Azure-beveiligingsbasislijn voor Azure Bot Service

Deze beveiligingsbasislijn past richtlijnen van Azure Security Benchmark versie 2.0 toe op Microsoft Azure Bot Service. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Bot Service.

Wanneer een functie relevante Azure Policy definities bevat die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Bot Service en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Bot Service volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van azure Bot Service beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Wanneer u Azure Bot Service-resources implementeert, moet u een bestaand virtueel netwerk maken of gebruiken. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Elk systeem dat een hoger risico voor de organisatie kan lopen, moet worden geïsoleerd binnen een eigen virtueel netwerk en voldoende worden beveiligd met een netwerkbeveiligingsgroep (NSG) en/of Azure Firewall.

Een netwerkbeveiligingsgroep maken met beveiligingsregels: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall implementeren en configureren: /azure/firewall/tutorial-firewall-deploy-portal

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Azure ExpressRoute of vpn (Virtual Private Network) van Azure gebruiken om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden meer betrouwbaarheid, snellere snelheden en lagere latenties dan typische internetverbinding. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering van virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Beveilig uw Azure Bot Service-resources tegen aanvallen van externe netwerken, waaronder DDoS-aanvallen (Distributed Denial of Service), toepassingsspecifieke aanvallen en ongevraagd en mogelijk schadelijk internetverkeer. Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Bescherm uw assets tegen DDoS-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw virtuele Azure-netwerken. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's met betrekking tot uw netwerkresources te detecteren.

Gebruik Web Application Firewall (WAF)-mogelijkheden in Azure-toepassing gateway, Azure Front Door en Azure Content Delivery Network (CDN) om uw toepassingen te beveiligen die worden uitgevoerd op Azure Bot Service tegen aanvallen in de toepassingslaag.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: gebruik Virtual Network servicetags om netwerktoegangsbeheer in netwerkbeveiligingsgroepen te definiëren of Azure Firewall geconfigureerd voor uw Azure Bot Service-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven (bijvoorbeeld: AzureBotService) in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Bot Service maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseren op Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:- Microsoft-cloudresources, zoals de Azure Portal, Azure Storage, Azure Virtual Machines (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.

  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben bij het nemen van beveiligingsmaatregelen voor de cloud in uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen uw postuur voor identiteitsbeveiliging te bepalen ten opzichte van de best practices die Microsoft aanbeveelt. Gebruik de score om te meten hoe goed uw configuratie aansluit bij de aanbevelingen en om verbeteringen door te voeren in uw beveiligingspostuur.

Opmerking: Azure AD biedt ondersteuning voor externe iD-providers, zodat gebruikers zonder Microsoft-account zich met hun externe identiteit kunnen aanmelden bij hun toepassingen en resources.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Active Directory (Azure AD) biedt identiteits- en toegangsbeheer voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Identiteits- en toegangsbeheer is van toepassing op bedrijfsidentiteiten, zoals werknemers, evenals externe identiteiten, zoals partners, leveranciers en leveranciers.

Gebruik Azure AD eenmalige aanmelding (SSO) om de toegang tot de gegevens en resources van uw organisatie on-premises en in de cloud te beheren en te beveiligen. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Met Azure Bot Service kunnen klanten code of configuraties of persistente gegevens implementeren/uitvoeren met identiteiten/geheimen. Het wordt aanbevolen referentiescanner te implementeren om referenties in code of configuraties of persistente gegevens te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Voor GitHub kunt u de systeemeigen functie voor het scannen op geheimen gebruiken om referenties of een andere vormen van geheimen binnen de code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Bot Service maakt gebruik van Azure Active Directory-accounts (Azure AD) voor het beheren van de resources, controleer regelmatig gebruikersaccounts en toegangstoewijzing om ervoor te zorgen dat de accounts en hun toegangsniveau geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken waarmee het beoordelingsproces wordt vereenvoudigd.

Daarnaast kan Azure Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd. Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen als beheerders, ontwikkelaars en serviceoperators met vergaande bevoegdheden. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd en beveiligde configuraties afdwingen, waaronder krachtige verificatie, software- en hardwarebasislijnen, beperkte logische toegang en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Bot Service is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten. Er bestaan vooraf gedefinieerde, ingebouwde rollen voor bepaalde resources, en deze rollen kunnen worden geïnventariseerd of opgevraagd via tools zoals Azure CLI, Azure PowerShell en Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en definieer alleen aangepaste rollen wanneer dit echt nodig is.

Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) /azure/role-based-access-control/overview

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Beveilig gevoelige gegevens door de toegang te beperken met behulp van Azure Role Based Access Control (Azure RBAC), netwerktoegangsbeheer en specifieke besturingselementen in Azure-services (zoals versleuteling in SQL en andere databases).

Consistent toegangsbeheer is alleen mogelijk als alle typen toegangsbeheer zijn afgestemd op de segmentatiestrategie van uw bedrijf. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende platform, dat wordt beheerd door Microsoft, geldt dat alle klantinhoud als gevoelig wordt beschouwd en dat gegevens worden beschermd tegen verlies en blootstelling. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd.

Verantwoordelijkheid: Gedeeld

DP-3: Controleren op niet-geautoriseerde overdracht van gevoelige gegevens

Richtlijnen: Controleer op niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van de onderneming. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie. Azure Storage Advanced Threat Protection (ATP) en Azure SQL ATP kunnen waarschuwen over afwijkende overdracht van gegevens die kunnen duiden op niet-geautoriseerde overdrachten van gevoelige informatie. Azure Information Protection (AIP) biedt bewakingsmogelijkheden voor informatie die is geclassificeerd en gelabeld. Indien vereist voor naleving van preventie van gegevensverlies (DLP), kunt u een op een host gebaseerde DLP-oplossing gebruiken om rechercheur- en/of preventieve controles af te dwingen om gegevensexfiltratie te voorkomen.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: alle Azure Bot Service-eindpunten worden weergegeven via HTTP afdwingen TLS 1.2. Met een afgedwongen beveiligingsprotocol moeten consumenten die proberen een Azure Bot Service-eindpunt aan te roepen, voldoen aan de volgende richtlijnen:

  • Het besturingssysteem van de client moet TLS 1.2 ondersteunen. De taal (en het platform) die wordt gebruikt om de HTTP-aanroep te maken, moet TLS 1.2 opgeven als onderdeel van de aanvraag. Afhankelijk van de taal en het platform wordt het opgeven van TLS impliciet of expliciet uitgevoerd. Om toegangsbeheer aan te vullen, moeten gegevens die onderweg zijn beveiligd tegen 'out-of-band'-aanvallen (bijvoorbeeld verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen. Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS- en SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die onderweg zijn tussen Azure-datacenters.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moeten data-at-rest worden beveiligd tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure biedt standaard versleuteling van data-at-rest. Voor zeer gevoelige gegevens hebt u opties voor het implementeren van extra versleuteling-at-rest op alle Azure-resources, indien beschikbaar. Azure beheert uw versleutelingssleutels standaard, maar Azure biedt opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels) voor bepaalde Azure-services.

Implementeer, indien vereist voor naleving van rekenresources, een hulpprogramma van derden, zoals een geautomatiseerde oplossing voor preventie van gegevensverlies op basis van een host, om toegangsbeheer af te dwingen voor gegevens, zelfs wanneer gegevens uit een systeem worden gekopieerd.

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe de verantwoordelijkheden van het beveiligingsteam zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Azure Bot Service biedt geen ondersteuning voor op Azure Resource Manager gebaseerde resource-implementaties en -detectie met Azure Resource Graph.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Azure Bot Service biedt geen systeemeigen mogelijkheden om beveiligingsrisico's met betrekking tot de bijbehorende resources te bewaken.

Stuur logboeken van Azure Bot Service door naar uw SIEM, die kunnen worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwen voor bepaalde verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen en afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Bedreigingsbeveiliging van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (zoals virtuele machines, containers, app service), gegevensresources (zoals SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u accountafwijkingen in de afzonderlijke resources zien.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: NSG-resourcelogboeken (Netwerkbeveiligingsgroep) inschakelen en verzamelen, NSG-stroomlogboeken, Azure Firewall logboeken en Web Application Firewall waf-logboeken (WAF) voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzichten te bieden.

Azure Bot Service produceert of verwerkt geen DNS-querylogboeken die moeten worden ingeschakeld.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Azure Bot Services-resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure Bot Service produceert momenteel geen Azure-resourcelogboeken.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie. Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van Azure Bot Service-logboeken de bewaarperiode voor logboeken hebben ingesteld volgens de nalevingsregels van uw organisatie.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor de meeste Azure PaaS- en SaaS-services. Gebruik voor uw virtuele machines de standaard-NTP-server van Microsoft voor tijdsynchronisatie, tenzij u een specifieke vereiste hebt. Als u uw eigen NTP-server (Network Time Protocol) moet opstaan, moet u ervoor zorgen dat u de UDP-servicepoort 123 beveiligt. Alle logboeken die worden gegenereerd door resources in Azure bieden tijdstempels met de standaard opgegeven tijdzone.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Richtlijnen: Zorg ervoor dat u een back-up maakt van systemen en gegevens om bedrijfscontinuïteit te behouden na een onverwachte gebeurtenis. Dit moet worden gedefinieerd door alle doelstellingen voor RPO (Recovery Point Objective) en Recovery Time Objective (RTO). Schakel Azure Backup in en configureer de back-upbron (bijvoorbeeld Azure-VM's, SQL Server, HANA-databases of bestandsshares), evenals de gewenste frequentie en bewaarperiode.

Voor een hoger beschermingsniveau kunt u geografisch redundante opslagoptie inschakelen om back-upgegevens te repliceren naar een secundaire regio en te herstellen met behulp van herstel tussen regio's.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: Zorg ervoor dat uw back-ups zijn beveiligd tegen aanvallen. Dit omvat versleuteling van de back-ups ter bescherming tegen verlies van vertrouwelijkheid.

Voor on-premises back-ups met behulp van Azure Backup wordt versleuteling-at-rest geleverd met behulp van de wachtwoordzin die u opgeeft. Voor regelmatige back-ups van Azure-services worden back-upgegevens automatisch versleuteld met behulp van door het Azure-platform beheerde sleutels. U kunt ervoor kiezen om de back-ups te versleutelen met behulp van de door de klant beheerde sleutel. Zorg er in dit geval voor dat deze door de klant beheerde sleutel in de sleutelkluis zich ook in het back-upbereik bevindt.

Gebruik op rollen gebaseerd toegangsbeheer in Azure Backup, Azure Key Vault of andere resources om back-ups en door de klant beheerde sleutels te beveiligen. Daarnaast kunt u geavanceerde beveiligingsfuncties inschakelen om meervoudige verificatie te vereisen voordat back-ups kunnen worden gewijzigd of verwijderd.

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om te voorkomen dat sleutels verloren gaan en te herstellen. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen