Azure-beveiligingsbasislijn voor Azure Data Box

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Data Box. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Data Box.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Data Box en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Data Box volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor azure Data Box-beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Azure Data Box biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. U kunt bepaalde netwerkfuncties niet toepassen met de resources van het aanbod, zoals:

  • Netwerkbeveiligingsgroepen (NSG's)
  • Routetabellen
  • Andere netwerkafhankelijke apparaten, zoals een Azure Firewall

Data Box maakt standaard gebruik van TLS 1.2. Als een van uw systemen TLS 1.2 niet heeft ingeschakeld, kunt u met Data Box TLS 1.1/1.0 inschakelen via de lokale gebruikersinterface.

Opslagaccounts met virtuele netwerken worden ondersteund. Wilt u toestaan dat Data Box werkt met beveiligde opslagaccounts? Schakel vervolgens de vertrouwde services in de firewallinstellingen van het opslagaccountnetwerk in.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: volg de aanbevolen procedures voor DNS-beveiliging. Deze procedures beperken veelvoorkomende aanvallen, zoals:

  • Zwevende DNS
  • DNS-versterkingsaanvallen
  • DNS-vergiftiging en adresvervalsing

Wanneer u Azure DNS gebruikt als uw gezaghebbende DNS-service, moet u ervoor zorgen dat DNS-zones en -records worden beschermd tegen onbedoelde of schadelijke wijzigingen. Gebruik op rollen gebaseerd toegangsbeheer (RBAC) en resourcevergrendelingen van Azure.

Data Box raadt u aan uw eigen certificaten mee te nemen. Als u ervoor kiest om de door het apparaat gegenereerde standaardcertificaten te gebruiken, moet u de richtlijnen volgen die in dit document worden beschreven.

Voeg een verwijzing toe over DNS-configuraties die klanten kunnen beheren.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Data Box maakt gebruik van lokale verificatie voor:

  • Apparaattoegang beheren via een wachtwoordsleutel voor het ontgrendelen van een apparaat.

  • SMB-referenties om gegevens in en uit het apparaat te kopiëren.

  • Azure Storage-accountsleutels voor toegang tot Data Box via REST API's.

  • IP-adresconfiguratie voor NFS-toegang.

Lees deze artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Azure Data Box raadt u aan Azure Active Directory (Azure AD) te gebruiken om een service-principal met beperkte machtigingen op resourceniveau te maken. Configureer service-principals met certificaatreferenties en val terug op clientgeheimen. In beide gevallen kunt u Azure Key Vault gebruiken met door Azure beheerde identiteiten, zodat de runtime-omgeving (zoals een Azure-functie) de referentie uit de sleutelkluis kan ophalen.

Met Data Box kunt u uw eigen sleutels gebruiken voor versleuteling. Hiermee kunt u ook uw eigen wachtwoorden gebruiken voor het apparaat en de shares.

Verantwoordelijkheid: Gedeeld

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Data Box gebruikt Azure AD om identiteits- en toegangsbeheer te bieden voor:

  • Azure-resources
  • Cloudtoepassingen
  • On-premises toepassingen

Dit beheer omvat:

  • Bedrijfsidentiteiten, zoals werknemers.
  • Externe identiteiten, zoals partners, leveranciers en leveranciers.

Met dit identiteits- en toegangsbeheer kan eenmalige aanmelding (SSO) de toegang tot de gegevens en resources van uw organisatie beheren en beveiligen. De toegang is van toepassing op zowel on-premises als de cloud. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD. Azure AD biedt naadloze, veilige toegang, plus meer zichtbaarheid en controle.

Om de Data Box-resource te maken, gebruikt Data Box Azure AD om het abonnement te verifiëren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: Standaard zijn er geen gebruikers met hoge bevoegdheden. In zeldzame gevallen moet u mogelijk een ondersteuningssessie openen (met verhoogde bevoegdheden). Voor deze ondersteuningssessie is coördinatie met het ondersteuningspersoneel van Microsoft vereist.

Klanten hoeven Azure AD accounts met hoge bevoegdheden niet te gebruiken en te beheren, zoals beheerdersaccounts op lokaal niveau voor Data Box.

Verantwoordelijkheid: Gedeeld

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Als u een Data Box-resource wilt maken en beheren, moet een klant zich aanmelden met behulp van een abonnement op basis van Azure AD.

U kunt deze ingebouwde rollen gebruiken:

  • Data Box Reader. Deze rol heeft alleen-lezentoegang tot orders, zoals gedefinieerd door het bereik. De rol kan alleen details van een order weergeven. Er is geen toegang tot andere details met betrekking tot opslagaccounts. De ordergegevens, zoals adres, kunnen ook niet worden bewerkt.

  • Data Box-inzender. Als de klant al schrijftoegang tot een opslagaccount heeft, kan deze rol een order maken om gegevens over te dragen naar dat account. Als de klant geen toegang heeft tot een opslagaccount, kan deze geen Data Box-bestelling maken om gegevens naar het account te kopiëren. Met deze rol worden geen machtigingen voor opslagaccounts gedefinieerd. Er wordt geen toegang verleend tot opslagaccounts.

  • Data Box-resource maken en beheren

  • Ingebouwde RBAC-rollen voor Data Box

Verantwoordelijkheid: Gedeeld

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Data Box kan worden geïntegreerd met Azure RBAC om de resources te beheren.

U kunt bepalen wie toegang heeft tot uw Data Box-bestelling wanneer deze voor het eerst wordt gemaakt. Als u de toegang tot de Data Box-bestelling wilt beheren, kunt u Azure-rollen instellen op verschillende bereiken.

De twee ingebouwde rollen die kunnen worden gedefinieerd voor de Azure Data Box-service zijn:

  • Data Box Reader. Deze rol heeft alleen-lezentoegang tot orders, zoals gedefinieerd door het bereik. De rol kan alleen de details van een order bekijken. Er is geen toegang tot andere gegevens die betrekking hebben op opslagaccounts. De ordergegevens, zoals adres, kunnen niet worden bewerkt.

  • Data Box-inzender. Als de klant al schrijftoegang heeft tot een opslagaccount, kan deze rol een order maken om gegevens over te dragen naar dat account. Als de klant geen toegang heeft tot een opslagaccount, kan deze geen Data Box-bestelling maken om gegevens naar het account te kopiëren. Met deze rol worden geen machtigingen voor opslagaccounts gedefinieerd. Er wordt ook geen toegang verleend tot opslagaccounts.

  • Ingebouwde RBAC-rollen voor Data Box-resource

Verantwoordelijkheid: Gedeeld

PA-8: Goedkeuringsproces kiezen voor Microsoft-ondersteuning

Richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot klantgegevens, biedt Azure Data Box ondersteuning voor Customer Lockbox. Customer Lockbox biedt een interface die u kunt controleren en vervolgens aanvragen voor klantgegevenstoegang goedkeuren of afwijzen.

Verantwoordelijkheid: Gedeeld

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van:

  • Azure RBAC.
  • Toegangsbeheer op basis van netwerk.
  • Specifieke besturingselementen in Azure-services (zoals versleuteling).

Om consistent toegangsbeheer te garanderen, moet u alle typen toegangsbeheer uitlijnen met uw bedrijfssegmentatiestrategie. Informeer uw bedrijfssegmentatiestrategie met de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende door Microsoft beheerde platform behandelt Microsoft alle klantinhoud als gevoelig. Het beschermt tegen gegevensverlies en blootstelling van klanten. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, gebruikt Microsoft enkele standaardbesturingselementen voor gegevensbeveiliging en -mogelijkheden.

Data Box versleutelt alle data-at-rest en alle gegevens die onderweg zijn.

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Data Box ondersteunt SMB-versleuteling. NFS wordt ook ondersteund, maar klanten moeten hun gegevens vooraf versleutelen wanneer ze dit protocol gebruiken.

Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen (zoals verkeersopname) met behulp van versleuteling. Deze actie zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure Data Box ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel deze mogelijkheid optioneel is voor verkeer op privénetwerken, is het essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, kunnen onderhandelen over TLS v1.2 of hoger. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Schakel zwakke coderingen en verouderde versies van de volgende protocollen uit:

  • SSL
  • TLS
  • SSH

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Azure Data Box data-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) die gebruikmaken van versleuteling. Deze actie zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u extra versleuteling in rust implementeren op alle Azure-resources waar beschikbaar. Azure beheert standaard uw versleutelingssleutels. Maar u kunt ook uw eigen sleutels (door de klant beheerde sleutels) beheren voor bepaalde Azure-services om te voldoen aan wettelijke vereisten.

Verantwoordelijkheid: Gedeeld

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Beveiligingslezer machtigingen verlenen aan beveiligingsteams in uw Azure-tenant en -abonnementen. Vervolgens kunnen beveiligingsteams controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Op basis van hoe u de verantwoordelijkheden van het beveiligingsteam structureert, kan een centraal beveiligingsteam of een lokaal team verantwoordelijk zijn voor het bewaken van beveiligingsrisico's. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op een hele tenant (hoofdbeheergroep). U kunt deze machtigingen ook instellen voor beheergroepen of specifieke abonnementen.

Opmerking: om inzicht te krijgen in workloads en services, zijn mogelijk extra machtigingen vereist.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Azure Data Box. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. Deze teams hebben ook de inventaris nodig als invoer voor continue beveiligingsverbeteringen.

Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. Wijs vervolgens de groepsleestoegang toe aan alle Azure Data Box-resources. U kunt dit proces vereenvoudigen in één roltoewijzing op hoog niveau binnen uw abonnement.

Azure Data Box gebruikt geen tags. Klanten kunnen geen tags voor resourcemetagegevens toepassen of gebruiken om ze logisch te ordenen in een taxonomie.

Met azure Virtual Machine Inventory kunt u het verzamelen van informatie over software op Virtual Machines automatiseren. De Azure Portal maakt de volgende informatievelden beschikbaar:

  • Softwarenaam
  • Versie
  • Publisher
  • Vernieuwingstijd

Als u toegang wilt krijgen tot installatiedatums en andere informatie, schakelt u diagnostische gegevens op gastniveau in. Breng vervolgens de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Azure Data Box staat het uitvoeren van een toepassing of het installeren van software op de bijbehorende resources niet toe.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Met behulp van Azure Policy kunt u controleren en beperken welke services gebruikers in uw omgeving kunnen inrichten. Met Azure Resource Graph kunt u resources in hun abonnementen opvragen en detecteren. Gebruik Azure Monitor ook om regels te maken waarmee waarschuwingen worden geactiveerd wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Azure Data Box produceert klantgerichte resourcelogboeken die ze kunnen gebruiken voor detectie van bedreigingen.

Azure Data Box produceert geen logboeken die u kunt gebruiken voor detectie van bedreigingen. Deze logboeken kunnen niet worden doorgestuurd naar een SIEM-hulpprogramma voor bewaking en waarschuwingen.

Verantwoordelijkheid: Gedeeld

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD biedt de volgende gebruikerslogboeken, die kunnen worden weergegeven in Azure AD rapportage. Voor geavanceerdere gebruiksscenario's voor bewaking en analyse kunt u deze integreren met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's.

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid voor alle wijzigingen die door verschillende functies in Azure AD worden uitgevoerd. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht in resources in Azure AD, zoals het toevoegen of verwijderen van:

    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten. Deze activiteiten kunnen een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement bevatten. Naast eenvoudige beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud uitgebreidere beveiligingswaarschuwingen verzamelen van:

  • Afzonderlijke Azure-rekenresources (virtuele machines, containers en app-service).
  • Gegevensbronnen (SQL DB en opslag).
  • Azure-servicelagen.

Met deze mogelijkheid hebt u inzicht in accountafwijkingen binnen afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Azure Data Box is niet bedoeld voor implementatie in virtuele netwerken.

U kunt geen NSG gebruiken om verkeer van en naar de Azure Data Box-resources af te dwingen of door te geven. Daarom kunt u NSG-stroomlogboekregistratie niet configureren voor Azure Data Box.

Azure Data Box registreert al het netwerkverkeer dat wordt verwerkt voor klanttoegang.

Met Azure Data Box kunt u DNS-logboekregistratie niet configureren of beschikbaar maken voor de klant.

Verantwoordelijkheid: Gedeeld

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: activiteitenlogboeken bevatten alle schrijfbewerkingen (PUT, POST en DELETE) voor uw Azure Data Box-resources. Deze logboeken zijn automatisch beschikbaar, maar bevatten geen leesbewerkingen (GET). U kunt activiteitenlogboeken gebruiken om een fout te vinden bij het oplossen van problemen. Of gebruik deze logboeken om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Data Box genereert de volgende resourcelogboeken:

  • Logboeken kopiëren
  • Auditlogboeken
  • BOM-bestanden in importvolgorde
  • Uitgebreide logboeken in exportvolgorde

Azure Data Box produceert ook beveiligingscontrolelogboeken voor de lokale beheerdersaccounts.

Verantwoordelijkheid: Gedeeld

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Data Box maakt gebruik van de standaard Microsoft NTP-server. Verbind Azure Data Box met het netwerk dat toegang heeft tot de standaard NTP-server. Anders kan de Azure Data Box-tijd afwijken als de verbinding is verbroken.

Verantwoordelijkheid: Gedeeld

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Azure Data Box biedt geen ondersteuning voor specifiek beleid in Microsoft Defender voor Cloud.

U kunt een Azure-beleid instellen om dubbele versleuteling in te schakelen voor Azure Data Box. Of wanneer u een bestelling voor Data Box plaatst, vraagt u om dubbele versleuteling in te schakelen voor data-at-rest op het apparaat.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Data Box configureert en vergrendelt alle beveiligingsinstellingen voor het apparaat gedurende de hele levensduur van de bestelling.

Verantwoordelijkheid: Microsoft

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Niet van toepassing; Azure Data Box biedt geen ondersteuning voor evaluaties van beveiligingsproblemen.

Microsoft scant interne beveiligingsproblemen in Azure Data Box.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Microsoft beheert alle software-updates van derden.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor penetratietests van Microsoft om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerd:

  • Cloudinfrastructuur
  • Services
  • Toepassingen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Azure Data Box heeft Windows Defender ingeschakeld.

Verantwoordelijkheid: Microsoft

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Microsoft schakelt Windows Defender in en onderhoudt de updates in Azure Data Box.

Verantwoordelijkheid: Microsoft

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg er regelmatig voor dat u door de klant beheerde sleutels kunt herstellen waarvan een back-up is gemaakt.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat er maatregelen zijn om te voorkomen dat sleutels verloren gaan. Schakel voorlopig verwijderen en opschonen in Azure Key Vault in. Met deze actie worden sleutels beschermd tegen onbedoelde of schadelijke verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen