Azure-beveiligingsbasislijn voor Container Instances

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Container Instances. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Container Instances.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Container Instances en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Container Instances volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Container Instances toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Integreer uw containergroepen in Azure Container Instances met een virtueel Azure-netwerk. Met virtuele Azure-netwerken kunt u veel van uw Azure-resources, zoals containergroepen, in een niet-internetrouteerbaar netwerk plaatsen.

Beheer de uitgaande netwerktoegang van een subnet dat is gedelegeerd aan Azure Container Instances met behulp van Azure Firewall.

Verantwoordelijkheid: Klant

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender for Cloud en volg aanbevelingen voor netwerkbeveiliging om uw netwerkresources in Azure te beveiligen. Schakel NSG-stroomlogboeken in en verzend logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Sommige voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: beveilig alle toepassingen die toegankelijk zijn voor internet in ACI door een Azure-Web Application Firewall (op Application Gateway) vóór uw app te implementeren. Stuur al het verkeer van toepassingen heen en weer via een Azure Firewall apparaat en bewaak de logboeken.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: DDoS Standard-beveiliging inschakelen voor uw virtuele netwerken voor beveiliging tegen DDoS-aanvallen. Gebruik Geïntegreerde bedreigingsinformatie van Microsoft Defender for Cloud om communicatie met bekende schadelijke of ongebruikte INTERNET-IP-adressen te weigeren. Implementeer Azure Firewall op elk van de netwerkgrenzen van de organisatie waarvoor Bedreigingsinformatie is ingeschakeld en geconfigureerd voor 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.

U kunt Microsoft Defender for Cloud Just-In-Time-netwerktoegang gebruiken om NSG's zo te configureren dat eindpunten gedurende een beperkte periode worden blootgesteld aan goedgekeurde IP-adressen. Gebruik bovendien Microsoft Defender voor Cloud Adaptive Network Hardening om NSG-configuraties aan te bevelen die poorten en bron-IP's beperken op basis van werkelijke verkeers- en bedreigingsinformatie.

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, kunt u stroomlogboeken voor netwerkbeveiligingsgroepen (NSG) inschakelen voor de NSG die is gekoppeld aan het subnet dat wordt gebruikt om uw Azure-containerregister te beveiligen. Vervolgens kunt u de NSG-stroomlogboeken vastleggen in een Azure Storage-account. Indien nodig voor het onderzoeken van afwijkende activiteiten, kunt u ook Azure Network Watcher pakketopname inschakelen.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Selecteer een aanbieding in de Azure Marketplace die ondersteuning biedt voor IDS-/IPS-functionaliteit met mogelijkheden voor nettoladinginspectie. Als inbraakdetectie en/of preventie op basis van nettoladingsinspectie geen vereiste is, kan Azure Firewall met Bedreigingsinformatie worden gebruikt. Azure Firewall filteren op basis van bedreigingsinformatie kan verkeer naar en van bekende schadelijke IP-adressen en domeinen waarschuwen en weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.

Implementeer de firewalloplossing van uw keuze op elk van de netwerkgrenzen van uw organisatie om schadelijk verkeer te detecteren en/of te weigeren.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: Als u Azure Container Instances gebruikt om webtoepassingen te hosten, kunt u Azure Application Gateway implementeren met HTTPS/SSL ingeschakeld voor vertrouwde certificaten. Vervolgens kunt u webverkeer van toepassingen doorsturen via de Application Gateway naar de containergroep.

Verantwoordelijkheid: Klant

1.8: De complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, gebruikt u voor resources die toegang nodig hebben tot uw containerregister, servicetags voor virtuele netwerken voor de Azure Container Registry-service om netwerktoegangsbeheer in netwerkbeveiligingsgroepen te definiëren of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag 'AzureContainerRegistry' op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Bij het gebruik van Azure Container Registry met Azure Container Instances raden we u aan om standaardbeveiligingsconfiguraties te definiëren en te implementeren voor netwerkbronnen die zijn gekoppeld aan uw Azure-containerregister.

Gebruik Azure Policy aliassen in de naamruimten Microsoft.ContainerRegistry en Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw containerregisters te controleren of af te dwingen.

U kunt Azure Blueprints gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en beleidsdefinities, in één blauwdrukdefinitie te verpakken. Pas de blauwdruk eenvoudig toe op nieuwe abonnementen en verfijn het beheer en beheer via versiebeheer.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: De klant kan Azure Blueprints gebruiken om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie te verpakken. Pas de blauwdruk eenvoudig toe op nieuwe abonnementen en verfijn het beheer en beheer via versiebeheer.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om netwerkresourceconfiguraties te bewaken en wijzigingen voor netwerkresources met betrekking tot uw containerregisters te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkresources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Microsoft onderhoudt tijdbronnen voor Azure-resources, maar u hebt de mogelijkheid om de instellingen voor tijdsynchronisatie voor uw rekenresources te beheren.

Verantwoordelijkheid: Microsoft

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die worden gegenereerd door een Azure-containerinstantie. Gebruik in Azure Monitor een Log Analytics-werkruimte om analyses op te vragen en uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure Monitor verzamelt resourcelogboeken (voorheen diagnostische logboeken genoemd) voor door gebruikers gestuurde gebeurtenissen. Verzamel en verbruik deze gegevens om containerverificatiegebeurtenissen te controleren en geef een volledige activiteitentrail op artefacten, zoals pull- en pushgebeurtenissen, zodat u beveiligingsproblemen met uw containergroep kunt vaststellen.

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Stel binnen Azure Monitor de bewaarperiode van uw Log Analytics-werkruimte in op basis van de nalevingsvoorschriften van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn-/archiveringsopslag.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: analyseer en bewaak Azure Container Instances logboeken voor afwijkend gedrag en controleer regelmatig de resultaten. Gebruik de Log Analytics-werkruimte van Azure Monitor om logboeken te controleren en query's uit te voeren op logboekgegevens.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Azure Log Analytics-werkruimte gebruiken voor het bewaken en waarschuwen van afwijkende activiteiten in beveiligingslogboeken en gebeurtenissen met betrekking tot uw Azure Container Instances of Azure Container-registers.

Verantwoordelijkheid: Klant

2.8: Logboekregistratie van antimalware centraliseren

Richtlijnen: Azure Container Instances is een volledig beheerde PaaS-aanbieding en Microsoft is verantwoordelijk voor het installeren en beheren van logboekregistratie van antimalwarebeveiliging&.

Verantwoordelijkheid: Microsoft

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Azure Container Instances de onderliggende DNS-configuraties niet beschikbaar maakt, worden deze instellingen onderhouden door Microsoft.

Verantwoordelijkheid: Microsoft

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheerdersaccounts onderhouden

Richtlijnen: Azure Active Directory (Azure AD) heeft ingebouwde rollen die expliciet moeten worden toegewezen en waarop query's kunnen worden uitgevoerd. Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, houdt u voor elk Azure-containerregister bij of het ingebouwde beheerdersaccount is ingeschakeld of uitgeschakeld. Schakel het account uit wanneer dit niet wordt gebruikt.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Azure Active Directory (Azure AD) beschikt niet over het concept van standaardwachtwoorden. Andere Azure-resources waarvoor een wachtwoord moet worden gemaakt, moeten worden gemaakt met complexiteitsvereisten en een minimale wachtwoordlengte, die afhankelijk van de service verschillen. U bent verantwoordelijk voor toepassingen van derden en Marketplace-services die standaardwachtwoorden kunnen gebruiken.

Als u een privéregister in de cloud gebruikt, zoals Azure-containerregister met Azure Container Instances, worden complexe wachtwoorden automatisch gemaakt en moeten deze worden geroteerd als het standaardbeheerdersaccount van een Azure-containerregister is ingeschakeld. Schakel het account uit wanneer dit niet wordt gebruikt.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts. Gebruik Microsoft Defender voor Cloud Identity and Access Management om het aantal beheerdersaccounts te controleren.

Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, maakt u procedures om het ingebouwde beheerdersaccount van een containerregister in te schakelen. Schakel het account uit wanneer dit niet wordt gebruikt.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: Gebruik waar mogelijk eenmalige aanmelding van Azure Active Directory (Azure AD) in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik aanbevelingen voor Microsoft Defender voor cloudidentiteit en toegangsbeheer.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle toegang op basis van Azure Active Directory

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen.

Verantwoordelijkheid: Klant

3.6: Toegewezen machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: PAW's (bevoegde toegangswerkstations) gebruiken met meervoudige verificatie die is geconfigureerd voor het aanmelden bij en configureren van Azure-resources.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Gebruik Beveiligingsrapporten van Azure Active Directory (Azure AD) voor het genereren van logboeken en waarschuwingen wanneer verdachte of onveilige activiteiten zich voordoen in de omgeving. Gebruik Microsoft Defender voor Cloud om identiteiten en toegangsactiviteiten te bewaken.

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Voorwaardelijke toegang benoemde locaties gebruiken om alleen toegang toe te staan vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en slaat gebruikersreferenties veilig op.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory (Azure AD) biedt logboeken om verouderde accounts te detecteren. Daarnaast gebruikt u Azure Identity Access Reviews om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: U hebt toegang tot azure Active Directory (Azure AD) aanmeldingsactiviteiten, audit- en risicogebeurtenislogboekbronnen, waarmee u kunt integreren met elk SIEM-hulpprogramma (Security Information and Event Management).

U kunt dit proces stroomlijnen door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en de auditlogboeken en aanmeldingslogboeken naar een Log Analytics-werkruimte te verzenden. U kunt de gewenste waarschuwingen configureren in de Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmeldingsgedrag voor accountwaarschuwingen

Richtlijnen: Gebruik functies van Azure Active Directory (Azure AD) Risk and Identity Protection om geautomatiseerde antwoorden te configureren voor gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten.

Verantwoordelijkheid: Klant

3.13: Microsoft toegang bieden tot relevante klantgegevens tijdens ondersteuningsscenario's

Richtlijnen: niet beschikbaar; Customer Lockbox wordt momenteel niet ondersteund voor Azure Container Instances.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventarisatie van gevoelige informatie onderhouden

Richtlijnen: Resourcetags gebruiken om te helpen bij het bijhouden van Azure-containerregisters die gevoelige informatie opslaan of verwerken.

Tag- en versiecontainerinstallatiekopieën of andere artefacten in een register en vergrendel installatiekopieën of opslagplaatsen om te helpen bij het bijhouden van installatiekopieën die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Implementeer afzonderlijke containerregisters, abonnementen en/of beheergroepen voor ontwikkeling, test en productie. Resources die gevoelige gegevens opslaan of verwerken, moeten voldoende geïsoleerd zijn.

Resources moeten worden gescheiden door een virtueel netwerk of subnet, op de juiste wijze worden gelabeld en beveiligd door een netwerkbeveiligingsgroep (NSG) of Azure Firewall.

Verantwoordelijkheid: Klant

4.3: Niet-geautoriseerde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Implementeer een geautomatiseerd hulpprogramma op netwerkperimeters die bewaakt op niet-geautoriseerde overdracht van gevoelige informatie en blokkeert dergelijke overdrachten tijdens het waarschuwen van informatiebeveiligingsprofessionals.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantgegevens als gevoelig en gaat het veel tijd om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Zorg ervoor dat clients die verbinding maken met uw Azure Container Registry TLS 1.2 of hoger kunnen onderhandelen. Microsoft Azure-resources onderhandelen standaard over TLS 1.2.

Volg de aanbevelingen van Microsoft Defender voor Cloud voor versleuteling in rust en versleuteling in transit, indien van toepassing.

Verantwoordelijkheid: Gedeeld

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, functies voor gegevensidentificatie, classificatie en verliespreventie nog niet beschikbaar zijn voor Azure Container Registry. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantgegevens als gevoelig en gaat het veel tijd om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.6: Op rollen gebaseerd toegangsbeheer gebruiken om de toegang tot resources te beheren

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, gebruikt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om de toegang tot gegevens en resources in een Azure-containerregister te beheren.

Verantwoordelijkheid: Klant

4.7: Preventie van gegevensverlies op basis van host gebruiken om toegangsbeheer af te dwingen

Richtlijnen: Implementeer, indien nodig voor naleving van rekenresources, een hulpprogramma van derden, zoals een geautomatiseerde oplossing voor preventie van gegevensverlies op basis van een host, om toegangsbeheer af te dwingen voor gegevens, zelfs wanneer gegevens uit een systeem worden gekopieerd.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantgegevens als gevoelig en gaat het veel tijd om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: Versleuteling at rest gebruiken voor alle Azure-resources. Als u een privéregister in de cloud gebruikt, zoals Azure-containerregister met Azure Container Instances, worden alle gegevens in een Azure-containerregister standaard versleuteld met behulp van door Microsoft beheerde sleutels.

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Log Analytics-werkruimten bieden een centrale locatie voor het opslaan en opvragen van logboekgegevens, niet alleen vanuit Azure-resources, maar ook on-premises resources en resources in andere clouds. Azure Container Instances bevat ingebouwde ondersteuning voor het verzenden van logboeken en gebeurtenisgegevens naar Azure Monitor-logboeken.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: Profiteer van oplossingen voor het scannen van containerinstallatiekopieën in een privéregister en identificeer potentiële beveiligingsproblemen. Het is belangrijk om inzicht te hebben in de diepte van bedreigingsdetectie die de verschillende oplossingen bieden. Volg de aanbevelingen van Microsoft Defender voor Cloud over het uitvoeren van evaluaties van beveiligingsproblemen in uw containerinstallatiekopieën. U kunt eventueel oplossingen van derden van Azure Marketplace implementeren om evaluaties van beveiligingsproblemen van installatiekopieën uit te voeren.

Verantwoordelijkheid: Klant

5.2: Geautomatiseerde oplossing voor patchbeheer van besturingssystemen implementeren

Richtlijnen: Automatiseer updates van containerinstallatiekopieën wanneer updates voor basisinstallatiekopieën van het besturingssysteem en andere patches worden gedetecteerd.

Microsoft voert patchbeheer uit voor de onderliggende systemen die ondersteuning bieden voor het uitvoeren van Azure Container Instances.

Verantwoordelijkheid: Gedeeld

5.3: Geautomatiseerde oplossing voor patchbeheer implementeren voor softwaretitels van derden

Richtlijnen: U kunt een oplossing van derden gebruiken om toepassingsinstallatiekopieën te patchen. Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, kunt u Azure Container Registry taken uitvoeren om updates van toepassingsinstallatiekopieën in een containerregister te automatiseren op basis van beveiligingspatches of andere updates in basisinstallatiekopieën.

Verantwoordelijkheid: Klant

5.4: Scans van beveiligingsproblemen met back-to-back vergelijken

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, integreert u Azure Container Registry (ACR) met Microsoft Defender for Cloud om periodiek containerinstallatiekopieën te scannen op beveiligingsproblemen. U kunt eventueel oplossingen van derden van Azure Marketplace implementeren om periodieke scans op beveiligingsproblemen van installatiekopieën uit te voeren.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry met Azure Container Instances, integreert u Azure Container Registry (ACR) met Microsoft Defender for Cloud om periodiek scannen van containerinstallatiekopieën op beveiligingsproblemen mogelijk te maken en risico's te classificeren. U kunt eventueel oplossingen van derden van Azure Marketplace implementeren om periodieke scans van beveiligingsproblemen met installatiekopieën en risicoclassificaties uit te voeren.

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnement(en). Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources binnen uw abonnementen.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt het ten zeerste aanbevolen om azure Resource Manager resources te maken en te gebruiken.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, onderhoudt ACR metagegevens, inclusief tags en manifesten voor installatiekopieën in een register. Volg de aanbevolen procedures voor het taggen van artefacten.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, onderhoudt ACR metagegevens, inclusief tags en manifesten voor installatiekopieën in een register. Volg de aanbevolen procedures voor het taggen van artefacten.

Verantwoordelijkheid: Klant

6.4: Inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: U moet een inventaris maken van goedgekeurde Azure-resources op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: gebruik Azure Policy om beperkingen in te stellen voor het type resources dat in uw abonnement(en) kan worden gemaakt.

Gebruik Azure Resource Graph om resources in hun abonnement(en) op te vragen/te detecteren. Zorg ervoor dat alle Azure-resources in de omgeving zijn goedgekeurd.

Verantwoordelijkheid: Klant

6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, analyseert en bewaakt u Azure Container Registry logboeken op afwijkend gedrag en controleert u regelmatig de resultaten. Gebruik de Log Analytics-werkruimte van Azure Monitor om logboeken te bekijken en query's uit te voeren op logboekgegevens.

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: Azure Automation biedt volledige controle tijdens de implementatie, bewerkingen en buiten gebruik stellen van workloads en resources. U kunt uw eigen oplossing implementeren voor het verwijderen van niet-geautoriseerde Azure-resources.

Verantwoordelijkheid: Klant

6.8: Alleen goedgekeurde toepassingen gebruiken

Richtlijnen: Ontwikkel en beheer een acceptatielijst met bestanden en uitvoerbare bestanden die nodig zijn om de toepassing correct te laten functioneren en containerscans in te stellen om niet-goedgekeurde toepassingen te detecteren. U kunt ook containerinstallatiekopieën scannen die zijn opgeslagen in Azure Container Registry met Microsoft Defender for Containers om beveiligingsproblemen in die installatiekopieën te vinden.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: maak gebruik van Azure Policy om te beperken welke services u in uw omgeving kunt inrichten.

Verantwoordelijkheid: Klant

6.10: Een inventaris van goedgekeurde softwaretitels onderhouden

Richtlijnen: Ontwikkel en beheer een acceptatielijst met de bestanden en uitvoerbare bestanden die nodig zijn om uw toepassing op Azure Container Instances correct te laten functioneren. Voer regelmatig beveiligingsbeoordelingen uit voor wijzigingen in deze lijst en stel een centraal proces in voor het beheren en bijwerken van goedgekeurde softwaretitels voor uw organisatie.

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Besturingssysteemspecifieke configuraties of resources van derden gebruiken om de mogelijkheid van gebruikers om scripts uit te voeren binnen Azure-rekenresources te beperken.

Verantwoordelijkheid: Klant

6.12: Beperk de mogelijkheid van gebruikers om scripts uit te voeren binnen rekenresources

Richtlijnen: Gebruik specifieke configuraties van het besturingssysteem of resources van derden om de mogelijkheid van gebruikers om scripts uit te voeren binnen Azure-rekenresources te beperken.

Verantwoordelijkheid: Klant

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: Software die vereist is voor bedrijfsactiviteiten, maar die een hoger risico voor de organisatie kan opleveren, moet worden geïsoleerd binnen een eigen virtuele machine en/of virtueel netwerk en voldoende beveiligd met een Azure Firewall of netwerkbeveiligingsgroep.

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy of Microsoft Defender for Cloud om beveiligingsconfiguraties voor alle Azure-resources te onderhouden.

Verantwoordelijkheid: Klant

7.2: Veilige besturingssysteemconfiguraties instellen

Richtlijnen: Niet van toepassing op Azure Container Instances (ACI). ACI biedt standaard een voor beveiliging geoptimaliseerd hostbesturingssysteem (OS) voor de onderliggende infrastructuur. Er is geen huidige optie om een alternatief of aangepast besturingssysteem te selecteren.

Verantwoordelijkheid: niet van toepassing

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: Gebruik Azure Policy [deny] en [deploy if not exist] effecten om veilige instellingen af te dwingen voor uw Azure-resources.

Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, controleert u de naleving van Azure-containerregisters met behulp van Azure Policy.

Verantwoordelijkheid: Klant

7.4: Beveiligde besturingssysteemconfiguraties onderhouden

Richtlijnen: Niet van toepassing op Azure Container Instances (ACI). ACI biedt standaard een voor beveiliging geoptimaliseerd hostbesturingssysteem (OS) voor de onderliggende infrastructuur. Er is geen huidige optie om een alternatief of aangepast besturingssysteem te selecteren.

Verantwoordelijkheid: niet van toepassing

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Als u aangepaste Azure-beleidsdefinities gebruikt, gebruikt u Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Verantwoordelijkheid: Klant

7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan

Richtlijnen: Niet van toepassing op Azure Container Instances (ACI). ACI biedt standaard een besturingssysteem (besturingssysteem) dat is geoptimaliseerd voor beveiliging. Er is geen huidige optie om een alternatief of aangepast besturingssysteem te selecteren.

Verantwoordelijkheid: niet van toepassing

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Daarnaast ontwikkelt u een proces en pijplijn voor het beheren van beleidsonderzondering.

Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, controleert u de naleving van Azure-containerregisters met behulp van Azure Policy.

Verantwoordelijkheid: Klant

7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen

Richtlijnen: Niet van toepassing, Azure Container Instances onderliggende host besturingssysteem is beveiligd en geconfigureerd door Microsoft. Voor installatiekopieën van containers die worden uitgevoerd boven op de service, wordt het beheer van deze installatiekopieën aanbevolen om te worden bereikt via een beveiligd proces voor het bouwen van installatiekopieën met behulp van een CI/CD-pijplijn of hulpprogramma voor het bouwen van installatiekopieën.

Verantwoordelijkheid: niet van toepassing

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Microsoft Defender voor Cloud gebruiken om basislijnscans uit te voeren voor uw Azure-resources.

Pas Azure Policy toe om beperkingen in te stellen voor het type resources dat in uw abonnementen kan worden gemaakt.

Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, controleert u de naleving van Azure-containerregisters met behulp van Azure Policy.

Verantwoordelijkheid: Klant

7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen

Richtlijnen: Gebruik Microsoft Defender voor Cloud om basislijnscans uit te voeren voor os- en Docker-instellingen voor containers.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Managed Service Identity gebruiken in combinatie met Azure Key Vault om geheimbeheer voor uw cloudtoepassingen te vereenvoudigen en te beveiligen.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Beheerde identiteiten gebruiken om Azure-services een automatisch beheerde identiteit te bieden in Azure Active Directory (Azure AD). Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Azure Key Vault, zonder referenties in uw code.

Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, controleert u de naleving van Azure-containerregisters met behulp van Azure Policy.

Verantwoordelijkheid: Klant

7.13: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.1: Centraal beheerde antimalwaresoftware gebruiken

Richtlijnen: Microsoft-antimalware gebruiken voor Azure Cloud Services en Virtual Machines om uw resources continu te bewaken en te verdedigen. Gebruik voor Linux antimalwareoplossing van derden.

Verantwoordelijkheid: Klant

8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources in Azure

Richtlijnen: scan alle bestanden die worden geüpload naar uw ACI-resources vooraf. Gebruik de detectie van bedreigingen van Security Center voor gegevensservices om malware te detecteren die is geüpload naar opslagaccounts als u een Azure Storage-account als gegevensarchief gebruikt.

Voor de onderliggende service-infrastructuur verwerkt Microsoft het scannen van bestanden.

Verantwoordelijkheid: Gedeeld

8.3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Microsoft verwerkt antimalware voor de onderliggende Container Instance-service en het Azure-platform.

Verantwoordelijkheid: Microsoft

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Als u een privéregister in de cloud gebruikt, zoals Azure Container Registry (ACR) met Azure Container Instances, worden de gegevens in uw Microsoft Azure-containerregister altijd automatisch gerepliceerd om duurzaamheid en hoge beschikbaarheid te garanderen. Azure Container Registry uw gegevens kopieert zodat deze worden beveiligd tegen geplande en ongeplande gebeurtenissen.

U kunt desgewenst een containerregister repliceren om registerreplica's in meerdere Azure-regio's te onderhouden.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: U kunt eventueel een back-up maken van containerinstallatiekopieën door van het ene register naar het andere te importeren.

Maak een back-up van door de klant beheerde sleutels in Azure Key Vault met behulp van azure-opdrachtregelprogramma's of SDK's.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Test het herstel van door de klant beheerde sleutels in Azure Key Vault met behulp van Azure-opdrachtregelprogramma's of SDK's.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: voorlopig verwijderen inSchakelen in Azure Key Vault om sleutels te beveiligen tegen onbedoelde of schadelijke verwijdering.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden, of de analyse die wordt gebruikt om de waarschuwing uit te geven. De ernst is ook gekoppeld aan het betrouwbaarheidsniveau dat er schadelijke bedoelingen waren achter de activiteit die tot de waarschuwing heeft geleid.

Daarnaast markeert u abonnementen met behulp van tags en maakt u een naamgevingssysteem om Azure-resources te identificeren en categoriseren, met name die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het herstel van waarschuwingen op basis van de kritiek van de Azure-resources en -omgeving waar het incident is opgetreden.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en -aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen