Azure-beveiligingsbasislijn voor Azure Backup

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Backup. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Backup.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Backup en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Backup volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand Azure Backup beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Azure Backup biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. Back-up kan geen gebruikmaken van netwerkfuncties zoals netwerkbeveiligingsgroepen, routetabellen of netwerkafhankelijke apparaten, zoals Azure Firewall.

Gebruik Microsoft Sentinel om het gebruik van verouderde onveilige protocollen te detecteren, zoals:

  • Transport Layer Security (TLS) v1

  • Server Message Block (SMB) v1

  • LAN Manager (LM) of New Technology LAN Manager (NTLM) v1

  • wDigest

  • Niet-ondertekende LDAP-bindingen (Lightweight Directory Access Protocol)

  • Zwakke coderingen in Kerberos

Alle aanbiedingen dwingen TLS 1.2 en hoger af, met uitzondering van back-ups van de MARS-agent (Microsoft Azure Recovery Services). Voor alleen MARS-agentback-ups ondersteunt Backup TLS 1.1 en ouder tot 1 september 2021. Daarna dwingt MARS-agentback-ups ook TLS 1.2 en hoger af.

Wanneer u een back-up maakt van SQL-servers en SAP HANA-exemplaren op Virtuele Azure-machines, moet u uitgaande toegang tot poort 443 toestaan voor toegang tot bepaalde FQDN's (Fully Qualified Domain Names) of wanneer u servicetags gebruikt.

U kunt privé-eindpunten gebruiken voor uw Recovery Services-kluizen. Alleen netwerken die privé-eindpunten voor de kluis bevatten, hebben toegang tot de kluis.

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Als u een back-up wilt maken van on-premises servers, kunt u ExpressRoute of virtueel particulier netwerk (VPN) gebruiken om verbinding te maken met Azure.

Gebruik de Azure Backup Community bij het gebruik van Microsoft-peering voor ExpressRoute. Gebruik persoonlijke peering bij het gebruik van privé-eindpunten voor back-up. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en blijft op het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Kluis is een Azure-resource die u kunt openen via de Azure Portal, Azure CLI, PowerShell, SDK en REST. Back-up ondersteunt ook privé-eindpunten voor Recovery Services-kluizen.

Gebruik Azure Private Link voor privétoegang tot Recovery Services-kluizen vanuit uw virtuele netwerken zonder internet te overschrijden. Privétoegang voegt een diepgaande meting toe aan Azure-verificatie en verkeersbeveiliging.

Back-up biedt niet de mogelijkheid om service-eindpunten voor virtuele netwerken te configureren.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Azure Virtual Network-servicetags gebruiken om netwerktoegangsbeheer te definiëren voor back-upbronnen in netwerkbeveiligingsgroepen (NSG's) of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Geef de naam van de servicetag op in het bron- of doelveld van de juiste regel om het verkeer toe te staan of te weigeren. Microsoft beheert de adresvoorvoegsels die de servicetag omvat en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Voor netwerken die services hosten die communiceren met Backup, staat u de servicetags 'AzureBackup', 'AzureStorage' en 'AzureActiveDirectory' toe die uitgaand zijn op uw NSG's.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Niet van toepassing. Back-up maakt geen onderliggende DNS-configuraties beschikbaar. Microsoft onderhoudt deze instellingen.

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Back-up maakt gebruik van Azure Active Directory (Azure AD) als standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources. Resources zijn onder andere:

    • Azure Portal

    • Azure Storage

    • Virtuele Azure Linux- en Windows-machines

    • Azure Key Vault

    • Platform-as-a-Service (PaaS)

    • SaaS-toepassingen (Software-as-a-Service)

  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben voor de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een beveiligingsscore voor identiteiten om u te helpen uw identiteitsbeveiligingspostuur te vergelijken met de aanbevelingen voor aanbevolen procedures van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources.

Back-up maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (RBAC) om gedetailleerde toegang tot resources toe te staan. Back-up biedt drie ingebouwde rollen: Back-upbijdrager, Back-upoperator en Back-uplezer.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Back-up ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Backup in plaats van service-principals te maken voor toegang tot andere resources.

Back-up kan systeemeigen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. Back-up maakt gebruik van een vooraf gedefinieerde toegangstoekenningsregel in plaats van referenties die zijn vastgelegd in broncode of configuratiebestanden.

Back-up maakt gebruik van beheerde identiteiten voor het uitvoeren van back-up- en herstelbewerkingen op beveiligde gegevensbronnen in Back-upkluizen. Back-up maakt ook gebruik van beheerde identiteiten voor het beheren van beveiligingsfuncties, zoals versleuteling met door de klant beheerde sleutels en privé-eindpunten voor Recovery Services-kluizen.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: verbind al uw gebruikers, toepassingen en apparaten met Azure AD. Azure AD biedt naadloze, veilige toegang en meer zichtbaarheid en controle.

Back-up maakt gebruik van Azure AD voor identiteits- en toegangsbeheer voor Azure-resources. Identiteiten die Azure AD kunnen gebruiken om te verifiëren bij Backup, zijn bedrijfsidentiteiten zoals werknemers en externe identiteiten, zoals partners, leveranciers en leveranciers. Azure AD biedt eenmalige aanmelding (SSO) voor het beheren en beveiligen van de toegang tot de on-premises en cloudgegevens en -resources van uw organisatie.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Gebruik de Azure DevOps-referentiescanner om referenties te detecteren in uw ARM-sjablonen (Backup Azure Resource Manager). Referentiescanner moedigt het verplaatsen van gedetecteerde referenties aan naar veiligere locaties zoals Azure Key Vault.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere geheimen in code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde Azure AD rollen zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers met deze twee rollen kunnen beheerdersrollen delegeren.

  • De globale beheerder of bedrijfsbeheerder heeft toegang tot alle Azure AD beheerfuncties en -services die gebruikmaken van Azure AD identiteiten.

  • De beheerder van bevoorrechte rollen kan roltoewijzingen beheren in Azure AD en Azure AD Privileged Identity Management (PIM). Deze rol kan alle aspecten van PIM en beheereenheden beheren.

Beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau. Zeer bevoegde gebruikers kunnen al uw Azure-resources direct of indirect lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren voor verdachte of onveilige activiteiten in uw Azure AD organisatie.

De RBAC-rol Back-upbijdrager heeft alle machtigingen voor het maken en beheren van back-ups, met uitzondering van het verwijderen van de Recovery Services-kluis en het verlenen van toegang tot anderen. Deze rol is de beheerder van back-upbeheer, die elke back-upbeheerbewerking kan uitvoeren. Controleer identiteiten waaraan deze rol regelmatig wordt toegewezen en configureer ze met Azure AD PIM.

Opmerking: Mogelijk moet u andere kritieke rollen beheren als u bepaalde bevoegde machtigingen toewijst aan aangepaste rollen. Mogelijk wilt u vergelijkbare besturingselementen toepassen op de beheerdersaccounts van kritieke bedrijfsactiva.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Back-up maakt gebruik van Azure AD accounts en Azure RBAC voor het verlenen van machtigingen aan de bijbehorende resources. Controleer regelmatig gebruikersaccounts en toegangstoewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te bekijken. Azure AD rapportage kan logboeken bieden om verlopen accounts te detecteren. U kunt ook werkstromen voor toegangsbeoordelingsrapport maken in Azure AD Privileged Identity Management (PIM) om het beoordelingsproces te vereenvoudigen.

U kunt ook Azure AD PIM configureren om u te waarschuwen wanneer er te veel beheerdersaccounts zijn. PIM kan ook beheerdersaccounts identificeren die verouderd of onjuist zijn geconfigureerd.

Backup biedt ondersteuning voor Azure RBAC voor gedetailleerd toegangsbeheer voor kluizen. Azure Backup biedt drie ingebouwde RBAC-rollen voor het beheren van back-upbeheerbewerkingen:

  • Inzender voor back-ups: deze rol heeft alle machtigingen voor het maken en beheren van back-ups, met uitzondering van het verwijderen van Recovery Services-kluizen en het verlenen van toegang tot anderen. Deze rol is de beheerder van back-upbeheer, die elke back-upbeheerbewerking kan uitvoeren.

  • Back-upoperator: deze rol heeft machtigingen voor alles wat een inzender voor back-ups doet, behalve het verwijderen van back-ups en het beheren van back-upbeleid. Deze rol is hetzelfde als Back-upbijdrager, behalve dat deze geen destructieve bewerkingen kan uitvoeren, zoals het stoppen van back-ups met verwijderingsgegevens of het verwijderen van registratie van on-premises resources.

  • Back-uplezer: deze rol is gemachtigd om alle back-upbeheerbewerkingen weer te geven. Deze rol is bedoeld voor bewaking.

  • Een toegangsbeoordeling maken van Azure-resourcerollen in Privileged Identity Management (PIM)

  • Identiteits- en toegangsbeoordelingen van Azure AD

  • Azure RBAC voor back-up

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en Azure Bastion voor beheertaken op back-upbronnen.

Gebruik Azure AD, Microsoft Defender Advanced Threat Protection (ATP) of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. U kunt beveiligde werkstations centraal beheren om een beveiligingsconfiguratie af te dwingen die het volgende omvat:

Verantwoordelijkheid: Klant

PA-7: Volg het principe van minimale bevoegdheden van net genoeg beheer

Richtlijnen: Back-up kan worden geïntegreerd met Azure RBAC om de resources te beheren. Met RBAC beheert u toegang tot Azure-resources via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde, ingebouwde rollen. U kunt deze rollen inventariseren of opvragen via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.

Beperk altijd de bevoegdheden die u toewijst aan resources via Azure RBAC aan wat de rollen vereisen. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM. Controleer regelmatig rollen en toewijzingen.

Back-up wordt geïntegreerd met Azure RBAC en maakt het mogelijk om ingebouwde en aangepaste rollen te gebruiken om de toegang tot resources te beheren. Gebruik ingebouwde rollen om machtigingen toe te wijzen en maak alleen aangepaste rollen wanneer dat nodig is.

Azure Backup biedt drie ingebouwde rollen voor het beheren van back-upbeheerbewerkingen:

  • Inzender voor back-ups: deze rol heeft alle machtigingen voor het maken en beheren van back-ups, met uitzondering van het verwijderen van Recovery Services-kluizen en het verlenen van toegang tot anderen. Deze rol is de beheerder van back-upbeheer, die elke back-upbeheerbewerking kan uitvoeren.

  • Back-upoperator: deze rol heeft machtigingen voor alles wat een inzender voor back-ups doet, behalve het verwijderen van back-ups en het beheren van back-upbeleid. Deze rol is hetzelfde als Back-upbijdrager, behalve dat deze geen destructieve bewerkingen kan uitvoeren, zoals het stoppen van back-ups met verwijderingsgegevens of het verwijderen van registratie van on-premises resources.

  • Back-uplezer: deze rol is gemachtigd om alle back-upbeheerbewerkingen weer te geven. Deze rol is bedoeld voor bewaking.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces voor Microsoft-ondersteuning kiezen

Richtlijnen: Back-up biedt geen ondersteuning voor Customer Lockbox. Microsoft werkt met klanten via andere methoden voor goedkeuring om toegang te krijgen tot klantgegevens.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: Azure Backup beschikt niet over mogelijkheden om back-upgegevens te classificeren. U kunt uw gegevens zelf ordenen met behulp van verschillende kluizen en tags aan deze kluizen koppelen op basis van hun inhoud.

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Om gevoelige gegevens te beveiligen, beperkt u de toegang tot back-upbronnen met behulp van:

  • Azure RBAC

  • Toegangsbeheer op basis van netwerken

  • Specifieke besturingselementen, zoals versleuteling in Azure-services

Bij het maken van back-ups van Azure IaaS-VM's biedt Azure Backup onafhankelijke en geïsoleerde back-ups om te beschermen tegen onbedoelde vernietiging van oorspronkelijke gegevens. Back-ups worden opgeslagen in een Recovery Services-kluis met ingebouwd beheer van herstelpunten.

Voor consistentie kunt u alle typen toegangsbeheer uitlijnen met uw bedrijfssegmentatiestrategie. Informeer uw strategie voor bedrijfssegmentatie op basis van de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Microsoft behandelt alle klantinhoud in het onderliggende door Microsoft beheerde platform als gevoelig. Microsoft beschermt tegen verlies en blootstelling van klantgegevens. Microsoft heeft standaard besturingselementen en mogelijkheden voor gegevensbeveiliging om ervoor te zorgen dat Azure-klantgegevens veilig blijven,

Verantwoordelijkheid: Klant

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Back-up biedt ondersteuning voor het overdragen van klantgegevens, maar biedt geen systeemeigen ondersteuning voor bewaking voor onbevoegde overdracht van gevoelige gegevens. U kunt echter waarschuwingsregels schrijven voor activiteiten- en resourcelogboeken voor herstelbewerkingen die plaatsvinden vanuit de kluis.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Back-up van verkeer van servers naar de Recovery Services-kluisoverdracht via een beveiligde HTTPS-koppeling. Gegevens worden versleuteld met AES (Advanced Encryption Standard) 256 wanneer ze zijn opgeslagen in de kluis.

Back-up ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Deze vereiste is optioneel voor verkeer op particuliere netwerken, maar essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources TLS v1.2 of hoger kunnen gebruiken.

Schakel zwakke coderingen en verouderde SSL-, TLS- en SSH-versies en -protocollen uit.

Azure versleutelt standaard gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Back-up ondersteunt versleuteling voor at-rest-gegevens. Voor on-premises back-ups maakt versleuteling-at-rest gebruik van de wachtwoordzin die u opgeeft bij het maken van back-ups naar Azure. Voor cloudworkloads worden gegevens standaard versleuteld met behulp van SSE (Storage Service Encryption) en door Microsoft beheerde sleutels. Back-up biedt ook opties voor door de klant beheerde sleutels om te voldoen aan wettelijke vereisten.

Wanneer u een back-up maakt met de MARS-agent of een Recovery Services-kluis gebruikt die is versleuteld met een door de klant beheerde sleutel, heeft alleen de klant toegang tot de versleutelingssleutel. Microsoft onderhoudt geen kopie of heeft geen toegang tot de sleutel. Als de sleutel verkeerd wordt geplaatst, kan Microsoft de back-upgegevens niet herstellen.

Verantwoordelijkheid: Gedeeld

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat u beveiligingsteams machtigingen verleent voor back-uplezer en lezer in uw Azure-tenant en -abonnementen, zodat ze back-upconfiguraties en -gegevens kunnen controleren op beveiligingsrisico's.

Bewaking van beveiligingsrisico's kan de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team, afhankelijk van hoe u verantwoordelijkheden structureert. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

Verantwoordelijkheid: Klant

AM-2: Zorg ervoor dat het beveiligingsteam toegang heeft tot assetinventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Backup. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. en wijs deze leestoegang toe aan alle back-upbronnen. U kunt het proces vereenvoudigen met één roltoewijzing op hoog niveau in uw abonnement.

Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Back-up ondersteunt het bewaken en afdwingen van configuraties met behulp van Azure Policy. Wijs Azure Policy ingebouwde definities toe om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken waarmee waarschuwingen worden geactiveerd wanneer ze een niet-goedgekeurde service detecteren.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen in Microsoft Defender for Cloud. Microsoft Defender inschakelen voor uw DDoS Protection Standard-resources. Microsoft Defender biedt een extra laag beveiligingsinformatie. Microsoft Defender detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van uw DDoS Protection-resources.

Azure Backup activiteiten- en resourcelogboeken genereert, die u kunt gebruiken om acties te controleren op back-upresources en bedreigingen te detecteren. Stuur de back-uplogboeken door naar uw SIEM-systeem (Security Information and Event Management). U kunt uw SIEM gebruiken om aangepaste bedreigingsdetecties in te stellen.

Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit, om fout-positieven te verminderen voor analisten om door te sorteren. U kunt waarschuwingen ophalen uit logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, bewerkingen voor back-upresources. U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers resources hebben gewijzigd.

Azure-resourcelogboeken inschakelen voor Back-up. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Verantwoordelijkheid: Gedeeld

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Centraliseer logboekopslag en -analyse om correlatie van back-uplogboekgegevens mogelijk te maken. Zorg ervoor dat u voor elke logboekbron het volgende opneemt:

  • De toegewezen gegevenseigenaar
  • Toegangsrichtlijnen
  • Opslaglocatie
  • Hulpprogramma's die de gegevens verwerken en openen
  • Vereisten voor gegevensretentie

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren. Gebruik Azure Storage-accounts voor langetermijn- en archiveringsopslag.

Gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. U kunt Microsoft Sentinel gebruiken voor 'dynamische' gegevens die u regelmatig gebruikt en Azure Storage voor 'koude' gegevens die u minder vaak gebruikt.

Verantwoordelijkheid: Gedeeld

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Azure Storage- of Log Analytics-werkruimteaccounts gebruiken voor langetermijn- en archiveringsopslag. Voor opslagaccounts of Log Analytics-werkruimten die back-uplogboeken opslaan, stelt u een bewaarperiode voor logboeken in die voldoen aan de nalevingsvoorschriften van uw organisatie.

Verantwoordelijkheid: Gedeeld

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Back-up biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. Back-up is afhankelijk van Microsoft-tijdsynchronisatiebronnen die niet beschikbaar zijn voor klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Beveiligde configuraties van uw Recovery Services-kluis bewaken en afdwingen door ingebouwde en aangepaste Azure Policy definities toe te wijzen. Als ingebouwd beleid niet aan uw vereisten voldoet, gebruikt u Azure Policy aliassen in de naamruimte Microsoft.RecoveryServices om aangepast beleid te maken.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Gebruik Azure Policy om back-upconfiguraties te bewaken en af te dwingen, zoals:

  • Instellingen voor uw kluizen

  • Versleuteling met door de klant beheerde sleutels

  • Privé-eindpunten gebruiken voor uw kluizen

  • Diagnostische instellingen implementeren

Gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaat] om beveiligde configuratie af te dwingen voor Azure Backup resources.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Back-up implementeert geen klantgerichte rekenresources die ondersteuning bieden voor hulpprogramma's voor evaluatie van beveiligingsproblemen. Microsoft verwerkt beveiligingsproblemen en evaluaties voor het onderliggende platform dat back-up ondersteunt.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Back-up implementeert geen klantgerichte rekenresources die ondersteuning bieden voor hulpprogramma's voor evaluatie van beveiligingsproblemen. Microsoft verwerkt beveiligingsproblemen en evaluaties voor het onderliggende platform dat back-up ondersteunt.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer indien nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid. Gebruik de Red Teaming-strategie en uitvoering van Microsoft. Live sitepenetratietests uitvoeren op basis van door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-2: Back-upgegevens versleutelen

Richtlijnen: Back-up ondersteunt versleuteling voor at-rest back-upgegevens die worden beheerd. Cloudworkloads versleutelen gegevens-at-rest standaard met behulp van SSE (Storage Service Encryption) en door Microsoft beheerde sleutels. Azure Backup biedt opties voor door de klant beheerde sleutels om te voldoen aan wettelijke vereisten.

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.RecoveryServices:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. AuditIfNotExists, uitgeschakeld 2.0.0

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: zorg ervoor dat u metingen hebt om te voorkomen dat er back-upversleutelingssleutels verloren gaan en herstellen. Als u sleutels wilt beveiligen tegen onbedoelde of schadelijke verwijdering, schakelt u voorlopig verwijderen en opschonen in uw Azure-Key Vault in.

Verantwoordelijkheid: Gedeeld

Volgende stappen