Azure-beveiligingsbasislijn voor Automation

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Automation. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Automation.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Automation en besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Automation volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor automation-beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Azure Automation biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. Automatisering kan geen netwerkfuncties gebruiken, zoals netwerkbeveiligingsgroepen, routetabellen of netwerkafhankelijke apparaten, zoals Azure Firewall.

Gebruik Microsoft Sentinel om het gebruik van verouderde onveilige protocollen te detecteren, zoals:

Verantwoordelijkheid: Microsoft

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Gebruik Azure ExpressRoute of vpn (Virtual Private Network) van Azure om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet. ExpressRoute biedt meer betrouwbaarheid, snellere snelheden en lagere latenties dan gewone internetverbinding.

Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en blijft op het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Gebruik Azure Private Link om privétoegang tot Automation vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden. Privétoegang voegt een diepgaande meting toe aan Azure-verificatie en verkeersbeveiliging.

Automation biedt niet de mogelijkheid om service-eindpunten voor virtuele netwerken te configureren.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network-servicetags om besturingselementen voor netwerktoegang te definiëren voor Automation-resources in netwerkbeveiligingsgroepen of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Geef de naam van de servicetag op in het juiste regelbron- of doelveld om het verkeer toe te staan of te weigeren. Microsoft beheert de adresvoorvoegsels van de servicetag en werkt de servicetag automatisch bij wanneer de adressen veranderen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Automation maakt gebruik van Azure Active Directory (Azure AD) als standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources. Resources zijn onder andere:

    • Azure Portal

    • Azure Storage

    • Virtuele Azure Linux- en Windows-machines

    • Azure Key Vault

    • Platform-as-a-Service (PaaS)

    • SaaS-toepassingen (Software-as-a-Service)

  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben voor de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen uw identiteitsbeveiligingspostuur te vergelijken met de aanbevelingen voor best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources.

Gebruik zelfondertekende X.509-certificaten om Automation Hybrid Workers en DSC-knooppunten (Desired State Configuration) te verifiëren voor Azure Automation.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Automation ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten in plaats van service-principals te maken voor toegang tot andere resources met Automation.

Automation kan systeemeigen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. Automation maakt gebruik van een vooraf gedefinieerde regel voor toegangstoekenningen in plaats van referenties die in broncode of configuratiebestanden zijn vastgelegd.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: verbind al uw gebruikers, toepassingen en apparaten met Azure AD. Azure AD biedt naadloze, veilige toegang en meer zichtbaarheid en controle.

Automation maakt gebruik van Azure AD om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Identiteiten omvatten zakelijke identiteiten zoals werknemers en externe identiteiten, zoals partners, leveranciers en leveranciers. Azure AD identiteits- en toegangsbeheer bieden eenmalige aanmelding (SSO) voor het beheren en beveiligen van toegang tot de on-premises en cloudgegevens en -resources van uw organisatie.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Automatiseringsbronnen bevatten mogelijk identiteiten of geheimen. Gebruik referentiescanner om deze referenties te detecteren. Referentiescanner moedigt het verplaatsen van gedetecteerde referenties aan om locaties zoals Azure Key Vault te beveiligen.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere geheimen in code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde Azure AD rollen zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers met deze twee rollen kunnen beheerdersrollen delegeren.

  • De globale beheerder of bedrijfsbeheerder heeft toegang tot alle Azure AD beheerfuncties en -services die gebruikmaken van Azure AD identiteiten.

  • De beheerder van bevoorrechte rollen kan roltoewijzingen beheren in Azure AD en Azure AD Privileged Identity Management (PIM). Met deze rol kunnen alle aspecten van PIM en beheereenheden worden beheerd.

Beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau. Gebruikers met hoge bevoegdheden kunnen al uw Azure-resources direct of indirect lezen en wijzigen. U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren voor verdachte of onveilige activiteiten in uw Azure AD organisatie.

Opmerking: Mogelijk moet u andere kritieke rollen beheren als u bepaalde machtigingen met bevoegdheden toewijst aan aangepaste rollen. Mogelijk wilt u vergelijkbare besturingselementen toepassen op de beheerdersaccounts van kritieke bedrijfsassets.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Automation maakt gebruik van Azure AD accounts om de resources te beheren en gebruikersaccounts te controleren. Azure AD regelmatig toewijzingen opent om ervoor te zorgen dat de accounts en hun toegang geldig zijn. Automation is echter niet volledig geïntegreerd met Azure AD.

Als u Automation Run As-accounts gebruikt voor uw runbooks, moet u de service-principals in uw inventaris bijhouden. Service-principals hebben vaak verhoogde machtigingen. Verwijder ongebruikte Uitvoeren als-accounts om uw blootgestelde kwetsbaarheid voor aanvallen te minimaliseren. U kunt het beste beheerde identiteiten gebruiken in plaats van Uitvoeren als-accounts.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. Beheer deze gebruikers afzonderlijk.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en essentiële serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en Azure Bastion voor beheertaken.

Gebruik Azure AD, Microsoft Defender Advanced Threat Protection (ATP) of Microsoft Intune om een beveiligd beheerd gebruikerswerkstation te implementeren voor beheertaken. U kunt beveiligde werkstations centraal beheren om een beveiligingsconfiguratie af te dwingen die het volgende omvat:

  • Strenge verificatie

  • Software- en hardwarebasislijnen

  • Beperkte logische en netwerktoegang

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-7: Volg het principe van minimale bevoegdheden van net genoeg beheer

Richtlijnen: Automation kan worden geïntegreerd met Azure RBAC om de resources te beheren. Met RBAC beheert u toegang tot Azure-resources via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde, ingebouwde rollen. U kunt deze rollen inventariseren of opvragen via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.

Beperk de bevoegdheden die u toewijst aan resources via Azure RBAC tot wat de rollen nodig hebben. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM. Controleer regelmatig rollen en toewijzingen.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en maak indien nodig alleen aangepaste rollen.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: De toegang tot gevoelige gegevens beperken met behulp van Azure RBAC, netwerktoegangsbeheer en besturingselementen zoals versleuteling in specifieke Azure-services.

Voor consistentie kunt u alle typen toegangsbeheer uitlijnen met uw bedrijfssegmentatiestrategie. Informeer uw strategie voor bedrijfssegmentatie op basis van de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Microsoft behandelt alle klantinhoud in het onderliggende door Microsoft beheerde platform als gevoelig. Microsoft beschermt tegen verlies en blootstelling van klantgegevens. Microsoft heeft standaard besturingselementen en mogelijkheden voor gegevensbeveiliging om ervoor te zorgen dat Azure-klantgegevens veilig blijven,

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Als aanvulling op toegangsbeheer, gebruikt u versleuteling om gegevens in transit te beveiligen tegen out-of-band-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Automation ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Deze vereiste is optioneel voor verkeer op particuliere netwerken, maar is essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources TLS v1.2 of hoger kunnen gebruiken.

Voor extern beheer gebruikt u Secure Shell (SSH) voor Linux of RDP (Remote Desktop Protocol) en TLS voor Windows. Gebruik geen niet-versleuteld protocol. Schakel zwakke coderingen en verouderde SSL-, TLS- en SSH-versies en -protocollen uit.

Azure versleutelt standaard gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Automation gegevens-at-rest om te beschermen tegen out-of-band-aanvallen die toegang hebben tot onderliggende opslag. Versleuteling zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u waar beschikbaar meer versleuteling in rust implementeren op Azure-resources. Azure beheert standaard uw versleutelingssleutels en biedt ook opties voor het beheren van uw eigen sleutels. Door de klant beheerde sleutels voldoen aan wettelijke vereisten voor bepaalde Azure-services.

Verantwoordelijkheid: Microsoft

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Automation:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Automation-accountvariabelen moeten worden versleuteld Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens Controleren, Weigeren, Uitgeschakeld 1.1.0

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Bewaking van beveiligingsrisico's kan de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team, afhankelijk van hoe u verantwoordelijkheden structureert. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op de hoofdbeheergroep van een hele tenant, of bereikmachtigingen voor specifieke beheergroepen of abonnementen.

Opmerking: Voor zichtbaarheid van workloads en services zijn mogelijk meer machtigingen vereist.

Verantwoordelijkheid: Klant

AM-2: Zorg ervoor dat het beveiligingsteam toegang heeft tot assetinventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Automation. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren, en als invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. en wijs deze leestoegang toe aan alle Automation-resources. U kunt het proces vereenvoudigen met één roltoewijzing op hoog niveau in uw abonnement.

Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op virtuele machines (VM's) te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot installatiedatums en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Automation staat het uitvoeren van een toepassing of het installeren van software op de bijbehorende resources niet toe.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken waarmee waarschuwingen worden geactiveerd wanneer ze een niet-goedgekeurde service detecteren.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD bevat de volgende gebruikerslogboeken. U kunt de logboeken weergeven in Azure AD rapportage. U kunt integreren met Azure Monitor, Microsoft Sentinel of andere SIEM- en bewakingshulpprogramma's voor geavanceerde gebruiksscenario's voor bewaking en analyse.

  • Aanmeldingen: biedt informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken: biedt traceerbaarheid via logboeken voor alle wijzigingen die zijn aangebracht door verschillende Azure AD functies. Auditlogboeken bevatten wijzigingen in elke resource binnen Azure AD. Wijzigingen zijn onder andere het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.

  • Riskante aanmeldingen: een indicator voor aanmeldingspogingen door iemand die mogelijk niet de legitieme eigenaar van een gebruikersaccount is.

  • Gebruikers met een vlag voor risico: een indicator voor een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen activeren over verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen of over afgeschafte accounts.

Naast eenvoudige bewaking van beveiligingscontroles kan de Microsoft Defender for Cloud Threat Protection-module uitgebreidere beveiligingswaarschuwingen verzamelen van:

  • Afzonderlijke Azure-rekenresources, zoals VM's, containers en App Service

  • Gegevensbronnen zoals Azure SQL Database en Azure Storage

  • Azure-servicelagen

Met deze mogelijkheid krijgt u inzicht in accountafwijkingen in afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: U kunt Azure Private Link gebruiken om virtuele netwerken veilig te verbinden met Automation. U kunt Private Link gebruiken met:

  • Webhooks

  • DSC-knooppunten

  • Een runbook uitvoeren op een hybrid worker die is verbonden met Azure Virtual Network

  • Beheerknooppunten bijwerken

Dit besturingselement is niet van toepassing als u de out-of-the-box-service gebruikt zonder Hybrid Runbook Workers.

Als u Hybrid Runbook Workers gebruikt die worden ondersteund door Azure-VM's:

  • Schakel het subnet met de werkrollen in met een netwerkbeveiligingsgroep (NSG).

  • Configureer stroomlogboeken om logboeken door te sturen naar een opslagaccount voor verkeerscontrole.

U kunt NSG-stroomlogboeken ook doorsturen naar een Log Analytics-werkruimte en Traffic Analytics gebruiken voor inzicht in uw Azure-verkeersstroom.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Automation-activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, bewerkingen voor uw Automation-resources. U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers resources hebben gewijzigd.

Schakel Azure-resourcelogboeken in voor Automation. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: U kunt Automation-taakgegevens doorsturen naar een Log Analytics-werkruimte. U kunt gegevensretentie in de Log Analytics-werkruimte wijzigen volgens de nalevingsregels van uw organisatie.

Gebruik Azure Storage-accounts voor langetermijn- of archiveringsopslag.

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren. Eén blauwdrukdefinitie kan Azure Resource Manager-sjablonen, RBAC-besturingselementen en beleidsregels bevatten.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Defender voor Cloud gebruiken om uw configuratiebasislijn te bewaken. Gebruik Azure Policy [weigeren] en [implementeren indien niet aanwezig] om veilige configuratie af te dwingen voor Azure-rekenresources, waaronder VM's en containers.

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken om beveiligde configuraties op alle rekenresources tot stand te brengen, inclusief VM's en containers.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Niet van toepassing. Microsoft biedt beheer van beveiligingsproblemen op de onderliggende systemen die ondersteuning bieden voor Automation.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: U kunt Automation implementeren op VM's of via containerregisters. Implementeer onmiddellijk software-updates om beveiligingsproblemen in besturingssystemen en toepassingen op te lossen.

Gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat u de meest recente beveiligingsupdates installeert op uw Windows- en Linux-VM's. Zorg ervoor dat u voor Windows-VM's Windows Update inschakelt en instelt dat deze automatisch wordt bijgewerkt.

Prioriteit geven aan risico's met behulp van een scoreprogramma voor risico's, zoals het Common Vulnerability Scoring System of de risicobeoordelingen van uw externe scanprogramma. Gebruik deze context om uw omgeving aan te passen voor toepassingen met een hoog beveiligingsrisico en toepassingen waarvoor een hoge uptime is vereist.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of System Center Updates Publisher voor Configuration Manager. Automation gebruikt of vereist geen software van derden.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer indien nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid. Gebruik de Red Teaming-strategie en uitvoering van Microsoft. Live sitepenetratietests uitvoeren op basis van door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorg ervoor dat u regelmatig geautomatiseerde back-ups uitvoert

Richtlijnen: Azure Automation biedt geen systeemeigen back-upmechanisme. Het is uw verantwoordelijkheid om ervoor te zorgen dat u een geldige back-up van de Automation-configuratie onderhoudt, zoals runbooks en assets.

U kunt Azure Resource Manager gebruiken om Automation-accounts en gerelateerde resources te implementeren. U kunt Azure Resource Manager-sjablonen exporteren om te gebruiken als back-ups om Automation-accounts en gerelateerde resources te herstellen. Gebruik Automation om de Azure Resource Manager sjabloonexport-API regelmatig aan te roepen.

U kunt ook de integratiefunctie voor broncodebeheer gebruiken om runbooks in het Automation-account up-to-date te houden met scripts in de opslagplaats voor broncodebeheer.

Verantwoordelijkheid: Klant

BR-3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: zorg ervoor dat u maatregelen hebt om sleutelverlies te voorkomen en te herstellen. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen