring voor toegang tot klantgegevens.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Met azure RBAC en op het netwerk gebaseerde toegangsbeheer kunt u gevoelige gegevens beveiligen door de toegang tot uw servers met Azure Arc te beperken. Om consistent toegangsbeheer te garanderen, kunt u alle typen toegangsbeheer uitlijnen op uw bedrijfssegmentatiestrategie. Informeer ook de bedrijfssegmentatiestrategie met de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende door Microsoft beheerde platform behandelt Microsoft alle klantinhoud als gevoelig. Het beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, implementeert Microsoft enkele standaardinstellingen voor gegevensbeveiliging en -mogelijkheden.

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen (zoals het vastleggen van verkeer). Zorg ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen met behulp van versleuteling.

Servers met Azure Arc ondersteunen gegevensversleuteling tijdens overdracht met TLS (Transport Layer Security) v1.2 of hoger.

Hoewel versleuteling optioneel is voor verkeer op privénetwerken, is het essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Vermijd niet-versleutelde protocollen voor extern beheer. In plaats daarvan. Gebruik Secure Shell (SSH) voor Linux of Remote Desktop Protocol (RDP) en TLS voor Windows. Schakel de volgende items uit:

  • Verouderde versies en protocollen van:

    • SSL
    • TLS
    • SSH
  • Zwakke coderingen

Azure biedt standaard versleuteling voor gegevens die onderweg zijn tussen Azure-datacenters.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.HybridCompute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het cryptografische protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen. AuditIfNotExists, uitgeschakeld 3.0.0

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Als u toegangsbeheer wilt aanvullen, gebruikt u versleuteling om data-at-rest te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag). Vervolgens kunnen aanvallers de gegevens niet gemakkelijk lezen of wijzigen. Azure biedt standaard versleuteling voor data-at-rest. Azure versleutelt at rest de metagegevens over uw server (zoals de hostnaam) en extensie-instellingen die in Azure worden opgeslagen. Beveiligde instellingen voor extensies worden ook at-rest versleuteld wanneer ze naar uw server worden gedownload.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Ververleent beveiligingsteams machtigingen voor beveiligingslezers in uw Azure-tenant en -abonnementen. Vervolgens kunnen de teams beveiligingsrisico's bewaken met Behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe u de verantwoordelijkheden van het beveiligingsteam structureren, kan een centraal beveiligingsteam of een lokaal team verantwoordelijk zijn voor het bewaken van de beveiligingsrisico's. Maar verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op een hele tenant (hoofdbeheergroep). U kunt ook de machtigingen voor beheergroepen of specifieke abonnementen instellen.

Opmerking: mogelijk hebt u meer machtigingen nodig om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: geef beveiligingsteams toegang tot een continu bijgewerkte inventaris van assets in Azure, zoals servers met Azure Arc. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. De inventaris van assets is ook een invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep die het geautoriseerde beveiligingsteam van uw organisatie bevat. Wijs de leestoegang voor de groep toe aan alle serverbronnen met Azure Arc. U kunt het proces vereenvoudigen in één roltoewijzing op hoog niveau binnen uw abonnement.

Als u logisch wilt ordenen in een taxonomie, past u tags toe op uw:

  • Azure-resources
  • Resourcegroepen
  • Abonnementen

Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik de inventaris van virtuele Azure-machines om het verzamelen van informatie over software in Azure Virtual Machines te automatiseren. Informatie die beschikbaar is op de Azure Portal omvat:

  • Softwarenaam
  • Versie
  • Publisher
  • Vernieuwingstijd

Schakel diagnostische gegevens op gastniveau in om toegang te krijgen tot installatiedatums en andere informatie. Breng vervolgens de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Gebruik de adaptieve toepassingsbesturingselementen van Microsoft Defender for Cloud om op te geven op welke bestandstypen een regel al dan niet van toepassing is.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: met behulp van Azure Policy, controleren en beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. En met Behulp van Azure Monitor maakt u regels die waarschuwingen activeren wanneer er een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

AM-5: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Het gebruik van voorwaardelijke toegang van Azure beperkt de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager. Configureer 'Toegang blokkeren' voor de app Microsoft Azure Management.

Verantwoordelijkheid: Klant

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Richtlijnen: Met behulp van de inventaris van virtuele Azure-machines kunt u het verzamelen van informatie over alle software op Virtual Machines automatiseren. Informatie die beschikbaar is op de Azure Portal omvat:

  • Softwarenaam
  • Versie
  • Publisher
  • Vernieuwingstijd

Schakel diagnostische gegevens op gastniveau in om toegang te krijgen tot de installatiedatum en andere informatie. Breng vervolgens de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD biedt de volgende gebruikerslogboeken:

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van:

    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is gedaan door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

U kunt de logboeken bekijken in Azure AD rapportage. Voor geavanceerdere gebruiksscenario's voor bewaking en analyse kunt u de logboeken integreren met:

  • Azure Monitor
  • Microsoft Sentinel
  • Andere SIEM- of bewakingshulpprogramma's

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten. Deze activiteiten kunnen een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement omvatten. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van:

  • Afzonderlijke Azure-rekenresources (virtuele machines, containers en app service)
  • Gegevensbronnen (SQL DB en opslag)
  • Azure-servicelagen

Met deze mogelijkheid kunt u inzicht hebben in accountafwijkingen binnen afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: servers met Azure Arc zijn niet bedoeld voor implementatie in virtuele netwerken. U kunt dus het volgende niet inschakelen:

  • NSG-stroomlogboekregistratie
  • Verkeer routeren via een firewall
  • Pakketopnamen maken

Ter ondersteuning van incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen kunt u de volgende logboeken inschakelen en verzamelen voor beveiligingsanalyse:

  • NSG-resourcelogboeken
  • NSG-stroomlogboeken
  • logboeken Azure Firewall
  • WAF-logboeken (Web Application Firewall)

U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte. Gebruik vervolgens Traffic Analytics om inzichten te bieden.

Servers met Azure Arc produceren of verwerken geen DNS-querylogboeken.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: activiteitenlogboeken bevatten alle schrijfbewerkingen (PUT, POST en DELETE) voor uw serverresources met Azure Arc. Deze logboeken zijn automatisch beschikbaar, maar bevatten geen leesbewerkingen (GET). U kunt activiteitenlogboeken gebruiken om een fout te vinden bij het oplossen van problemen. U kunt ook de logboeken gebruiken om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Servers met Azure Arc produceren momenteel geen Azure-resourcelogboeken.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor de meeste Azure PaaS- en SaaS-services. Voor uw servers die buiten Azure worden uitgevoerd, gebruikt u een vertrouwde netwerktijdprotocolserver (NTP) voor tijdsynchronisatie. Als de lokale tijd van uw server aanzienlijk afdrijdt van de tijd van Azure, werkt de Azure Connected Machine-agent mogelijk niet meer. Als u uw eigen NTP-server moet opstaan, beveiligt u de UDP-servicepoort 123. Alle logboeken die resources genereren in Azure bieden standaard tijdstempels met de tijdzone die standaard is opgegeven.

Verantwoordelijkheid: Gedeeld

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

IR-1: Voorbereiding: responsproces voor incidenten bijwerken voor Azure

Richtlijnen: Zorg ervoor dat uw organisatie:

  • Bevat processen om te reageren op beveiligingsincidenten.
  • Deze processen voor Azure zijn bijgewerkt.
  • Oefent ze regelmatig uit om de gereedheid te garanderen.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IR-2: Voorbereiding – incidentmelding instellen

Richtlijnen: contactgegevens voor beveiligingsincidenten instellen in Microsoft Defender voor Cloud. Wat gebeurt er als het Microsoft Security Response Center (MSRC) een onrechtmatige of niet-geautoriseerde partij heeft gevonden die toegang heeft verkregen tot uw gegevens? Vervolgens gebruikt Microsoft deze contactgegevens om contact met u op te leggen. Op basis van uw behoeften voor incidentrespons kunt u ook incidentwaarschuwingen en meldingen aanpassen in verschillende Azure-services.

Verantwoordelijkheid: Klant

IR-3: Detectie en analyse : incidenten maken op basis van waarschuwingen van hoge kwaliteit

Richtlijnen: Zorg voor een proces voor het maken van waarschuwingen van hoge kwaliteit en het meten van de kwaliteit van waarschuwingen. Vervolgens kunt u lessen leren van eerdere incidenten. Richt u op waarschuwingen voor analisten, zodat ze geen tijd verspillen aan fout-positieven.

Door diverse signaalbronnen samen te voegen en te correleren, kunt u waarschuwingen van hoge kwaliteit bouwen op basis van ervaring van:

  • Eerdere incidenten.
  • Gevalideerde communitybronnen.
  • Hulpprogramma's die zijn ontworpen om waarschuwingen te genereren en op te schonen.

Microsoft Defender voor Cloud biedt waarschuwingen van hoge kwaliteit voor veel Azure-assets. Stream de waarschuwingen naar Microsoft Sentinel met behulp van de Microsoft Defender for Cloud-gegevensconnector. Als u automatisch incidenten wilt genereren voor een onderzoek, kunt u met Microsoft Sentinel geavanceerde waarschuwingsregels maken.

Als u risico's voor Azure-resources wilt identificeren, exporteert u uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de exportfunctie. Waarschuwingen en aanbevelingen handmatig exporteren. Of u kunt op doorlopende, continue wijze exporteren.

Verantwoordelijkheid: Klant

IR-4: Detectie en analyse: een incident onderzoeken

Richtlijnen: Zorg ervoor dat analisten diverse gegevensbronnen kunnen opvragen en gebruiken. Vervolgens kunnen de analisten potentiële incidenten onderzoeken om een volledig overzicht te maken van wat er is gebeurd. Om niet-gedetecteerde problemen te voorkomen, verzamelt u diverse logboeken om de activiteiten van een potentiële aanvaller in de kill chain bij te houden. Leg inzichten en leermateriaal vast voor andere analisten en voor toekomstige historische naslaginformatie.

De gegevensbronnen voor onderzoek omvatten de gecentraliseerde logboekregistratiebronnen die al worden verzameld van de services binnen het bereik en actieve systemen. Maar gegevensbronnen kunnen ook het volgende omvatten:

  • Netwerkgegevens. Als u netwerkstroomlogboeken en andere analysegegevens wilt vastleggen, gebruikt u:

    • Stroomlogboeken van NSG's
    • Azure Network Watcher
    • Azure Monitor
  • Momentopnamen van actieve systemen:

    • Gebruik de functie voor het maken van momentopnamen van virtuele machines van Azure om een momentopname of snapshot te maken van de schijf van het actieve systeem.

    • Gebruik de voorziening van het besturingssysteem voor het maken van geheugendumps om een momentopname te maken van het geheugen van het actieve systeem.

    • Gebruik de momentopnamefunctie van de Azure-services of de eigen mogelijkheid van uw software om momentopnamen van de actieve systemen te maken.

Microsoft Sentinel biedt uitgebreide gegevensanalyse in vrijwel elke logboekbron. Het biedt een portal voor casebeheer voor het beheren van de volledige levenscyclus van incidenten. Voor tracerings- en rapportagedoeleinden kunt u informatiegegevens tijdens een onderzoek koppelen aan een incident.

Verantwoordelijkheid: Klant

IR-5: Detectie en analyse – focus op incidenten

Richtlijnen: Op basis van de ernst van waarschuwingen en de gevoeligheid van activa biedt u context aan analisten voor welke incidenten u zich het eerst moet richten.

Om u te helpen benadrukken welke waarschuwingen in eerste instantie moeten worden onderzocht, wijst Microsoft Defender voor Cloud een ernst toe aan elke waarschuwing. De ernst is gebaseerd op:

  • Hoe zeker Microsoft Defender for Cloud is in de bevindingen.
  • De analyse die wordt gebruikt om de waarschuwing uit te geven.
  • Het betrouwbaarheidsniveau dat er schadelijke bedoelingen zijn achter de activiteit die tot de waarschuwing heeft geleid.

Markeer ook resources met behulp van tags. Maak een naamgevingssysteem om Azure-resources te identificeren en categoriseren, met name resources die gevoelige gegevens verwerken. Uw verantwoordelijkheid is om het herstel van waarschuwingen te benadrukken op basis van:

  • De kritiek van de Azure-resources.
  • De omgeving waarin het incident is opgetreden.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IR-6: Insluiting, uitroeiing en herstel– automatiseer de incidentafhandeling

Richtlijnen: Om de reactietijd te versnellen en de belasting van analisten te verminderen, automatiseert u handmatig terugkerende taken. Het uitvoeren van handmatige taken duurt langer. De langere uitvoeringstijd vertraagt elk incident en vermindert het aantal incidenten dat een analist kan verwerken. Handmatige taken verhogen ook de vermoeidheid van analisten. De vermoeidheid verhoogt het risico op menselijke fouten dat vertragingen veroorzaakt. Ook wordt de mogelijkheid van analisten verminderd om zich effectief te richten op complexe taken.

Gebruik werkstroomautomatiseringsfuncties in Microsoft Defender for Cloud en Microsoft Sentinel. Deze functies kunnen automatisch acties activeren. Of de functies kunnen een playbook uitvoeren om te reageren op binnenkomende beveiligingswaarschuwingen. door dergelijke acties uit te voeren, zoals:

  • Meldingen verzenden
  • Accounts uitschakelen
  • Problematische netwerken isoleren

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken, veilige configuraties maken voor alle rekenresources, waaronder virtuele machines, containers en andere.

Verantwoordelijkheid: Klant

PV-4: Veilige configuraties onderhouden voor rekenresources

Richtlijnen: Het gebruik van Microsoft Defender voor Cloud en Azure Policy, evalueert en herstelt regelmatig configuratierisico's op uw Azure-rekenresources. Deze resources omvatten virtuele machines, containers en andere. Als u de beveiligingsconfiguratie van het besturingssysteem wilt behouden dat uw organisatie nodig heeft, gebruikt u:

  • Azure Resource Manager-sjablonen.
  • Aangepaste installatiekopieën van besturingssystemen.
  • Azure Automation State Configuration.

De sjablonen voor virtuele Microsoft-machines, gecombineerd met de Azure Automation State Configuration, kunnen helpen voldoen aan de beveiligingsvereisten en deze te handhaven.

Azure Marketplace installatiekopieën van virtuele machines die door Microsoft worden gepubliceerd, worden ook beheerd en onderhouden door Microsoft.

Microsoft Defender voor Cloud kan beveiligingsproblemen in containerinstallatiekopieën scannen. Het kan uw Docker-configuratie continu bewaken in containers met CIS Docker Benchmark. Als u aanbevelingen wilt bekijken en problemen wilt oplossen, gebruikt u de pagina met aanbevelingen voor Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.HybridCompute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 1.1.1-preview
Windows-computers moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 1.0.1-preview

PV-6: Evaluaties van softwareproblemen maken

Richtlijnen: niet van toepassing; Microsoft maakt beheer van beveiligingsproblemen op de onderliggende systemen die ondersteuning bieden voor servers met Azure Arc.

Verantwoordelijkheid: Microsoft

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.HybridCompute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SQL-servers op computers moeten resultaten voor beveiligingsproblemen hebben opgelost Evaluatie van SQL-beveiligingsproblemen scant uw database op beveiligingsproblemen en toont eventuele afwijkingen van aanbevolen procedures, zoals onjuiste configuraties, overmatige machtigingen en niet-beveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. AuditIfNotExists, uitgeschakeld 1.0.0

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg voor herstel van alle kritieke beveiligingsresultaten.

Volg de Regels voor penetratietests van Microsoft om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerd:

  • Cloudinfrastructuur
  • Services
  • Toepassingen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Beveilig uw servers met Azure Arc of hun resources met centraal beheerde, moderne antimalwaresoftware. Gebruik een centraal beheerde antimalwareoplossing voor eindpunten die realtime en periodiek kan scannen. Microsoft Defender voor Cloud kan het volgende doen:

  • Identificeer automatisch het gebruik van veel populaire antimalwareoplossingen voor uw virtuele machines.
  • Rapporteer de actieve status van Endpoint Protection.
  • Aanbevelingen doen.

Lees het volgende artikel voor meer informatie:

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.HybridCompute:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard gebruikt de Azure Policy-agent voor gastconfiguratie. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 1.1.1

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Antimalwarehandtekeningen snel en consistent bijwerken.

Als u automatische updates wilt configureren en wilt controleren op computers die verouderde handtekeningen gebruiken, volgt u de aanbevelingen van uw leverancier van antimalware.

Verantwoordelijkheid: Klant

Governance en strategie

Zie Azure Security Benchmark: governance en strategie.

GS-1: Strategie voor asset-management en gegevensbescherming definiëren

Richtlijnen: Documenteer en communiceer een duidelijke strategie voor continue bewaking en bescherming van systemen en gegevens. Voor bedrijfskritieke gegevens en systemen richt u zich op:

  • Detectie
  • Beoordeling
  • Beveiliging
  • Bewaking

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Gegevensclassificatiestandaard die overeenkomt met de bedrijfsrisico's

  • Inzicht van beveiligingsorganisaties in risico's en asset-inventaris

  • Goedkeuring door beveiligingsorganisaties van Azure-services voor gebruik

  • Beveiliging van assets op grond van hun levenscyclus

  • Vereiste strategie voor toegangsbeheer die overeenkomt met de classificatie van organisatiegegevens

  • Gebruik van systeemeigen beveiligingsmogelijkheden van Azure en van derde partijen

  • Vereisten voor gegevensversleuteling in gebruiksscenario's met gegevens tijdens een overdracht en data-at-rest

  • Juiste cryptografische standaarden

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-2: Segmentatiestrategie van bedrijf definiëren

Richtlijnen: een bedrijfsbrede strategie opzetten voor het segmenteren van toegang tot assets met behulp van een combinatie van:

  • Identiteit
  • Netwerk
  • Toepassing
  • Abonnement
  • Beheergroep
  • Andere besturingselementen

Zorg voor een zorgvuldige balans:

  • De noodzaak van beveiligingsscheiding.
  • De noodzaak om de dagelijkse werking van de systemen mogelijk te maken die met elkaar moeten communiceren en toegang moeten krijgen tot gegevens.

Implementeer de segmentatiestrategie consistent in verschillende controletypen, waaronder:

  • Netwerkbeveiliging
  • Identiteits- en toegangsmodellen
  • Toepassingsmachtigingen en toegangsmodellen
  • Besturingselementen voor menselijk proces

Ga naar de volgende koppelingen voor meer informatie:

Verantwoordelijkheid: Klant

GS-3: Strategie voor het beheer van beveiligingspostuur definiëren

Richtlijnen: Continu risico's meten en beperken voor uw afzonderlijke assets en de omgeving waarin ze worden gehost. Richt u op hoogwaardige assets en zeer blootgestelde kwetsbaarheid voor aanvallen, zoals:

  • Gepubliceerde toepassingen
  • Netwerkinkomende en uitgaande punten
  • Eindpunten van gebruikers en beheerders

Lees het volgende artikel voor meer informatie:

Verantwoordelijkheid: Klant

GS-4: Organisatierollen, verantwoordelijkheden en aansprakelijkheden afstemmen

Richtlijnen: Documenteer en communiceer een duidelijke strategie voor de rollen en verantwoordelijkheden in uw beveiligingsorganisatie. Richt u op het bieden van duidelijke verantwoordelijkheid voor:

  • Beveiligingsbeslissingen.
  • Iedereen informeren over het model voor gedeelde verantwoordelijkheid.
  • Technische teams opleiden over technologie om de cloud te beveiligen.

Ga naar de volgende koppelingen voor meer informatie:

Verantwoordelijkheid: Klant

GS-5: Strategie voor netwerkbeveiliging definiëren

Richtlijnen: Een Azure-netwerkbeveiligingsbenadering instellen. Maak deze aanpak een onderdeel van de algemene strategie van uw organisatie voor beveiligingstoegangsbeheer.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Gecentraliseerd netwerkbeheer en verantwoordelijkheid voor beveiliging

  • Segmentatiemodel voor virtuele netwerken dat is afgestemd op de enterprise-segmentatiestrategie

  • Herstelstrategie voor verschillende scenario's met bedreigingen en aanvallen

  • Strategie voor internetrand, inkomend verkeer en uitgaand verkeer

  • Strategie voor hybride cloud- en on-premises interconnectiviteit

  • Bijgewerkte netwerkbeveiligingsartefacten, zoals netwerkdiagrammen en referentienetwerkarchitectuur

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-6: Strategie voor het gebruik van identiteiten en uitgebreide toegang definiëren

Richtlijnen: een Azure-identiteit en bevoegde toegangsmethoden tot stand brengen. Maak deze benaderingen een onderdeel van de algehele strategie van uw organisatie voor toegangsbeheer voor beveiliging.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Een gecentraliseerd identiteits- en verificatiesysteem, en de interconnectiviteit ervan met andere interne en externe identiteitssystemen

  • Krachtige verificatiemethoden in verschillende gebruiksscenario's en onder verschillende voorwaarden

  • Bescherming van gebruikers met zeer uitgebreide bevoegdheden

  • Bewaking en verwerking van afwijkende gebruikersactiviteiten

  • Proces voor het beoordelen en op elkaar afstemmen van de identiteit en toegangsrechten van gebruikers

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-7: Strategie voor logboekregistratie en respons op bedreigingen definiëren

Richtlijnen: Als u bedreigingen snel wilt detecteren en verhelpen terwijl u voldoet aan de nalevingsvereisten, maakt u een strategie voor logboekregistratie en reactie op bedreigingen. Richt u op het bieden van analisten met waarschuwingen van hoge kwaliteit en naadloze ervaringen. Vervolgens kunnen de analisten zich richten op bedreigingen in plaats van integratie en handmatige stappen.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • De rol en verantwoordelijkheden van de organisatie voor beveiligingsbewerkingen (SecOps)

  • Een goed gedefinieerd incidentresponsproces dat overeenkomt met een industrieframework, zoals het National Institute of Standards and Technology (NIST)

  • Logboekopname en -retentie ter ondersteuning:

    • Detectie van bedreigingen
    • Reageren op incidenten
    • Nalevingsbehoeften
  • Gecentraliseerde zichtbaarheid van en correlatie-informatie over bedreigingen met behulp van:

    • SIEM
    • Systeemeigen Azure-mogelijkheden
    • Andere bronnen
  • Communicatie- en meldingsplan met uw:

    • Customers
    • Leveranciers
    • Publieke partijen van belang
  • Gebruik van systeemeigen Azure- en platformen van derden voor incidentafhandeling, zoals:

    • Logboekregistratie en bedreidingsdetectie
    • Forensics
    • Aanvalsherstel en uitroeiing
  • Processen voor het afhandelen van incidenten en activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijsmateriaal

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-8: Strategie voor back-up en herstel definiëren

Richtlijnen: Maak een Strategie voor Back-up en herstel van Azure voor uw organisatie.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • RTO-definities (Recovery Time Objective) en RPO-definities (Recovery Point Objective) die overeenkomen met uw bedrijfstolerantiedoelen

  • Redundantieontwerp in uw toepassingen en infrastructuur instellen

  • Beveiliging van back-ups, met behulp van toegangsbeheer en gegevensversleuteling

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

Volgende stappen