Azure-beveiligingsbasislijn voor Azure Cosmos DB

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Cosmos DB. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Cosmos DB.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Cosmos DB en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Cosmos DB volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor beveiligingsbasislijnen van Azure Cosmos DB.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Wanneer u Cosmos DB-resources implementeert, maakt of gebruikt u een bestaand virtueel netwerk. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Elk systeem dat een hoger risico voor de organisatie kan lopen, moet worden geïsoleerd binnen een eigen virtueel netwerk en voldoende worden beveiligd met een netwerkbeveiligingsgroep (NSG) en/of Azure Firewall.

Gebruik Microsoft Defender for Cloud Adaptive Network Hardening om configuraties van netwerkbeveiligingsgroepen aan te bevelen die poorten en bron-IP-adressen beperken op basis van de verwijzing naar regels voor extern netwerkverkeer.

Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van de regels van uw netwerkbeveiligingsgroep. Voor specifieke, goed gedefinieerde toepassingen (zoals een app met drie lagen) kan dit standaard een zeer veilige weigering zijn.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DocumentDB:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.0.0

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Azure ExpressRoute of vpn (Virtual Private Network) van Azure gebruiken om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en zijn daardoor betrouwbaarder en sneller, en bieden een lagere latentie dan gewone internetverbindingen. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering van virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: gebruik Azure Private Link om privétoegang tot Cosmos DB vanuit uw virtuele netwerken mogelijk te maken zonder internet te overschrijden.

Privétoegang is een aanvullende verdedigingsmaatregel voor de verificatie en verkeersbeveiliging die wordt aangeboden door Azure-services.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Bescherm uw Cosmos DB-resources tegen aanvallen van externe netwerken, waaronder DDoS-aanvallen (Distributed Denial of Service), toepassingsspecifieke aanvallen en ongevraagd en mogelijk schadelijk internetverkeer. Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Bescherm uw assets tegen DDoS-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw virtuele Azure-netwerken. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's voor uw netwerkgerelateerde resources te detecteren.

Cosmos DB is niet bedoeld voor het uitvoeren van webtoepassingen en vereist niet dat u aanvullende instellingen configureert of extra netwerkservices implementeert om deze te beschermen tegen externe netwerkaanvallen die zijn gericht op webtoepassingen.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DocumentDB:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.0.0

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network-servicetags om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of Azure Firewall geconfigureerd voor uw Cosmos DB-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

De AzureCosmosDB-servicetag wordt ondersteund voor uitgaand gebruik en kan regionaal zijn en kan worden gebruikt met Azure Firewall.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals dangling DNS, DNS-amplifications-aanvallen, DNS-vergiftiging en adresvervalsing, enzovoort.

Wanneer Azure DNS wordt gebruikt als uw gezaghebbende DNS-service, moet u ervoor zorgen dat DNS-zones en -records worden beveiligd tegen onbedoelde of schadelijke wijzigingen met behulp van Azure RBAC en resourcevergrendelingen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Cosmos DB maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen bij het beoordelen van de identiteitsbeveiligingspostuur ten opzichte van de aanbevelingen voor aanbevolen procedures van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Azure Cosmos DB biedt ingebouwde Azure RBAC (op rollen gebaseerd toegangsbeheer) voor algemene beheerscenario's in Azure Cosmos DB. Een persoon met een profiel in Azure Active Directory kan deze Azure-rollen toewijzen aan gebruikers, groepen, service-principals of beheerde identiteiten om toegang te verlenen tot resources en bewerkingen in Azure Cosmos DB-resources. Roltoewijzingen zijn alleen bedoeld voor toegang tot besturingsvlak, waaronder toegang tot Azure Cosmos-accounts, databases, containers en aanbiedingen (doorvoer).

Azure Cosmos DB biedt drie manieren om de toegang tot uw gegevens te beheren. Primaire sleutels zijn gedeelde geheimen waarmee beheer- of gegevensbewerkingen kunnen worden uitgevoerd. Ze zijn beschikbaar in zowel alleen-lezen- als alleen-lezenvarianten. Op rollen gebaseerd toegangsbeheer biedt fijnmazige, op rollen gebaseerd machtigingsmodel met behulp van AAD-identiteiten (Azure Active Directory) voor verificatie. Resourcetokens bieden een gedetailleerd machtigingsmodel op basis van systeemeigen Azure Cosmos DB-gebruikers en -machtigingen.

Verantwoordelijkheid: Gedeeld

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Cosmos DB ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Cosmos DB in plaats van service-principals te maken voor toegang tot andere resources. Cosmos DB kan systeemeigen worden geverifieerd bij de Azure-services/-resources die ondersteuning bieden voor Azure AD verificatie via een vooraf gedefinieerde toegangstoekenningsregel zonder referenties te gebruiken die zijn vastgelegd in broncode of configuratiebestanden.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Cosmos DB kan worden geïntegreerd met Azure Active Directory (Azure AD) om identiteits- en toegangsbeheer te bieden voor de Azure-resources. Azure Cosmos DB maakt gebruik van twee typen sleutels om gebruikers te autoriseren en biedt geen ondersteuning voor Eenmalige Sign-On (SSO) op gegevensvlakniveau. Toegang tot het besturingsvlak voor Cosmos DB is echter beschikbaar via REST API en biedt ondersteuning voor eenmalige aanmelding. Als u wilt verifiëren, stelt u de autorisatieheader voor uw aanvragen in op een JSON-webtoken dat u ophaalt bij Azure AD.

Verantwoordelijkheid: Gedeeld

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Cosmos DB is niet bedoeld om code op te slaan, maar voor ARM-sjablonen met betrekking tot uw Cosmos DB-implementaties is het raadzaam referentiescanner te implementeren in de opslagplaatsen die deze sjablonen opslaan om referenties in configuraties te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol, omdat gebruikers die zijn toegewezen aan deze twee rollen beheerdersrollen kunnen delegeren:

  • Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.
  • Beheerder van bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast biedt deze rol het beheer van alle aspecten van PIM en administratieve eenheden.

Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsassets.

U moet het aantal accounts of rollen met hoge bevoegdheden beperken en deze accounts beveiligen op verhoogd niveau. Gebruikers met deze bevoegdheid kunnen elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Cosmos DB maakt gebruik van Azure Active Directory-accounts (Azure AD) voor het beheren van de resources, het controleren van gebruikersaccounts en het regelmatig openen van toewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD en toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management (PIM) gebruiken om werkstromen voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure AD PIM ook worden geconfigureerd om u te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Azure Cosmos DB biedt vijf ingebouwde rollen:

  • De DocumentDB-accountbijdrager kan Azure Cosmos DB-accounts beheren.
  • De Cosmos DB-accountlezer kan Azure Cosmos DB-accountgegevens lezen.
  • De Cosmos Backup Operator kan een herstelaanvraag indienen voor Azure Portal voor een database met periodieke back-up of een container en het back-upinterval en de retentie op de Azure Portal wijzigen.
  • CosmosRestoreOperator kan een herstelactie uitvoeren voor een Azure Cosmos DB-account met de modus voor continue back-up.
  • De Cosmos DB-operator kan Azure Cosmos-accounts, -databases en -containers inrichten.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Cosmos DB is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Azure Cosmos DB biedt vijf ingebouwde rollen om de toegang tot configuratie en gegevens te beheren. Geef gebruikers het laagste toegangsniveau dat nodig is om hun werk te voltooien.

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces voor Microsoft-ondersteuning kiezen

Richtlijnen: Cosmos DB biedt geen ondersteuning voor klanten-lockbox. Microsoft kan met klanten samenwerken via een niet-lockbox-methode om goedkeuring te verlenen voor toegang tot klantgegevens.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: Gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: Functies voor automatische gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Cosmos DB. U kunt echter de Azure Cognitive Search-integratie gebruiken voor classificatie en gegevensanalyse. U kunt ook een oplossing van derden implementeren, indien nodig voor nalevingsdoeleinden.

Voor het onderliggende platform dat wordt beheerd door Microsoft, behandelt Microsoft alle klantinhoud als gevoelig en gaat het tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Beveilig gevoelige gegevens door de toegang te beperken met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), netwerktoegangsbeheer en specifieke besturingselementen in Azure-services (zoals versleuteling).

Om consistent toegangsbeheer te garanderen, moeten alle typen toegangsbeheer worden afgestemd op uw bedrijfssegmentatiestrategie. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende platform (beheerd door Microsoft) behandelt Microsoft alle klantinhoud als gevoelig en beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd.

Cosmos DB biedt ook ondersteuning voor door de klant beheerde sleutels voor een extra versleutelingsniveau.

Verantwoordelijkheid: Gedeeld

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Cosmos DB biedt ondersteuning voor Advanced Threat Protection. Advanced Threat Protection voor Azure Cosmos DB biedt een extra beveiligingsinformatielaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om Toegang te krijgen tot Of misbruik te maken van Azure Cosmos DB-accounts. Met deze beveiligingslaag kunt u bedreigingen aanpakken, zelfs zonder beveiligingsexpert te zijn, en deze integreren met centrale beveiligingsbewakingssystemen.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moeten gegevens die onderweg zijn beveiligd tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Cosmos DB ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS-, SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die onderweg zijn tussen Azure-datacenters.

Alle verbindingen met Azure Cosmos DB ondersteunen HTTPS. Accounts die na 29 juli 2020 zijn gemaakt, hebben standaard een minimale TLS-versie van TLS 1.2. U kunt aanvragen dat de minimale TLS-versie van uw accounts die vóór 29 juli 2020 zijn gemaakt, worden bijgewerkt naar TLS 1.2 door contact op te maken azurecosmosdbtls@service.microsoft.com.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Cosmos DB data-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Gegevens die zijn opgeslagen in uw Azure Cosmos-account, worden automatisch en naadloos versleuteld met sleutels die worden beheerd door Microsoft (door de service beheerde sleutels). U kunt er desgewenst voor kiezen om een tweede versleutelingslaag toe te voegen met sleutels die u beheert (door de klant beheerde sleutels).

Verantwoordelijkheid: Gedeeld

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.DocumentDB:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure-Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie vindt u op https://aka.ms/cosmosdb-cmk. controleren, weigeren, uitgeschakeld 1.0.2

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe de verantwoordelijkheden van het beveiligingsteam zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Tags toepassen op uw Azure Cosmos DB-exemplaren en gerelateerde resources met relevante metagegevens, zoals het bijhouden van Azure Cosmos DB-exemplaren die gevoelige informatie opslaan of verwerken. Cosmos DB staat het uitvoeren van een toepassing of het installeren van software op de bijbehorende resources niet toe.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Cosmos DB ondersteunt het weigeren van resource-implementaties met Azure Policy. Hierdoor kunt u implementaties beperken waarvoor deze service nog niet is goedgekeurd. Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten op basis van uw beveiligingsbehoeften. Gebruik Azure Resource Graph om resources in uw abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen van Microsoft Defender for Cloud en schakel Microsoft Defender in voor uw Cosmos DB-resources. Microsoft Defender voor Cosmos DB biedt een extra beveiligingsinformatielaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot of misbruik te maken van uw Cosmos DB-resources.

Stuur logboeken van Cosmos DB door naar uw SIEM, die kunnen worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt voor mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen die analisten kunnen sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken, die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht aan resources in Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u inzicht hebben in accountafwijkingen binnen afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Cosmos DB implementeert geen resources rechtstreeks in een virtueel netwerk. Met Cosmos DB kunt u echter privé-eindpunten gebruiken om veilig verbinding te maken met de resources vanuit een virtueel netwerk. Cosmos DB produceert of verwerkt ook geen DNS-querylogboeken die moeten worden ingeschakeld.

Schakel logboekregistratie in voor uw geconfigureerde privé-eindpunten van Cosmos DB om het volgende vast te leggen:

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Cosmos DB-resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure-resourcelogboeken inschakelen voor Cosmos DB. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Centraliseer de logboekregistratie, opslag en analyse van Cosmos DB-logboeken. Zorg ervoor dat u Azure-activiteitenlogboeken integreert die worden geproduceerd door Cosmos DB-beheeracties in uw centrale logboekregistratieoplossing. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van logboeken die zijn gemaakt door uw Cosmos DB-resources, de bewaarperiode voor logboeken hebben ingesteld op basis van de nalevingsregels van uw organisatie.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: U kunt Azure Blueprints gebruiken om de implementatie en configuratie van de Cosmos DB-service te automatiseren, waaronder Azure Resources Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.

Advanced Threat Protection voor Azure Cosmos DB biedt een extra beveiligingsinformatielaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot Of misbruik te maken van Azure Cosmos DB-accounts. Met deze beveiligingslaag kunt u bedreigingen aanpakken, zelfs zonder beveiligingsexpert te zijn, en deze integreren met centrale beveiligingsbewakingssystemen.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Defender for Cloud gebruiken om uw configuratiebasislijn te bewaken en deze configuraties af te dwingen met behulp van Azure Policy [weigeren] en [implementeren als deze niet bestaan] effecten om beveiligde configuratie in uw Cosmos DB-resources te behouden.

Gebruik Azure Policy aliassen in de naamruimte Microsoft.DocumentDB om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Daarnaast ontwikkelt u een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost.

Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Richtlijnen: Azure Cosmos DB maakt automatisch met regelmatige tussenpozen back-ups van uw gegevens. Als de database of container wordt verwijderd, kunt u een ondersteuningsticket indienen of ondersteuning voor Azure bellen om de gegevens te herstellen van automatische onlineback-ups. ondersteuning voor Azure is alleen beschikbaar voor geselecteerde abonnementen, zoals Standard, Developer en abonnementen die hoger zijn dan deze. Als u een specifieke momentopname van de back-up wilt herstellen, vereist Azure Cosmos DB dat de gegevens beschikbaar zijn voor de duur van de back-upcyclus voor die momentopname.

Als u Key Vault gebruikt om referenties voor uw Cosmos DB-exemplaren op te slaan, moet u ervoor zorgen dat regelmatig geautomatiseerde back-ups van uw sleutels worden gemaakt.

Verantwoordelijkheid: Gedeeld

BR-2: Back-upgegevens versleutelen

Richtlijnen: alle gebruikersgegevens die zijn opgeslagen in Cosmos DB, worden standaard versleuteld in rust. Er zijn geen besturingselementen om deze uit te schakelen. Azure Cosmos DB maakt gebruik van AES-256-versleuteling voor alle regio's waarop het account wordt uitgevoerd.

Standaard beheert Microsoft de sleutels die worden gebruikt voor het versleutelen van de gegevens in uw Azure Cosmos-account. U kunt desgewenst een tweede versleutelingslaag toevoegen met uw eigen sleutels.

Verantwoordelijkheid: Microsoft

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Azure Cosmos DB maakt automatisch met regelmatige tussenpozen back-ups van uw gegevens. Als de database of container wordt verwijderd, kunt u een ondersteuningsticket indienen of ondersteuning voor Azure bellen om de gegevens te herstellen van automatische onlineback-ups. Als u een specifieke momentopname van de back-up wilt herstellen, vereist Azure Cosmos DB dat de gegevens beschikbaar zijn voor de duur van de back-upcyclus voor die momentopname.

Als u Key Vault gebruikt om referenties op te slaan voor uw Cosmos DB-exemplaren die zijn versleuteld met door de klant beheerde sleutels, moet u ervoor zorgen dat regelmatig geautomatiseerde back-ups van uw sleutels worden gemaakt.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om het verlies van sleutels te voorkomen en te herstellen. Schakel voorlopig verwijderen en opschonen in Azure Key Vault in om uw versleutelingssleutels te beveiligen tegen onbedoelde of schadelijke verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen