Azure-beveiligingsbasislijn voor Event Grid

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Microsoft Azure Event Grid. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Event Grid.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Event Grid of waarvoor de verantwoordelijkheid van Microsoft is uitgesloten. Als u wilt zien hoe Event Grid volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van de Event Grid-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: U kunt privé-eindpunten gebruiken om toegang tot gebeurtenissen rechtstreeks vanuit uw virtuele netwerk naar uw Event Grid-onderwerpen en -domeinen veilig via een privékoppeling toe te staan zonder via het openbare internet te gaan. Wanneer u een privé-eindpunt maakt voor uw Event Grid-onderwerp of -domein, biedt het beveiligde connectiviteit tussen clients op uw VNet en uw Event Grid-resource. Aan het privé-eindpunt wordt een IP-adres toegewezen vanuit het IP-adresbereik van uw virtuele netwerk. De verbinding tussen het privé-eindpunt en de Event Grid-service maakt gebruik van een beveiligde privékoppeling.

Azure Event Grid biedt ook ondersteuning voor openbare IP-toegangsbeheer voor publicatie naar onderwerpen en domeinen. Met besturingselementen op basis van IP kunt u de uitgevers beperken tot een onderwerp of domein tot alleen een set goedgekeurde machines en cloudservices. Deze functie vormt een aanvulling op de verificatiemechanismen die worden ondersteund door Event Grid.

Verantwoordelijkheid: Klant

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender for Cloud en volg aanbevelingen voor netwerkbeveiliging om uw Event Grid-resources in Azure te beveiligen. Als

Virtuele Azure-machines voor toegang tot uw Event Grid-resources, schakel stroomlogboeken van netwerkbeveiligingsgroepen (NSG) in en verzend logboeken naar een opslagaccount voor verkeerscontrole.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor webtoepassingen die worden uitgevoerd op Azure App Service- of rekenresources.

Verantwoordelijkheid: niet van toepassing

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: U kunt de IP-firewall voor uw Event Grid-resource configureren om de toegang via het openbare internet te beperken van slechts een bepaalde set IP-adressen of IP-adresbereiken.

U kunt privé-eindpunten zo configureren dat de toegang alleen vanuit geselecteerde virtuele netwerken wordt beperkt.

Schakel DDoS Protection Standard in op deze virtuele netwerken om bescherming te bieden tegen DDoS-aanvallen (Distributed Denial of Service). Gebruik Geïntegreerde bedreigingsinformatie van Microsoft Defender for Cloud om communicatie met bekende schadelijke of ongebruikte INTERNET-IP-adressen te weigeren. Raadpleeg voor meer informatie de volgende artikelen:

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: Als u virtuele Azure-machines gebruikt voor toegang tot uw Event Grid-resources, schakelt u stroomlogboeken van netwerkbeveiligingsgroepen (NSG) in en verzendt u logboeken naar een opslagaccount voor verkeerscontrole. U kunt ook NSG-stroomlogboeken verzenden naar een Log Analytics-werkruimte en Traffic Analytics gebruiken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Sommige voordelen van Traffic Analytics zijn de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Houd er rekening mee dat netwerkbeleid standaard is uitgeschakeld wanneer privé-eindpunten worden gemaakt voor Event Grid, zodat de bovenstaande werkstroom mogelijk niet werkt.

Schakel indien nodig voor het onderzoeken van afwijkende activiteiten Network Watcher pakketopname in.

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Selecteer een aanbieding in de Azure Marketplace die ondersteuning biedt voor IDS-/IPS-functionaliteit met mogelijkheden voor nettoladinginspectie. Wanneer inspectie van nettolading geen vereiste is, kan Azure Firewall bedreigingsinformatie worden gebruikt. Azure Firewall filteren op basis van bedreigingsinformatie wordt gebruikt om verkeer naar en/of van bekende schadelijke IP-adressen en domeinen te waarschuwen en/of te blokkeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.

Implementeer de firewalloplossing van uw keuze op elk van de netwerkgrenzen van uw organisatie om schadelijk verkeer te detecteren en/of te blokkeren.

Verantwoordelijkheid: Klant

1.7: Verkeer naar webtoepassingen beheren

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor webtoepassingen die worden uitgevoerd op Azure App Service- of rekenresources.

Verantwoordelijkheid: niet van toepassing

1.8: De complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: Voor resources in virtuele netwerken die toegang nodig hebben tot uw Azure Event Grid resources, gebruikt u Virtual Network servicetags om netwerktoegangsbeheer in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag (bijvoorbeeld AzureEventGrid) op te geven in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkbronnen die zijn gekoppeld aan uw Azure Event Grid naamruimten met Azure Policy. Gebruik Azure Policy aliassen in de naamruimten Microsoft.EventGrid en Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw Event Grid-resources te controleren of af te dwingen.

U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot Azure Event Grid, zoals:

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: Gebruik tags voor netwerkbronnen die zijn gekoppeld aan uw Azure Event Grid resources om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om netwerkresourceconfiguraties te bewaken en wijzigingen voor netwerkresources met betrekking tot Azure Event Grid te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkresources plaatsvinden.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die door Azure Event Grid worden gegenereerd. Gebruik in Azure Monitor Log Analytics-werkruimte(s) om query's uit te voeren en analyses uit te voeren en opslagaccounts te gebruiken voor langetermijn-/archiveringsopslag. U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM (Security Incident and Event Management) van derden.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Met diagnostische instellingen kunnen Event Grid-gebruikers logboeken voor publicatie- en leveringsfouten vastleggen en weergeven in een opslagaccount, een Event Hub of een Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

2.4: Beveiligingslogboeken verzamelen van besturingssystemen

Richtlijnen: Niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Stel in Azure Monitor de logboekretentieperiode in voor Log Analytics-werkruimten die zijn gekoppeld aan uw Azure Event Grid resources volgens de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Logboeken analyseren en controleren op afwijkend gedrag en regelmatig de resultaten van Azure Event Grid bekijken. Gebruik Azure Monitor en een Log Analytics-werkruimte om logboeken te controleren en query's uit te voeren op logboekgegevens.

U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Diagnostische instellingen inschakelen in uw event grid voor toegang tot logboeken met publicatie- en bezorgingsfouten. Activiteitenlogboeken, die automatisch beschikbaar zijn, omvatten gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen. U kunt de logboeken verzenden naar een Log Analytics-werkruimte. Gebruik Microsoft Defender voor Cloud met Log Analytics voor bewaking en waarschuwingen over afwijkende activiteiten in beveiligingslogboeken en -gebeurtenissen.

U kunt ook waarschuwingen maken voor Azure Event Grid metrische gegevens en activiteitenlogboekbewerkingen. U kunt waarschuwingen maken voor het publiceren en leveren van metrische gegevens voor Azure Event Grid resources (onderwerpen en domeinen).

Daarnaast kunt u uw Log Analytics-werkruimte onboarden naar Microsoft Sentinel omdat deze een SOAR-oplossing (Automated Response) voor beveiligingsindeling biedt. Hierdoor kunnen playbooks (geautomatiseerde oplossingen) worden gemaakt en gebruikt om beveiligingsproblemen op te lossen.

Verantwoordelijkheid: Klant

2.8: Logboekregistratie van antimalware centraliseren

Richtlijnen: Niet van toepassing; Azure Event Grid verwerkt of produceert antimalware gerelateerde logboeken niet.

Verantwoordelijkheid: niet van toepassing

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Niet van toepassing; Azure Event Grid verwerkt of produceert geen DNS-gerelateerde logboeken.

Verantwoordelijkheid: niet van toepassing

2.10: Logboekregistratie van opdrachtregelcontrole inschakelen

Richtlijnen: Niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheerdersaccounts onderhouden

Richtlijnen: Azure Event Grid kunt u het toegangsniveau voor verschillende gebruikers beheren om verschillende beheerbewerkingen uit te voeren, zoals abonnementen voor lijstevenementen, nieuwe abonnementen te maken en sleutels te genereren. Event Grid maakt gebruik van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Event Grid ondersteunt ingebouwde rollen en aangepaste rollen.

Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten groeperen. Er bestaan vooraf gedefinieerde, ingebouwde rollen voor bepaalde resources, en deze rollen kunnen worden geïnventariseerd of opgevraagd via tools zoals Azure CLI, Azure PowerShell en Azure Portal.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Toegangsbeheer voor Event Grid-resources wordt beheerd via Azure Active Directory (Azure AD). Azure AD beschikt niet over het concept van standaardwachtwoorden.

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts.

U kunt ook Just-In-Time-toegang inschakelen met behulp van Azure Active Directory (Azure AD) Privileged Identity Management en Azure Resource Manager.

Event Grid kan een beheerde service-identiteit inschakelen voor Azure Event Grid-onderwerpen of -domeinen en deze gebruiken om gebeurtenissen door te sturen naar ondersteunde bestemmingen, zoals Service Bus-wachtrijen en onderwerpen, Event Hubs en opslagaccounts. Het SAS-token (Shared Access Signature) wordt gebruikt voor het publiceren van gebeurtenissen naar Azure Event Grid. Maak een standaard operationele procedure rond gebeurtenistoegang, doorsturen en publiceren met deze accounts.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding (SSO) gebruiken met Azure Active Directory

Richtlijnen: Niet van toepassing; Event Grid-service biedt geen ondersteuning voor eenmalige aanmelding.

Verantwoordelijkheid: niet van toepassing

3.5: Meervoudige verificatie gebruiken voor alle toegang op basis van Azure Active Directory

Richtlijnen: Niet van toepassing; Event Grid-service maakt geen gebruik van meervoudige verificatie.

Verantwoordelijkheid: niet van toepassing

3.6: Toegewezen machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Niet van toepassing; Voor event grid-scenario's zijn bevoegde toegangswerkstations vereist.

Verantwoordelijkheid: niet van toepassing

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Gebruik Beveiligingsrapporten en bewaking van Azure Active Directory (Azure AD) om te detecteren wanneer verdachte of onveilige activiteiten zich voordoen in de omgeving. Gebruik Microsoft Defender voor Cloud om identiteiten en toegangsactiviteiten te bewaken.

Verantwoordelijkheid: Klant

3.8: Azure-resources alleen beheren vanaf goedgekeurde locaties

Richtlijnen: Niet van toepassing. Event Grid maakt geen gebruik van Azure Active Directory (Azure AD) voor het verifiëren van clients voor het publiceren van gebeurtenissen; het ondersteunt verificatie via SAS-sleutels.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en veilig gebruikersreferenties opslaat.

Event Grid kan een beheerde service-identiteit inschakelen voor Azure Event Grid-onderwerpen of -domeinen en deze gebruiken om gebeurtenissen door te sturen naar ondersteunde bestemmingen, zoals Service Bus-wachtrijen en onderwerpen, Event Hubs en opslagaccounts. Het SAS-token (Shared Access Signature) wordt gebruikt voor het publiceren van gebeurtenissen naar Azure Event Grid.

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory (Azure AD) biedt logboeken voor het detecteren van verouderde accounts. Gebruik bovendien Azure AD identiteits- en toegangsbeoordelingen om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de juiste gebruikers toegang hebben.

Gebruik Azure AD Privileged Identity Management (PIM) voor het genereren van logboeken en waarschuwingen wanneer er verdachte of onveilige activiteiten plaatsvinden in de omgeving.

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: U hebt toegang tot aanmeldingsactiviteiten, audit- en risicogebeurtenislogboekbronnen van Azure Active Directory (Azure AD), waarmee u kunt integreren met elk SIEM-/bewakingsprogramma.

U kunt dit proces stroomlijnen door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en de auditlogboeken en aanmeldingslogboeken te verzenden naar een Log Analytics-werkruimte. U kunt de gewenste waarschuwingen configureren in de Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

3.12: Waarschuwing bij afwijking van aanmeldingsgedrag van account

Richtlijnen: Azure Active Directory-functies (Azure AD) Identity Protection gebruiken om geautomatiseerde antwoorden te configureren voor gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten. U kunt ook gegevens opnemen in Microsoft Sentinel voor verder onderzoek.

Verantwoordelijkheid: Klant

3.13: Microsoft toegang bieden tot relevante klantgegevens tijdens ondersteuningsscenario's

Richtlijnen: niet van toepassing; Event Grid-service biedt momenteel geen ondersteuning voor Customer Lockbox.

Verantwoordelijkheid: niet van toepassing

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventarisatie van gevoelige informatie onderhouden

Richtlijnen: gebruik tags om u te helpen bij het bijhouden van Azure-resources die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Isolatie implementeren met behulp van afzonderlijke abonnementen en beheergroepen voor afzonderlijke beveiligingsdomeinen, zoals het omgevingstype en het vertrouwelijkheidsniveau van gegevens. U kunt het toegangsniveau beperken tot uw Azure-resources die uw toepassingen en bedrijfsomgevingen eisen. U kunt de toegang tot Azure-resources beheren via Azure RBAC.

Verantwoordelijkheid: Klant

4.3: Niet-geautoriseerde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Voor het onderliggende platform, dat wordt beheerd door Microsoft, behandelt Microsoft alle klantinhoud als gevoelig en gaat het tot grote tijd om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Azure Event Grid vereist HTTPS voor publicatie en ondersteunt HTTPS voor het leveren van gebeurtenissen aan een webhookeindpunt. In Azure Global ondersteunt Event Grid zowel 1.1- als 1.2-versies van TLS, maar we raden u ten zeerste aan de versie 1.2 te gebruiken. In nationale clouds zoals Azure Government en Azure beheerd door 21Vianet in China, ondersteunt Event Grid slechts 1.2-versie van TLS.

Verantwoordelijkheid: Klant

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Event Grid. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden.

Voor het onderliggende platform, dat wordt beheerd door Microsoft, behandelt Microsoft alle inhoud van klanten als gevoelig en gaat het veel tijd om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Richtlijnen: Azure Event Grid ondersteunt het gebruik van Azure Active Directory (Azure AD) om aanvragen voor Event Grid-resources te autoriseren. Met Azure AD kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal, wat mogelijk een gebruiker of een service-principal voor toepassingen is.

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met het Azure-activiteitenlogboek om waarschuwingen te maken voor wanneer er wijzigingen plaatsvinden in productie-exemplaren van Azure Event Grid resources en andere kritieke of gerelateerde resources.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.3: Een geautomatiseerde oplossing voor patchbeheer implementeren voor softwaretitels van derden

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

5.4: Scans van beveiligingsproblemen met back-to-back vergelijken

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om assets te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Een inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: Maak een inventarisatie van goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Gebruik bovendien de Azure Resource Graph om resources in de abonnementen op te vragen/te detecteren.

Verantwoordelijkheid: Klant

6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

6.8: Alleen goedgekeurde toepassingen gebruiken

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen
  • Toegestane brontypen

Gebruik bovendien de Azure Resource Graph om resources in de abonnementen op te vragen/te detecteren.

Verantwoordelijkheid: Klant

6.10: Een inventaris van goedgekeurde softwaretitels onderhouden

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik voorwaardelijke toegang van Azure Active Directory (Azure AD) om de mogelijkheid van gebruikers om te communiceren met Azure Resources Manager te beperken door 'Toegang blokkeren' te configureren voor de App Microsoft Azure Management.

Verantwoordelijkheid: Klant

6.12: Beperk de mogelijkheid van gebruikers om scripts uit te voeren in rekenresources

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor webtoepassingen die worden uitgevoerd op Azure App Service- of rekenresources.

Verantwoordelijkheid: niet van toepassing

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor uw Azure Event Grid-service met Azure Policy. Gebruik Azure Policy aliassen in de naamruimte Microsoft.EventGrid om aangepast beleid te maken om de configuratie van uw Azure Event Grid-services te controleren of af te dwingen.

Azure Resource Manager heeft de mogelijkheid om de sjabloon te exporteren in JavaScript Object Notation (JSON), die moet worden gecontroleerd om ervoor te zorgen dat de configuraties vóór implementaties voldoen aan de beveiligingsvereisten voor uw organisatie.

Verantwoordelijkheid: Klant

7.2: Veilige besturingssysteemconfiguraties instellen

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure-resources. Daarnaast kunt u Azure Resource Manager-sjablonen gebruiken om de beveiligingsconfiguratie van uw Azure-resources te onderhouden die nodig zijn voor uw organisatie.

Verantwoordelijkheid: Klant

7.4: Besturingssysteemconfiguraties beveiligen

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Als u aangepaste Azure Policy definities gebruikt voor uw Event Grid of gerelateerde resources, gebruikt u Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

Verantwoordelijkheid: Klant

7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.EventGrid om aangepast beleid te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Ontwikkel bovendien een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik Microsoft Defender voor Cloud om basislijnscans uit te voeren voor uw Azure-resources. Gebruik bovendien Azure Policy om azure-resourceconfiguraties te waarschuwen en te controleren.

Verantwoordelijkheid: Klant

7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen

Richtlijnen: niet van toepassing; deze richtlijn is bedoeld voor rekenresources.

Verantwoordelijkheid: niet van toepassing

7.11: Azure-geheimen veilig beheren

Richtlijnen: Event Grid maakt gebruik van SAS-token (Shared Access Signature) voor het publiceren van gebeurtenissen naar Event Grid-onderwerpen of -domeinen. Sas-tokens genereren met alleen toegang tot de resources die in een beperkt tijdvenster nodig zijn.

Gebruik beheerde identiteiten in combinatie met Azure Key Vault om geheimbeheer voor uw cloudtoepassingen te vereenvoudigen.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Event Grid kan een beheerde service-identiteit inschakelen voor Azure Event Grid-onderwerpen of -domeinen. Gebruik het om gebeurtenissen door te sturen naar ondersteunde bestemmingen, zoals Service Bus-wachtrijen en onderwerpen, Event Hubs en opslagaccounts.

Verantwoordelijkheid: Klant

7.13: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources in Azure

Richtlijnen: Microsoft Antimalware is ingeschakeld op de onderliggende host die Ondersteuning biedt voor Azure-services (bijvoorbeeld Azure Event Grid), maar deze wordt niet uitgevoerd op klantinhoud.

Het is uw verantwoordelijkheid om inhoud die wordt geüpload naar niet-rekenresources vooraf te scannen. Microsoft heeft geen toegang tot klantgegevens en kan daarom namens u geen antimalwarescans uitvoeren van klantinhoud.

Verantwoordelijkheid: Klant

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige automatische back-ups

Richtlijnen: Event Grid heeft een automatisch geo-herstel na noodgevallen (GeoDR) met metagegevens, niet alleen voor nieuwe, maar voor alle bestaande domeinen, onderwerpen en gebeurtenisabonnementen. Als een hele Azure-regio uitvalt, worden al uw gebeurtenisgerelateerde infrastructuurmetagegevens gesynchroniseerd met een gekoppelde regio.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: Event Grid heeft een automatisch geo-herstel na noodgevallen (GeoDR) met metagegevens, niet alleen voor nieuwe, maar voor alle bestaande domeinen, onderwerpen en gebeurtenisabonnementen. Als een hele Azure-regio uitvalt, worden al uw gebeurtenisgerelateerde infrastructuurmetagegevens gesynchroniseerd met een gekoppelde regio.

Op dit moment biedt Event Grid geen ondersteuning voor door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Event Grid heeft een automatisch geo-herstel na noodgevallen (GeoDR) met metagegevens, niet alleen voor nieuwe, maar voor alle bestaande domeinen, onderwerpen en gebeurtenisabonnementen. Als een hele Azure-regio uitvalt, worden al uw gebeurtenisgerelateerde infrastructuurmetagegevens gesynchroniseerd met een gekoppelde regio.

Op dit moment biedt Event Grid geen ondersteuning voor door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Beveiliging tegen voorlopig verwijderen en opschonen inschakelen in Key Vault om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering.

Op dit moment biedt Event Grid geen ondersteuning voor door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Ontwikkel een handleiding voor het reageren op incidenten voor uw organisatie. Zorg ervoor dat er schriftelijke plannen voor incidentrespons zijn die alle rollen van het personeel definiëren, evenals de fasen van incidentafhandeling en -beheer van detectie tot beoordeling na incidenten.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of analyseren van de waarschuwing, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Daarnaast markeert u abonnementen met behulp van tags en maakt u een naamgevingssysteem om Azure-resources te identificeren en categoriseren, met name die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het herstel van waarschuwingen op basis van de kritiek van de Azure-resources en -omgeving waar het incident is opgetreden.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen regelmatig te testen om uw Azure-resources te beschermen. Identificeer zwakke punten en hiaten en pas uw antwoordplan zo nodig aan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie voor continue export om risico's voor Azure-resources te identificeren. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen te streamen naar Microsoft Sentinel.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering microsoft Defender voor Cloud om automatisch reacties te activeren op beveiligingswaarschuwingen en aanbevelingen om uw Azure-resources te beveiligen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Volgende stappen