Azure-beveiligingsbasislijn voor Azure Cache voor Redis

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Azure Cache voor Redis. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Cache voor Redis.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Cache voor Redis of waarvoor de verantwoordelijkheid van Microsoft is, zijn uitgesloten. Als u wilt zien hoe Azure Cache voor Redis volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Azure Cache voor Redis toewijzingsbestand voor de beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Implementeer uw Azure Cache voor Redis exemplaar binnen een virtueel netwerk (VNet). Een VNet is een privénetwerk in de cloud. Wanneer een Azure Cache voor Redis exemplaar is geconfigureerd met een VNet, is het niet openbaar adresseerbaar en kan het alleen worden geopend vanuit virtuele machines en toepassingen binnen het VNet.

U kunt ook firewallregels opgeven met een begin- en eind-IP-adresbereik. Wanneer firewallregels zijn geconfigureerd, kunnen alleen clientverbindingen van de opgegeven IP-adresbereiken verbinding maken met de cache.

Verantwoordelijkheid: Klant

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: wanneer Virtual Machines worden geïmplementeerd in hetzelfde virtuele netwerk als uw Azure Cache voor Redis exemplaar, kunt u netwerkbeveiligingsgroepen (NSG) gebruiken om het risico op gegevensexfiltratie te verminderen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een Azure Storage-account voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Sommige voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor webtoepassingen die worden uitgevoerd op Azure App Service- of rekenresources.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: De implementatie van Azure Virtual Network (VNet) biedt verbeterde beveiliging en isolatie voor uw Azure Cache voor Redis, evenals subnetten, beleidsregels voor toegangsbeheer en andere functies om de toegang verder te beperken. Wanneer Azure Cache voor Redis is geïmplementeerd in een VNet, is Azure Cache voor Redis niet openbaar adresseerbaar en is deze alleen toegankelijk vanuit virtuele machines en toepassingen binnen het VNet.

Schakel DDoS Protection Standard in op de VNets die zijn gekoppeld aan uw Azure Cache voor Redis-exemplaren om te beschermen tegen DDoS-aanvallen (Distributed Denial of Service). Gebruik Geïntegreerde bedreigingsinformatie van Microsoft Defender for Cloud om communicatie met bekende schadelijke of ongebruikte INTERNET-IP-adressen te weigeren.

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: wanneer virtuele machines worden geïmplementeerd in hetzelfde virtuele netwerk als uw Azure Cache voor Redis exemplaar, kunt u netwerkbeveiligingsgroepen (NSG) gebruiken om het risico op gegevensexfiltratie te verminderen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een Azure Storage-account voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Sommige voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Wanneer u Azure Cache voor Redis gebruikt met uw webtoepassingen die worden uitgevoerd op Azure App Service of rekenprocessen, implementeert u alle resources binnen een Azure Virtual Network (VNet) en beveiligt u met een Azure Web Application Firewall (WAF) op internet Application Gateway. Configureer de WAF om uit te voeren in de preventiemodus. Preventiemodus blokkeert inbraak en aanvallen die door de regels worden gedetecteerd. De aanvaller krijgt een uitzondering '403 onbevoegde toegang' en de verbinding wordt verbroken. In de preventiemodus worden dergelijke aanvallen vastgelegd in de WAF-logboeken.

U kunt ook een aanbieding selecteren in de Azure Marketplace die ondersteuning biedt voor IDS-/IPS-functionaliteit met nettoladingsinspectie- en/of anomaliedetectiemogelijkheden.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor webtoepassingen die worden uitgevoerd op Azure App Service- of rekenresources.

Verantwoordelijkheid: Klant

1.8: De complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: Gebruik servicetags voor virtuele netwerken om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen (NSG) of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

U kunt ook toepassingsbeveiligingsgroepen (ASG) gebruiken om complexe beveiligingsconfiguratie te vereenvoudigen. Met ASG's kunt u netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing, zodat u virtuele machines kunt groeperen en netwerkbeveiligingsbeleid kunt definiëren op basis van deze groepen.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkbronnen met betrekking tot uw Azure Cache voor Redis exemplaren met Azure Policy. Gebruik Azure Policy aliassen in de naamruimten Microsoft.Cache en Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw Azure Cache voor Redis exemplaren te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities, zoals:

  • Alleen beveiligde verbindingen met uw Redis Cache moeten zijn ingeschakeld

  • De DDoS Protection-standaard moet zijn ingeschakeld

U kunt Ook Azure Blueprints gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals ARM-sjablonen (Azure Resource Manager), op rollen gebaseerd toegangsbeheer (Azure RBAC) en beleidsregels, in één blauwdrukdefinitie te verpakken. Pas de blauwdruk eenvoudig toe op nieuwe abonnementen en omgevingen en verfijn controle en beheer via versiebeheer.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: Gebruik tags voor netwerkbronnen die zijn gekoppeld aan uw Azure Cache voor Redis-implementatie om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Gebruik het Azure-activiteitenlogboek om netwerkresourceconfiguraties te bewaken en wijzigingen te detecteren voor netwerkresources die betrekking hebben op uw Azure Cache voor Redis-exemplaren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkresources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Diagnostische instellingen voor Azure-activiteitenlogboeken inschakelen en de logboeken verzenden naar een Log Analytics-werkruimte, Azure Event Hub of Een Azure-opslagaccount voor archief. Activiteitenlogboeken bieden inzicht in de bewerkingen die zijn uitgevoerd op uw Azure Cache voor Redis exemplaren op het niveau van het besturingsvlak. Met behulp van Azure-activiteitenlogboekgegevens kunt u bepalen wat, wie en wanneer voor schrijfbewerkingen (PUT, POST, DELETE) wordt uitgevoerd op het niveau van het besturingsvlak voor uw Azure Cache voor Redis exemplaren.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Diagnostische instellingen voor Azure-activiteitenlogboeken inschakelen en de logboeken verzenden naar een Log Analytics-werkruimte, Azure Event Hub of Een Azure-opslagaccount voor archief. Activiteitenlogboeken bieden inzicht in de bewerkingen die zijn uitgevoerd op uw Azure Cache voor Redis exemplaren op het niveau van het besturingsvlak. Met behulp van Azure-activiteitenlogboekgegevens kunt u bepalen wat, wie en wanneer voor schrijfbewerkingen (PUT, POST, DELETE) wordt uitgevoerd op het niveau van het besturingsvlak voor uw Azure Cache voor Redis exemplaren.

Hoewel metrische gegevens beschikbaar zijn door diagnostische instellingen in te schakelen, is auditlogboekregistratie op het gegevensvlak nog niet beschikbaar voor Azure Cache voor Redis.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Stel in Azure Monitor de logboekretentieperiode in voor Log Analytics-werkruimten die zijn gekoppeld aan uw Azure Cache voor Redis instanties volgens de nalevingsregels van uw organisatie.

Houd er rekening mee dat auditlogboekregistratie op het gegevensvlak nog niet beschikbaar is voor Azure Cache voor Redis.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Diagnostische instellingen voor Azure-activiteitenlogboeken inschakelen en de logboeken verzenden naar een Log Analytics-werkruimte. Voer query's uit in Log Analytics om termen te zoeken, trends te identificeren, patronen te analyseren en vele andere inzichten te bieden op basis van de activiteitenlogboekgegevens die mogelijk zijn verzameld voor Azure Cache voor Redis.

Houd er rekening mee dat auditlogboekregistratie op het gegevensvlak nog niet beschikbaar is voor Azure Cache voor Redis.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: U kunt configureren voor het ontvangen van waarschuwingen op basis van metrische gegevens en activiteitenlogboeken met betrekking tot uw Azure Cache voor Redis-exemplaren. Met Azure Monitor kunt u een waarschuwing configureren voor het verzenden van een e-mailmelding, het aanroepen van een webhook of het aanroepen van een logische Azure-app.

Hoewel metrische gegevens beschikbaar zijn door diagnostische instellingen in te schakelen, is auditlogboekregistratie op het gegevensvlak nog niet beschikbaar voor Azure Cache voor Redis.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheerdersaccounts onderhouden

Richtlijnen: Azure Active Directory (Azure AD) heeft ingebouwde rollen die expliciet moeten worden toegewezen en waarop query's kunnen worden uitgevoerd. Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: De toegang tot Azure Cache voor Redis wordt beheerd via Azure Active Directory (Azure AD). Azure AD beschikt niet over het concept van standaardwachtwoorden.

Toegang tot Azure Cache voor Redis gegevensvlak wordt beheerd via toegangssleutels. Deze sleutels worden gebruikt door de clients die verbinding maken met uw cache en kunnen op elk gewenst moment opnieuw worden gegenereerd.

Het wordt niet aanbevolen om standaardwachtwoorden in uw toepassing in te bouwen. In plaats daarvan kunt u uw wachtwoorden opslaan in Azure Key Vault en vervolgens Azure AD gebruiken om ze op te halen.

Verantwoordelijkheid: Gedeeld

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts. Gebruik Microsoft Defender voor Cloud Identity and Access Management om het aantal beheerdersaccounts te controleren.

Daarnaast kunt u aanbevelingen van Microsoft Defender for Cloud of ingebouwde Azure-beleidsregels gebruiken om toegewezen beheerdersaccounts bij te houden, zoals:

  • Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement

  • Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement

  • Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: Azure Cache voor Redis gebruikt toegangssleutels om gebruikers te verifiëren en biedt geen ondersteuning voor eenmalige aanmelding (SSO) op gegevensvlakniveau. Toegang tot het besturingsvlak voor Azure Cache voor Redis is beschikbaar via REST API en biedt ondersteuning voor eenmalige aanmelding. Als u wilt verifiëren, stelt u de autorisatieheader voor uw aanvragen in op een JSON-webtoken dat u verkrijgt van Azure Active Directory (Azure AD).

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle toegang op basis van Azure Active Directory

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen.

Verantwoordelijkheid: Klant

3.6: Toegewezen machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Use privileged access workstations (PAW) with multifactor authentication configured to log into and configure Azure resources.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken voor het genereren van logboeken en waarschuwingen wanneer verdachte of onveilige activiteiten plaatsvinden in de omgeving.

Gebruik bovendien Azure AD risicodetecties om waarschuwingen en rapporten over riskant gebruikersgedrag weer te geven.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Benoemde locaties configureren in voorwaardelijke toegang van Azure Active Directory (Azure AD) om alleen toegang toe te staan vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en slaat gebruikersreferenties veilig op.

Azure AD verificatie kan niet worden gebruikt voor directe toegang tot het gegevensvlak van Azure Cache voor Redis, maar Azure AD referenties kunnen worden gebruikt voor beheer op het niveau van het besturingsvlak (bijvoorbeeld de Azure Portal) om Azure Cache voor Redis toegangssleutels te beheren.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory (Azure AD) biedt logboeken om verouderde accounts te detecteren. Daarnaast gebruikt u Azure Identity Access Reviews om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Pogingen controleren om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: U hebt toegang tot aanmeldingsactiviteiten van Azure Active Directory (Azure AD), controle- en risicogebeurtenislogboekbronnen, waarmee u kunt integreren met Microsoft Sentinel of een SIEM van derden.

U kunt dit proces stroomlijnen door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en de auditlogboeken en aanmeldingslogboeken te verzenden naar een Log Analytics-werkruimte. U kunt de gewenste logboekwaarschuwingen configureren in Log Analytics.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmeldingsgedrag voor accountwaarschuwingen

Richtlijnen: Gebruik Azure Active Directory (Azure AD) Identity Protection en risicodetectiefuncties voor het configureren van geautomatiseerde reacties op gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten voor accountaanmeldingsgedragsdeviatie op het besturingsvlak. U kunt ook gegevens opnemen in Microsoft Sentinel voor verder onderzoek.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventarisatie van gevoelige informatie onderhouden

Richtlijnen: gebruik tags om u te helpen bij het bijhouden van Azure-resources die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Azure Cache voor Redis exemplaren moeten worden gescheiden door virtueel netwerk/subnet en op de juiste wijze worden gelabeld. Gebruik eventueel de Azure Cache voor Redis firewall om regels te definiëren, zodat alleen clientverbindingen van opgegeven IP-adresbereiken verbinding kunnen maken met de cache.

Verantwoordelijkheid: Klant

4.3: Niet-geautoriseerde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: nog niet beschikbaar; functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Cache voor Redis.

Microsoft beheert de onderliggende infrastructuur voor Azure Cache voor Redis en heeft strikte controles geïmplementeerd om verlies of blootstelling van klantgegevens te voorkomen.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Azure Cache voor Redis vereist standaard tls-versleutelde communicatie. TLS-versies 1.0, 1.1 en 1.2 worden momenteel ondersteund. TLS 1.0 en 1.1 bevinden zich echter op een pad om industriebreed te worden afgeschaft, dus gebruik TLS 1.2 indien mogelijk. Als uw clientbibliotheek of hulpprogramma GEEN ondersteuning biedt voor TLS, kunnen niet-versleutelde verbindingen worden ingeschakeld via de Azure Portal- of beheer-API's. In dergelijke gevallen waar versleutelde verbindingen niet mogelijk zijn, wordt het aanbevolen om uw cache en clienttoepassing in een virtueel netwerk te plaatsen.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Cache:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 1.0.0

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Cache voor Redis. Taginstanties met gevoelige informatie als zodanig en implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantinhoud als gevoelig en gaat het tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

4.6: Op rollen gebaseerd toegangsbeheer gebruiken om de toegang tot resources te beheren

Richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot het Azure Cache voor Redis besturingsvlak te beheren (d.w.w.v. Azure Portal).

Verantwoordelijkheid: Klant

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: Azure Cache voor Redis slaat klantgegevens op in het geheugen en terwijl het sterk wordt beveiligd door veel besturingselementen die door Microsoft zijn geïmplementeerd, wordt het geheugen niet standaard versleuteld. Indien nodig door uw organisatie, versleutelt u inhoud voordat u deze opslaat in Azure Cache voor Redis.

Als u de functie Azure Cache voor Redis 'Redis Data Persistence' gebruikt, worden gegevens verzonden naar een Azure Storage-account dat u bezit en beheert. U kunt persistentie configureren vanaf de blade Nieuwe Azure Cache voor Redis tijdens het maken van de cache en in het menu Resource voor bestaande Premium-caches.

Gegevens in Azure Storage worden transparant versleuteld en ontsleuteld met 256-bits AES-versleuteling, een van de sterkste blokcoderingen die beschikbaar zijn en voldoen aan FIPS 140-2. Azure Storage-versleuteling kan niet worden uitgeschakeld. U kunt vertrouwen op door Microsoft beheerde sleutels voor de versleuteling van uw opslagaccount of u kunt versleuteling beheren met uw eigen sleutels.

Verantwoordelijkheid: Gedeeld

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer er wijzigingen plaatsvinden in productie-exemplaren van Azure Cache voor Redis en andere kritieke of gerelateerde resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: volg aanbevelingen van Microsoft Defender for Cloud over het beveiligen van uw Azure Cache voor Redis exemplaren en gerelateerde resources.

Microsoft voert beveiligingsproblemen uit op de onderliggende systemen die ondersteuning bieden voor Azure Cache voor Redis.

Verantwoordelijkheid: Gedeeld

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnement(en). Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources binnen uw abonnementen.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt het ten zeerste aanbevolen om azure Resource Manager resources te maken en te gebruiken.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om Azure Cache voor Redis exemplaren en gerelateerde resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Gebruik bovendien Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Daarnaast gebruikt u Azure Resource Graph om resources in de abonnementen op te vragen en te detecteren.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Configureer voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager (ARM) te beperken door 'Toegang blokkeren' te configureren voor de App 'Microsoft Azure Management'.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor uw Azure Cache voor Redis exemplaren met Azure Policy. Gebruik Azure Policy aliassen in de naamruimte Microsoft.Cache om aangepast beleid te maken om de configuratie van uw Azure Cache voor Redis exemplaren te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot uw Azure Cache voor Redis exemplaren, zoals:

  • Alleen beveiligde verbindingen met uw Redis Cache moeten zijn ingeschakeld

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Als u aangepaste Azure Policy definities of Azure Resource Manager-sjablonen gebruikt voor uw Azure Cache voor Redis-exemplaren en gerelateerde resources, gebruikt u Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.Cache om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Ontwikkel bovendien een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.Cache om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Gebruik Azure Policy [audit], [weigeren] en [implementeren als deze niet bestaan] om automatisch configuraties af te dwingen voor uw Azure Cache voor Redis exemplaren en gerelateerde resources.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Gebruik Managed Service Identity in combinatie met Azure Key Vault voor het vereenvoudigen en beveiligen van Azure Cache voor Redis geheim voor virtuele Azure-machines of webtoepassingen die worden uitgevoerd op Azure App Service die worden gebruikt voor toegang tot uw Azure Cache voor Redis-exemplaren Management. Zorg ervoor dat Key Vault voorlopig verwijderen is ingeschakeld.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Gebruik Managed Service Identity in combinatie met Azure Key Vault voor het vereenvoudigen en beveiligen van Azure Cache voor Redis geheim voor virtuele Azure-machines of webtoepassingen die worden uitgevoerd op Azure App Service die worden gebruikt voor toegang tot uw Azure Cache voor Redis-exemplaren Management. Zorg ervoor dat Key Vault Voorlopig verwijderen is ingeschakeld.

Beheerde identiteiten gebruiken om Azure-services te voorzien van een automatisch beheerde identiteit in Azure Active Directory (Azure AD). Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Azure Key Vault, zonder referenties in uw code.

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources

Richtlijnen: Microsoft antimalware is ingeschakeld op de onderliggende host die Ondersteuning biedt voor Azure-services (bijvoorbeeld Azure Cache voor Redis), maar wordt niet uitgevoerd op klantinhoud.

Scan vooraf alle inhoud die wordt geüpload naar azure-resources die niet worden berekend, zoals App Service, Data Lake Storage, Blob Storage, Azure Database for PostgreSQL, enzovoort. Microsoft heeft geen toegang tot uw gegevens in deze exemplaren.

Verantwoordelijkheid: Klant

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Redis-persistentie inschakelen. Met Redis-persistentie kunt u gegevens behouden die zijn opgeslagen in Redis. U kunt ook momentopnamen maken en een back-up maken van de gegevens, die u kunt laden in geval van een hardwarefout. Dit is een enorm voordeel ten opzichte van de Basic- of Standard-laag waarbij alle gegevens in het geheugen worden opgeslagen en er mogelijk gegevensverlies kan optreden in het geval van een fout waarbij cacheknooppunten uitvallen.

U kunt ook Azure Cache voor Redis Exporteren gebruiken. Met Exporteren kunt u de gegevens die zijn opgeslagen in Azure Cache voor Redis exporteren naar redis-compatibele RDB-bestanden. U kunt deze functie gebruiken om gegevens van het ene Azure Cache voor Redis exemplaar naar een andere of naar een andere Redis-server te verplaatsen. Tijdens het exportproces wordt een tijdelijk bestand gemaakt op de virtuele machine die als host fungeert voor het Azure Cache voor Redis serverexemplaren en wordt het bestand geüpload naar het aangewezen opslagaccount. Wanneer de exportbewerking is voltooid met de status geslaagd of mislukt, wordt het tijdelijke bestand verwijderd.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups en back-ups maken van door de klant beheerde sleutels

Richtlijnen: Redis-persistentie inschakelen. Met Redis-persistentie kunt u gegevens behouden die zijn opgeslagen in Redis. U kunt ook momentopnamen maken en een back-up maken van de gegevens, die u kunt laden in geval van een hardwarefout. Dit is een enorm voordeel ten opzichte van de Basic- of Standard-laag waarbij alle gegevens in het geheugen worden opgeslagen en er mogelijk gegevensverlies kan optreden in het geval van een fout waarbij cacheknooppunten uitvallen.

U kunt ook Azure Cache voor Redis Exporteren gebruiken. Met Exporteren kunt u de gegevens die zijn opgeslagen in Azure Cache voor Redis exporteren naar redis-compatibele RDB-bestanden. U kunt deze functie gebruiken om gegevens van het ene Azure Cache voor Redis exemplaar naar een andere of naar een andere Redis-server te verplaatsen. Tijdens het exportproces wordt een tijdelijk bestand gemaakt op de virtuele machine die als host fungeert voor het Azure Cache voor Redis serverexemplaren en wordt het bestand geüpload naar het aangewezen opslagaccount. Wanneer de exportbewerking is voltooid met de status geslaagd of mislukt, wordt het tijdelijke bestand verwijderd.

Als u Azure Key Vault gebruikt om referenties voor uw Azure Cache voor Redis exemplaren op te slaan, moet u regelmatig geautomatiseerde back-ups van uw sleutels maken.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: gebruik Azure Cache voor Redis Importeren. Importeren kan worden gebruikt om RDB-bestanden te gebruiken die compatibel zijn met Redis vanaf elke Redis-server die wordt uitgevoerd in elke cloud of omgeving, inclusief Redis die wordt uitgevoerd op Linux, Windows of een cloudprovider zoals Amazon Web Services en andere. Het importeren van gegevens is een eenvoudige manier om een cache te maken met vooraf ingevulde gegevens. Tijdens het importproces laadt Azure Cache voor Redis de RDB-bestanden uit Azure Storage in het geheugen en voegt u vervolgens de sleutels in de cache in.

Test periodiek gegevensherstel van uw Azure Key Vault-geheimen.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een procedure voor het scoren en prioritiseren van incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer bovendien duidelijk abonnementen (bijvoorbeeld productie, niet-prod) en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te leggen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of niet-geautoriseerde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Voer regelmatig penetratietests uit voor uw Azure-resources en zorg voor herstel van alle kritieke beveiligingsresultaten

Richtlijnen: Volg de Regels voor penetratietests van Microsoft Cloud om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen