Azure-beveiligingsbasislijn voor Azure Cloud Services

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Microsoft Azure Cloud Services. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Cloud Services.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Cloud Services, of waarvoor de verantwoordelijkheid van Microsoft is, zijn uitgesloten. Als u wilt zien hoe Azure Cloud Services volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van de Azure Cloud Services-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: maak een klassieke Azure-Virtual Network met afzonderlijke openbare en persoonlijke subnetten om isolatie af te dwingen op basis van vertrouwde poorten en IP-bereiken. Deze virtuele netwerken en subnetten moeten de klassieke Virtual Network (klassieke implementatie) resources zijn en niet de huidige Azure Resource Manager-resources.

Verkeer toestaan of weigeren met behulp van een netwerkbeveiligingsgroep, die regels voor toegangsbeheer bevat op basis van verkeersrichting, protocol, bronadres en poort en doeladres en poort. De regels van een netwerkbeveiligingsgroep kunnen op elk gewenst moment worden gewijzigd en wijzigingen worden toegepast op alle gekoppelde exemplaren.

Microsoft Azure Cloud Services (klassiek) kan niet worden geplaatst in virtuele Netwerken van Azure Resource Manager. Op Resource Manager gebaseerde virtuele netwerken en klassieke virtuele netwerken op basis van implementatie kunnen echter worden verbonden via peering.

Verantwoordelijkheid: Klant

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren

Richtlijnen: documenteer uw Azure Cloud Services-configuratie en bewaak deze op wijzigingen. Gebruik het configuratiebestand van de service om het aantal rolexemplaren op te geven dat moet worden geïmplementeerd voor elke rol in de service, de waarden van configuratie-instellingen en de vingerafdrukken voor certificaten die zijn gekoppeld aan een rol.

Als de service deel uitmaakt van een virtueel netwerk, moeten configuratiegegevens voor het netwerk worden opgegeven in het serviceconfiguratiebestand en in het configuratiebestand voor virtuele netwerken. De standaardextensie voor het serviceconfiguratiebestand is .cscfg. Houd er rekening mee dat Azure Policy niet wordt ondersteund voor klassieke implementaties voor het afdwingen van configuraties.

Stel de configuratiewaarden van een cloudservice in het serviceconfiguratiebestand (.cscfg) en de definitie in een servicedefinitiebestand (.csdef) in. Gebruik het servicedefinitiebestand om het servicemodel voor een toepassing te definiëren. Definieer de rollen die beschikbaar zijn voor een cloudservice en geef ook de service-eindpunten op. Registreer de configuratie voor Azure Cloud Services met een serviceconfiguratiebestand. Elke herconfiguratie kan worden uitgevoerd via het Bestand ServiceConfig.cscfg.

Bewaak de optionele networkTrafficRules elementservicedefinitie waarmee wordt beperkt welke rollen kunnen communiceren met opgegeven interne eindpunten. Configureer het knooppunt NetworkTrafficRules, een optioneel element in het servicedefinitiebestand, om op te geven hoe rollen met elkaar moeten communiceren. Limieten instellen voor welke rollen toegang hebben tot de interne eindpunten van de specifieke rol. Houd er rekening mee dat de servicedefinitie niet kan worden gewijzigd.

Schakel stroomlogboeken voor netwerkbeveiligingsgroepen in en verzend de logboeken naar een Azure Storage-account voor controle. Verzend de stroomlogboeken naar een Log Analytics-werkruimte en gebruik Traffic Analytics om inzicht te krijgen in verkeerspatronen in uw Azure-tenant. Sommige voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren, hot spots en beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: Microsoft maakt gebruik van het TLS-protocol (Transport Layer Security) v1.2 om gegevens te beveiligen wanneer deze onderweg zijn tussen Azure Cloud Services en klanten. Microsoft-datacenters onderhandelen over een TLS-verbinding met clientsystemen die verbinding maken met Azure-services. TLS biedt sterke verificatie, privacy en integriteit van berichten (waardoor berichten worden gemanipuleerd, onderschept en vervalst), interoperabiliteit, flexibiliteit van algoritmen en gebruiksgemak bij implementatie en gebruik.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: Azure Cloud implementeert een meerlaagse netwerkbeveiliging om de platformservices te beschermen tegen DDoS-aanvallen (Distributed Denial of Service). Azure DDoS Protection maakt deel uit van het continue bewakingsproces van Azure Cloud, dat voortdurend wordt verbeterd door middel van penetratietests. Deze DDoS Protection is ontworpen om niet alleen bestand te zijn tegen aanvallen van buitenaf, maar ook van andere Azure-tenants.

Er zijn verschillende manieren om communicatie te blokkeren of te weigeren naast beveiliging op platformniveau binnen Azure Cloud Services. Deze zijn:

  • Een opstarttaak maken om bepaalde specifieke IP-adressen selectief te blokkeren
  • Toegang tot een Azure-webrol beperken tot een set opgegeven IP-adressen door uw IIS-web.config-bestand te wijzigen

Voorkomen dat binnenkomend verkeer naar de standaard-URL of naam van uw Cloud Services, bijvoorbeeld .cloudapp.net. Stel de hostheader in op een aangepaste DNS-naam, onder sitebindingsconfiguratie in het bestand Cloud Services definitie (.csdef).

Configureer een regel Weigeren toepassen op klassieke abonnementsbeheerderstoewijzingen. Nadat een intern eindpunt is gedefinieerd, kan communicatie standaard zonder beperkingen van elke rol naar het interne eindpunt van een rol stromen. Als u de communicatie wilt beperken, moet u een NetworkTrafficRules-element toevoegen aan het Element ServiceDefinition in het servicedefinitiebestand.

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: Azure Network Watcher, bewaking van netwerkprestaties, diagnostische en analyseservice gebruiken waarmee Azure-netwerken kunnen worden bewaakt. De extensie Network Watcher Virtuele machine van agent is een vereiste voor het vastleggen van netwerkverkeer op aanvraag en andere geavanceerde functionaliteit in Azure Virtual Machines. Installeer de extensie van de virtuele machine Network Watcher agent en schakel stroomlogboeken voor netwerkbeveiligingsgroepen in.

Stroomlogboekregistratie configureren in een netwerkbeveiligingsgroep. Bekijk de details over het implementeren van de Network Watcher-extensie voor virtuele machines op een bestaande virtuele machine die is geïmplementeerd via het klassieke implementatiemodel.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Azure Cloud Services heeft geen ingebouwde ID's of IPS-mogelijkheden. Klanten kunnen een aanvullende netwerk-id's of IPS-oplossing selecteren en implementeren vanuit de Azure Marketplace op basis van hun organisatievereisten. Wanneer u oplossingen van derden gebruikt, moet u de geselecteerde IDS- of IPS-oplossing grondig testen met Azure Cloud Services om de juiste werking en functionaliteit te garanderen.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: Servicecertificaten die zijn gekoppeld aan Azure Cloud Services, maken beveiligde communicatie naar en van de service mogelijk. Deze certificaten worden gedefinieerd in de definitie van de services en worden automatisch geïmplementeerd op de virtuele machine waarop een exemplaar van een webrol wordt uitgevoerd. Voor een webrol kunt u bijvoorbeeld een servicecertificaat gebruiken waarmee een beschikbaar HTTPS-eindpunt kan worden geverifieerd.

Als u het certificaat wilt bijwerken, hoeft u alleen een nieuw certificaat te uploaden en de vingerafdrukwaarde in het serviceconfiguratiebestand te wijzigen.

Gebruik het TLS 1.2-protocol, de meest gebruikte methode voor het beveiligen van gegevens om vertrouwelijkheid en integriteitsbeveiliging te bieden.

Over het algemeen kunt u, om webtoepassingen te beveiligen en te beveiligen tegen aanvallen zoals OWASP Top 10, een Azure Web Application Firewall-ingeschakelde Azure Application Gateway implementeren voor het beveiligen van webtoepassingen.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Behard de configuratie van uw Azure Cloud Services en bewaak deze op wijzigingen. Het serviceconfiguratiebestand geeft het aantal rolexemplaren op dat moet worden geïmplementeerd voor elke rol in de service, de waarden van configuratie-instellingen en de vingerafdrukken voor certificaten die zijn gekoppeld aan een rol.

Als uw service deel uitmaakt van een virtueel netwerk, moeten de configuratiegegevens voor het netwerk worden opgegeven in het serviceconfiguratiebestand en in het configuratiebestand voor virtuele netwerken. De standaardextensie voor het serviceconfiguratiebestand is .cscfg.

Houd er rekening mee dat Azure Policy niet wordt ondersteund met Azure Cloud Services voor het afdwingen van configuraties.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: Azure-netwerkbeveiligingsgroepen kunnen worden gebruikt om netwerkverkeer naar en van Azure-resources in een Azure-Virtual Network te filteren. Een netwerkbeveiligingsgroep bevat beveiligingsregels waarmee binnenkomend netwerkverkeer naar of uitgaande netwerkverkeer van verschillende typen Azure-resources wordt toegestaan of geweigerd. Voor elke regel kunt u de bron en het doel, de poort en het protocol opgeven.

Gebruik het veld Beschrijving voor afzonderlijke regels voor netwerkbeveiligingsgroepen in Azure Cloud Services om de regels te documenteren, waarmee verkeer naar of vanuit een netwerk wordt toegestaan.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: gebruik de ingebouwde eindpuntbewakingsfuncties en automatische eindpuntfailoverfuncties van Azure Traffic Manager. Ze helpen u toepassingen met hoge beschikbaarheid te leveren, die bestand zijn tegen eindpunt- en Azure-regiofouten. Als u eindpuntbewaking wilt configureren, moet u bepaalde instellingen voor uw Traffic Manager-profiel opgeven.

Verzamel inzicht in activiteitenlogboek, een platformlogboek in Azure, in gebeurtenissen op abonnementsniveau. Deze bevat informatie zoals wanneer een resource wordt gewijzigd of wanneer een virtuele machine wordt gestart. Bekijk het activiteitenlogboek in de Azure Portal of haal vermeldingen op met PowerShell en CLI.

Maak een diagnostische instelling voor het verzenden van het activiteitenlogboek naar Azure Monitor, Azure Event Hubs om door te sturen buiten Azure of naar Azure Storage voor archivering. Configureer Azure Monitor voor meldingen wanneer kritieke resources in uw Azure-Cloud Services worden gewijzigd.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor Azure-resources voor Azure Cloud Services. Klanten moeten mogelijk een netwerkregel maken om toegang te verlenen tot een tijdserver die in hun omgeving wordt gebruikt, via poort 123 met het UDP-protocol.

Verantwoordelijkheid: Gedeeld

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Gebruik programmatisch streaminggegevens van uw cloudservice met Azure Event Hubs. Integreer en verzend al deze gegevens naar Microsoft Sentinel om uw logboeken te controleren en te controleren, of gebruik een SIEM van derden. Configureer voor centraal beheer van beveiligingslogboeken continue export van uw gekozen Microsoft Defender for Cloud-gegevens naar Azure Event Hubs en stel de juiste connector in voor uw SIEM. Hier volgen enkele opties voor Microsoft Sentinel, waaronder hulpprogramma's van derden:

  • Microsoft Sentinel - De systeemeigen gegevensconnector voor Waarschuwingen van Microsoft Defender voor Cloud gebruiken
  • Splunk: de Azure Monitor-invoegtoepassing voor Splunk gebruiken
  • IBM QRadar - Een handmatig geconfigureerde logboekbron gebruiken
  • ArcSight : SmartConnector gebruiken

Raadpleeg de documentatie van Microsoft Sentinel voor meer informatie over beschikbare connectors met Microsoft Sentinel.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Configureer Visual Studio voor het instellen van Azure Diagnostics voor het oplossen van problemen met Azure Cloud Services waarmee systeem- en logboekregistratiegegevens op virtuele machines worden vastgelegd, inclusief instanties van virtuele machines waarop uw Azure-Cloud Services wordt uitgevoerd. De diagnostische gegevens worden naar keuze overgebracht naar een opslagaccount. Schakel diagnostische gegevens in in Azure Cloud Services projecten vóór de implementatie.

Bekijk de wijzigingsgeschiedenis voor sommige gebeurtenissen in het activiteitenlogboek in Azure Monitor. Controleer welke wijzigingen zijn aangebracht tijdens een periode van een gebeurtenis. Kies een gebeurtenis in het activiteitenlogboek voor diepere inspectie met het tabblad Wijzigingsgeschiedenis (preview). Verzend de diagnostische gegevens naar Application Insights wanneer u een Azure-Cloud Services publiceert vanuit Visual Studio. Maak op dat moment de Azure-resource van Application Insights of verzend de gegevens naar een bestaande Azure-resource.

Azure Cloud Services kan worden bewaakt door Application Insights voor beschikbaarheid, prestaties, fouten en gebruik. Aangepaste grafieken kunnen worden toegevoegd aan Application Insights, zodat u de gegevens kunt zien die het belangrijkst zijn. Gegevens van rolinstanties kunnen worden verzameld met behulp van de Application Insights SDK in uw Azure Cloud Services-project.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: U kunt geavanceerde bewaking gebruiken met Azure Cloud Services waarmee extra metrische gegevens worden verzameld en verzameld met intervallen van 5 minuten, 1 uur en 12 uur. De geaggregeerde gegevens worden opgeslagen in het opslagaccount, in tabellen en worden na 10 dagen verwijderd. Het gebruikte opslagaccount wordt echter geconfigureerd op rol en u kunt verschillende opslagaccounts voor verschillende rollen gebruiken. Dit is geconfigureerd met een connection string in de .csdef- en .cscfg-bestanden.

Houd er rekening mee dat geavanceerde bewaking betrekking heeft op het gebruik van de Azure Diagnostics-extensie (Application Insights SDK is optioneel) voor de rol die u wilt bewaken. De diagnostische extensie maakt gebruik van een configuratiebestand (per rol) met de naam diagnostics.wadcfgx om de metrische diagnostische gegevens te configureren die worden bewaakt. Met de diagnostische Azure-extensie worden gegevens verzameld en opgeslagen in een Azure Storage-account. Deze instellingen worden geconfigureerd in de .wadcfgx-, .csdef- en .cscfg-bestanden.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Basis- of geavanceerde bewakingsmodi zijn beschikbaar voor Azure Cloud Services. Azure Cloud Services verzamelt automatisch basisbewakingsgegevens (CPU-percentage, netwerk in/uit en lezen/schrijven van schijven) van een virtuele hostmachine. Bekijk de verzamelde bewakingsgegevens op de overzichts- en metrische pagina's van een cloudservice in de Azure Portal.

Schakel diagnostische gegevens in Azure Cloud Services in om diagnostische gegevens te verzamelen, zoals toepassingslogboeken, prestatiemeteritems en meer, terwijl u de Azure Diagnostics-extensie gebruikt. Schakel de configuratie van diagnostische gegevens in of werk deze bij op een cloudservice die al wordt uitgevoerd met Set-AzureServiceDiagnosticsExtension cmdlet of implementeer automatisch een cloudservice met diagnostische extensie. Installeer eventueel de Application Insights SDK. Prestatiemeteritems verzenden naar Azure Monitor.

Met de diagnostische Azure-extensie worden gegevens verzameld en opgeslagen in een Azure Storage-account. Breng diagnostische gegevens over naar de Microsoft Azure Storage Emulator of naar Azure Storage, omdat deze niet permanent worden opgeslagen. Eenmaal in de opslag kan deze worden weergegeven met een van de verschillende beschikbare hulpprogramma's, zoals Server Explorer in Visual Studio, Microsoft Azure Storage Explorer, Azure Management Studio. Configureer de metrische diagnostische gegevens die moeten worden bewaakt met een configuratiebestand (per rol) met de naam diagnostics.wadcfgx in de diagnostische extensie.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: U kunt Azure Cloud Services logboekgegevens bewaken door integratie met Microsoft Sentinel of met een SIEM van derden, door waarschuwingen in te schakelen voor afwijkende activiteiten.

Verantwoordelijkheid: Klant

2.8: Antimalwarelogboekregistratie centraliseren

Richtlijnen: Microsoft Antimalware voor Azure beveiligt Azure Cloud Services en virtuele machines. U kunt bovendien beveiligingsoplossingen van derden implementeren, zoals brandmuren van webtoepassingen, netwerkfirewalls, antimalware, inbraakdetectie- en preventiesystemen (IDS of IPS) en meer.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Microsoft raadt u aan om de toegang tot Azure-resources te beheren met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Cloud Services biedt echter geen ondersteuning voor het Azure RBAC-model, omdat het geen op Azure Resource Manager gebaseerde service is en u een klassiek abonnement moet gebruiken

Accountbeheerder, servicebeheerder en Co-Administrator zijn standaard de drie klassieke abonnementsbeheerdersrollen in Azure.

Klassieke abonnementsbeheerders hebben volledige toegang tot het Azure-abonnement. Ze kunnen resources beheren met behulp van Azure Portal, API's van Azure Resource Manager en API's van het klassieke implementatiemodel. Het account dat wordt gebruikt voor registratie bij Azure wordt automatisch ingesteld als de accountbeheerder en de servicebeheerder. Er kunnen later extra Co-Administrators worden toegevoegd.

De servicebeheerder en de co-beheerders hebben dezelfde toegang als gebruikers met de rol Eigenaar (een Azure-rol) op abonnementsniveau. Beheer Co-Administrators of bekijk de servicebeheerder met behulp van het tabblad Klassieke beheerders op het Azure Portal.

Geef roltoewijzingen weer voor de klassieke servicebeheerder en coadministrators met PowerShell met de opdracht:

Get-AzRoleAssignment -IncludeClassicAdministrators

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Het wordt aanbevolen om standaardbesturingssystemen te maken rond het gebruik van toegewezen beheerdersaccounts, op basis van beschikbare rollen en de machtigingen die nodig zijn om de Azure Cloud Services-resources te gebruiken en te beheren.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding (SSO) gebruiken met Azure Active Directory

Richtlijnen: Vermijd het beheren van afzonderlijke identiteiten voor toepassingen die worden uitgevoerd in Azure Cloud Services. Implementeer eenmalige aanmelding om te voorkomen dat gebruikers meerdere identiteiten en referenties moeten beheren.

Verantwoordelijkheid: Klant

3.6: Toegewezen machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Het wordt aanbevolen om een beveiligd, door Azure beheerd werkstation (ook wel een Privileged Access Workstation genoemd) te gebruiken voor beheertaken, waarvoor verhoogde bevoegdheden zijn vereist.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventaris van gevoelige informatie onderhouden

Richtlijnen: Gebruik de REST API's van Azure Cloud Service om uw Azure Cloud Service-resources te inventariseren voor gevoelige informatie. Controleer de geïmplementeerde cloudserviceresources om de configuratie en PKG-resources op te halen.

Hieronder ziet u een aantal API's:

  • Implementatie ophalen: de get-implementatiebewerking retourneert configuratie-informatie, status en systeemeigenschappen voor een implementatie.
  • Pakket ophalen - Met de bewerking Pakket ophalen wordt een cloudservicepakket opgehaald voor een implementatie en worden de pakketbestanden opgeslagen in Microsoft Azure Blob Storage
  • Eigenschappen van cloudservice ophalen: de bewerking Cloudservice-eigenschappen ophalen haalt eigenschappen op voor de opgegeven cloudservice

Raadpleeg de documentatie over REST API's van Azure Cloud Service en maak een proces voor gegevensbescherming van gevoelige informatie op basis van de vereisten van uw organisatie.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Isolatie implementeren met behulp van afzonderlijke abonnementen en beheergroepen voor afzonderlijke beveiligingsdomeinen, zoals het omgevingstype en het vertrouwelijkheidsniveau voor gegevens voor Azure Cloud Services.

U kunt ook het 'permissionLevel' bewerken in het certificaatelement van Azure Cloud Service om de toegangsmachtigingen op te geven die aan de rolprocessen zijn verleend. Als u wilt dat alleen verhoogde processen toegang hebben tot de persoonlijke sleutel, geeft u verhoogde machtigingen op. met beperkte MachtigingOrElevated kunnen alle rolprocessen toegang krijgen tot de persoonlijke sleutel. Mogelijke waarden zijn beperktOrElevated of verhoogde waarden. De standaardwaarde is limitedOrElevated.

Verantwoordelijkheid: Klant

4.3: Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Het wordt aanbevolen om een oplossing van derden te gebruiken van Azure Marketplace in netwerkperimeters om te controleren op onbevoegde overdracht van gevoelige informatie en dergelijke overdrachten te blokkeren tijdens het waarschuwen van beveiligingsprofessionals voor informatie.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: TLS v2 configureren voor Azure Cloud Services. Gebruik de Azure Portal om het certificaat toe te voegen aan de gefaseerde Implementatie van Azure Cloud Services en de certificaatgegevens toe te voegen aan de CSDEF- en CSCFG-bestanden van de services. Verpakt uw toepassing opnieuw en werk de gefaseerde implementatie bij om het nieuwe pakket te gebruiken.

Gebruik servicecertificaten in Azure die zijn gekoppeld aan Azure Cloud Services om beveiligde communicatie van en naar de service mogelijk te maken. Geef een certificaat op waarmee een beschikbaar HTTPS-eindpunt kan worden geverifieerd. Definieer servicecertificaten in de servicedefinitie van de cloudservice en implementeer deze automatisch op de virtuele machine, waarbij een exemplaar van uw rol wordt uitgevoerd.

Met verificatie met de beheer-API met beheercertificaten) Met beheercertificaten kunt u zich verifiëren met het klassieke implementatiemodel. Voor veel programma's en hulpprogramma's (zoals Visual Studio of de Azure SDK) worden deze certificaten gebruikt om de configuratie en implementatie van verschillende Azure-services te automatiseren.

Ter aanvullende referentie biedt de API van het klassieke implementatiemodel programmatische toegang tot de functionaliteit van het klassieke implementatiemodel die beschikbaar is via de Azure Portal. Azure SDK voor Python kan worden gebruikt voor het beheren van Azure Cloud Services- en Azure Storage-accounts. De Azure SDK voor Python verpakt de API van het klassieke implementatiemodel, een REST API. Alle API-bewerkingen worden uitgevoerd via TLS en worden wederzijds geverifieerd met behulp van X.509 v3-certificaten. De beheerservice kan worden geopend vanuit een service die wordt uitgevoerd in Azure. Het kan ook rechtstreeks via internet worden geopend vanuit elke toepassing die een HTTPS-aanvraag kan verzenden en een HTTPS-antwoord kan ontvangen.

Verantwoordelijkheid: Gedeeld

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: Het wordt aanbevolen om een actief detectieprogramma van derden te gebruiken om alle gevoelige informatie te identificeren die is opgeslagen, verwerkt of verzonden door de technologiesystemen van de organisatie, met inbegrip van die op locatie of bij een externe serviceprovider, en vervolgens de inventaris van gevoelige informatie van de organisatie bij te werken.

Verantwoordelijkheid: Gedeeld

4.7: Preventie van gegevensverlies op basis van host gebruiken om toegangsbeheer af te dwingen

Richtlijnen: Niet van toepassing op cloudservice (klassiek). Er wordt geen preventie van gegevensverlies afgedwongen.

Het wordt aanbevolen om een hulpprogramma van derden te implementeren, zoals een geautomatiseerde oplossing voor preventie van gegevensverlies op basis van een host, om toegangsbeheer voor gegevens af te dwingen, zelfs wanneer gegevens uit een systeem worden gekopieerd.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat ze tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: Azure Cloud Services biedt geen ondersteuning voor versleuteling-at-rest. Dit komt doordat Azure Cloud Services is ontworpen om staatloos te zijn. Azure Cloud Services externe opslag ondersteunen, bijvoorbeeld Azure Storage, dat standaard is versleuteld at rest.

De toepassingsgegevens die zijn opgeslagen in tijdelijke schijven, worden niet versleuteld. De klant is verantwoordelijk voor het beheren en versleutelen van deze gegevens, indien nodig.

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing bij wijzigingen in kritieke Azure-resources

Richtlijnen: U kunt klassieke metrische waarschuwingen in Azure Monitor gebruiken om een melding te ontvangen wanneer een van uw metrische gegevens wordt toegepast op kritieke resources een drempelwaarde overschrijden. Klassieke waarschuwingen voor metrische gegevens zijn een oudere functionaliteit waarmee alleen waarschuwingen kunnen worden verzonden voor niet-dimensionale metrische gegevens. Er is een bestaande nieuwere functionaliteit met de naam Metrische waarschuwingen die verbeterde functionaliteit hebben ten opzichte van klassieke metrische waarschuwingen.

Daarnaast kan Application Insights Azure Cloud Services-apps controleren op beschikbaarheid, prestaties, fouten en gebruik. Hiervoor worden gecombineerde gegevens uit Application Insights SDK's gebruikt met Azure Diagnostics gegevens uit uw Azure-Cloud Services.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.2: Geautomatiseerde oplossing voor patchbeheer van besturingssystemen implementeren

Richtlijnen: houd er rekening mee dat deze informatie betrekking heeft op het Azure-gastbesturingssysteem voor Azure Cloud Services werkrol en webrollen met PaaS (Platform as a Service). Het is echter niet van toepassing op Virtual Machines met IaaS (Infrastructure as a Service).

Standaard werkt Azure het gastbesturingssysteem van de klant regelmatig bij naar de meest recente ondersteunde installatiekopieën binnen de besturingssysteemfamilie die ze hebben opgegeven in hun serviceconfiguratie (.cscfg), zoals Windows Server 2016.

Wanneer een klant een specifieke versie van het besturingssysteem kiest voor de Implementatie van Azure Cloud Services, worden automatische updates van het besturingssysteem uitgeschakeld en wordt de verantwoordelijkheid van een patch uitgevoerd. De klant moet ervoor zorgen dat hun rolinstanties updates ontvangen of dat ze hun toepassing kunnen blootstellen aan beveiligingsproblemen.

Verantwoordelijkheid: Gedeeld

5.3: Een geautomatiseerde oplossing voor patchbeheer implementeren voor softwaretitels van derden

Richtlijnen: Een oplossing voor patchbeheer van derden gebruiken. Klanten die al Configuration Manager in hun omgeving gebruiken, kunnen ook System Center Updates Publisher gebruiken, zodat ze aangepaste updates kunnen publiceren in Windows Server Update Service.

Hierdoor kan Updatebeheer computers patchen die Configuration Manager gebruiken als hun updateopslagplaats met software van derden.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: Het wordt aanbevolen voor een klant om het bereik van hun risico van een DDoS-aanval continu te begrijpen.

We raden u aan deze scenario's te doorlopen:

  • Welke nieuwe openbaar beschikbare Azure-resources hebben beveiliging nodig?
  • Is er één storingspunt in de service?
  • Hoe kunnen services worden geïsoleerd om de impact van een aanval te beperken terwijl er nog steeds services beschikbaar worden gemaakt voor geldige klanten?
  • Zijn er virtuele netwerken waar DDoS Protection Standard moet worden ingeschakeld, maar niet?
  • Zijn mijn services actief/actief met failover in meerdere regio's?

Ondersteunende documentatie:

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventory and Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Niet van toepassing op Azure Cloud Services. Deze aanbeveling is van toepassing op IaaS-rekenresources.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Het wordt aanbevolen om inventaris regelmatig af te stemmen en ervoor te zorgen dat onbevoegde resources tijdig uit het abonnement worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Een inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: De klant moet goedgekeurde Azure-resources en goedgekeurde software voor rekenresources definiëren.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik de functie Adaptief toepassingsbeheer, beschikbaar in Microsoft Defender voor Cloud. Het is een intelligente, geautomatiseerde, end-to-end oplossing van Microsoft Defender voor Cloud waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Windows- en Linux-, Azure- en niet-Azure-machines. Het helpt ook uw machines te beveiligen tegen malware.

Deze functie is beschikbaar voor zowel Azure als niet-Azure Windows (alle versies, klassiek of Azure Resource Manager) en Linux-machines.

Microsoft Defender for Cloud maakt gebruik van machine learning om de toepassingen die worden uitgevoerd op uw machines te analyseren en een acceptatielijst te maken op basis van deze intelligentie. Deze mogelijkheid vereenvoudigt het configureren en onderhouden van beleid voor acceptatielijsten voor toepassingen aanzienlijk, zodat u het volgende kunt doen:

  • Blokkeren of waarschuwen bij pogingen om schadelijke toepassingen uit te voeren, met inbegrip van toepassingen die anders kunnen worden gemist door antimalwareoplossingen.

  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.

  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.

  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.

  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.

  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources

Richtlijnen: Gebruik de functie Adaptief toepassingsbeheer, beschikbaar in Microsoft Defender voor Cloud. Het is een intelligente, geautomatiseerde, end-to-end oplossing van Microsoft Defender voor Cloud waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Windows- en Linux-, Azure- en niet-Azure-machines. Het helpt ook uw machines te beveiligen tegen malware.

Deze functie is beschikbaar voor zowel Azure als niet-Azure Windows (alle versies, klassiek of Azure Resource Manager) en Linux-machines.

Microsoft Defender for Cloud maakt gebruik van machine learning om de toepassingen die worden uitgevoerd op uw machines te analyseren en een acceptatielijst te maken op basis van deze intelligentie. Deze mogelijkheid vereenvoudigt het configureren en onderhouden van beleid voor acceptatielijsten voor toepassingen aanzienlijk, zodat u het volgende kunt doen:

  • Blokkeren of waarschuwen bij pogingen om schadelijke toepassingen uit te voeren, met inbegrip van toepassingen die anders kunnen worden gemist door antimalwareoplossingen.

  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.

  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.

  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.

  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.

  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: Gebruik de functie Adaptief toepassingsbeheer, beschikbaar in Microsoft Defender voor Cloud. Het is een intelligente, geautomatiseerde, end-to-end oplossing van Microsoft Defender voor Cloud waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Windows- en Linux-, Azure- en niet-Azure-machines. Het helpt ook uw machines te beveiligen tegen malware.

Deze functie is beschikbaar voor zowel Azure als niet-Azure Windows (alle versies, klassiek of Azure Resource Manager) en Linux-machines.

Microsoft Defender for Cloud maakt gebruik van machine learning om de toepassingen die worden uitgevoerd op uw machines te analyseren en een acceptatielijst te maken op basis van deze intelligentie. Deze mogelijkheid vereenvoudigt het configureren en onderhouden van beleid voor acceptatielijsten voor toepassingen aanzienlijk, zodat u het volgende kunt doen:

  • Blokkeren of waarschuwen bij pogingen om schadelijke toepassingen uit te voeren, met inbegrip van toepassingen die anders kunnen worden gemist door antimalwareoplossingen.

  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.

  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.

  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.

  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.

  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.8: Alleen goedgekeurde toepassingen gebruiken

Richtlijnen: Gebruik de functie Adaptief toepassingsbeheer, beschikbaar in Microsoft Defender voor Cloud. Het is een intelligente, geautomatiseerde, end-to-end oplossing van Microsoft Defender voor Cloud waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Windows- en Linux-, Azure- en niet-Azure-machines. Het helpt ook uw machines te beveiligen tegen malware.

Deze functie is beschikbaar voor zowel Azure als niet-Azure Windows (alle versies, klassiek of Azure Resource Manager) en Linux-machines.

Microsoft Defender for Cloud maakt gebruik van machine learning om de toepassingen die worden uitgevoerd op uw machines te analyseren en een acceptatielijst te maken op basis van deze intelligentie. Deze mogelijkheid vereenvoudigt het configureren en onderhouden van beleid voor acceptatielijsten voor toepassingen aanzienlijk, zodat u het volgende kunt doen:

  • Blokkeren of waarschuwen bij pogingen om schadelijke toepassingen uit te voeren, met inbegrip van toepassingen die anders kunnen worden gemist door antimalwareoplossingen.

  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.

  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.

  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.

  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.

  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.10: Een inventaris van goedgekeurde softwaretitels onderhouden

Richtlijnen: Gebruik de functie Adaptief toepassingsbeheer, beschikbaar in Microsoft Defender for Cloud. Het is een intelligente, geautomatiseerde, end-to-end oplossing van Microsoft Defender voor Cloud waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Windows- en Linux-, Azure- en niet-Azure-machines. Het helpt ook uw machines te beveiligen tegen malware.

Deze functie is beschikbaar voor zowel Azure- als niet-Azure Windows-machines (alle versies, klassiek of Azure Resource Manager) en Linux-machines.

Microsoft Defender for Cloud maakt gebruik van machine learning om de toepassingen te analyseren die op uw computers worden uitgevoerd en maakt een acceptatielijst op basis van deze intelligentie. Deze mogelijkheid vereenvoudigt het proces van het configureren en onderhouden van beleid voor acceptatielijsten voor toepassingen aanzienlijk, zodat u het volgende kunt doen:

  • Blokkeren of waarschuwen bij pogingen om schadelijke toepassingen uit te voeren, inclusief toepassingen die anders kunnen worden gemist door antimalwareoplossingen.

  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.

  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.

  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.

  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.

  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.12: Beperk de mogelijkheid van gebruikers om scripts uit te voeren in rekenresources

Richtlijnen: Gebruik de functie Adaptief toepassingsbeheer, beschikbaar in Microsoft Defender for Cloud. Het is een intelligente, geautomatiseerde, end-to-end oplossing van Microsoft Defender voor Cloud waarmee u kunt bepalen welke toepassingen kunnen worden uitgevoerd op uw Windows- en Linux-, Azure- en niet-Azure-machines. Het helpt ook uw machines te beveiligen tegen malware.

Deze functie is beschikbaar voor zowel Azure- als niet-Azure Windows-machines (alle versies, klassiek of Azure Resource Manager) en Linux-machines.

Microsoft Defender for Cloud maakt gebruik van machine learning om de toepassingen te analyseren die op uw computers worden uitgevoerd en maakt een acceptatielijst op basis van deze intelligentie. Deze mogelijkheid vereenvoudigt het proces van het configureren en onderhouden van beleid voor acceptatielijsten voor toepassingen aanzienlijk, zodat u het volgende kunt doen:

  • Blokkeren of waarschuwen bij pogingen om schadelijke toepassingen uit te voeren, inclusief toepassingen die anders kunnen worden gemist door antimalwareoplossingen.

  • Voldoen aan het beveiligingsbeleid van uw organisatie waarin alleen het gebruik van gelicentieerde software is toegestaan.

  • Vermijden dat in uw omgeving ongewenste software wordt gebruikt.

  • Vermijden dat oude en niet-ondersteunde apps worden uitgevoerd.

  • Voorkomen dat bepaalde softwareprogramma's worden uitgevoerd die in uw organisatie niet zijn toegestaan.

  • De IT-afdeling in staat stellen de toegang tot gevoelige gegevens te beheren via het gebruik van apps.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: Voor gevoelige of risicovolle toepassingen met Azure Cloud Services implementeert u afzonderlijke abonnementen of beheergroepen om isolatie te bieden.

Gebruik een netwerkbeveiligingsgroep, maak een beveiligingsregel voor inkomend verkeer, kies een service zoals http, kies ook een aangepaste poort, geef deze een prioriteit en een naam. De prioriteit is van invloed op de volgorde waarin de regels worden toegepast, hoe lager de numerieke waarde, hoe eerder de regel wordt toegepast. U moet uw netwerkbeveiligingsgroep koppelen aan een subnet of een specifieke netwerkinterface om het netwerkverkeer te isoleren of segmenteren op basis van de behoeften van uw bedrijf.

Meer informatie vindt u op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: Gebruik de aanbevelingen van Microsoft Defender voor Cloud als een veilige configuratiebasislijn voor uw Azure Cloud Services-resources.

Kies in de Azure Portal Microsoft Defender voor Cloud, vervolgens Compute-apps & en Azure Cloud Services om de aanbevelingen te bekijken die van toepassing zijn op uw serviceresources.

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: niet van toepassing op Azure Cloud Services. Het is gebaseerd op het klassieke implementatiemodel. Het wordt aanbevolen om een oplossing van derden te gebruiken om beveiligde Azure-resourceconfiguraties te onderhouden

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: het configuratiebestand van Azure Cloud Service slaat de operationele kenmerken voor een resource op. U kunt een kopie van de configuratiebestanden opslaan in een beveiligd opslagaccount.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: niet van toepassing op Azure Cloud Services. Het is gebaseerd op het klassieke implementatiemodel en kan niet worden beheerd door azure Resource Manager op implementatie gebaseerde configuratiehulpprogramma's.

Verantwoordelijkheid: Klant

7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen

Richtlijnen: niet van toepassing op Azure Cloud Services. Deze aanbeveling is van toepassing op IaaS-rekenresources (Infrastructure as a Service).

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik Microsoft Defender voor Cloud om basislijnscans uit te voeren voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen

Richtlijnen: Kies in Microsoft Defender voor Cloud de functie Compute-apps & en volg de aanbevelingen voor virtuele machines, servers en containers.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Azure Cloud Services is gebaseerd op een klassiek implementatiemodel en kan niet worden geïntegreerd met Azure Key Vault.

U kunt geheimen beveiligen, zoals referenties die worden gebruikt in Azure Cloud Services zodat u niet telkens een wachtwoord hoeft in te voeren. Om te beginnen geeft u een wachtwoord voor tekst zonder opmaak op, converteert u het naar een beveiligde tekenreeks met behulp van de PowerShell-opdracht ConvertTo-SecureString. Converteer deze beveiligde tekenreeks vervolgens naar een versleutelde standaardtekenreeks met behulp van ConvertFrom-SecureString. U kunt deze versleutelde standaardtekenreeks nu opslaan in een bestand met set-inhoud.

Daarnaast wordt het aanbevolen om de persoonlijke sleutels op te slaan voor certificaten die in Azure Cloud Services worden gebruikt voor een beveiligde opslag.

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Beveilig geheimen, zoals referenties die in Azure Cloud Services worden gebruikt, zodat u niet telkens een wachtwoord hoeft in te voeren.

Als u wilt beginnen, geeft u een wachtwoord voor tekst zonder opmaak op, wijzigt u dit in een beveiligde tekenreeks met behulp van de PowerShell-opdracht ConvertTo-SecureString. Converteer deze beveiligde tekenreeks vervolgens naar een versleutelde standaardtekenreeks met behulp van ConvertFrom-SecureString. Sla deze versleutelde standaardtekenreeks nu op in een bestand met behulp van Set-Content opdracht.

Sla de persoonlijke sleutels op voor certificaten die worden gebruikt in Azure Cloud Services naar een beveiligde opslaglocatie.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.1: Centraal beheerde antimalwaresoftware gebruiken

Richtlijnen: Microsoft Antimalware voor Azure is beschikbaar voor Azure Cloud Services en Virtual Machines. Het is een gratis realtime-beveiliging waarmee virussen, spyware en andere schadelijke software kunnen worden geïdentificeerd en verwijderd. Er worden waarschuwingen gegenereerd wanneer bekende schadelijke of ongewenste software zichzelf probeert te installeren of uit te voeren op uw Azure-systemen.

Gebruik de PowerShell-cmdlet Antimalware om de antimalwareconfiguratie op te halen, met 'Get-AzureServiceAntimalwareConfig'.

Schakel de Antimalware-extensie in met een PowerShell-script in de opstarttaak in Azure Cloud Services.

Kies de functie Adaptief toepassingsbeheer in Microsoft Defender voor Cloud, een intelligente, geautomatiseerde, end-to-end oplossing. Het helpt uw machines te beveiligen tegen malware en stelt u in staat om pogingen om schadelijke toepassingen uit te voeren te blokkeren of te waarschuwen, inclusief pogingen die anders worden gemist door antimalwareoplossingen.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een procedure voor het scoren en prioritiseren van incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer duidelijk abonnementen (bijvoorbeeld productie, niet-productie) en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te leggen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of niet-geautoriseerde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Voer regelmatig penetratietests uit voor uw Azure-resources en zorg voor herstel van alle kritieke beveiligingsresultaten

Richtlijnen: Volg de Regels voor penetratietests van Microsoft Cloud om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen