Azure-beveiligingsbasislijn voor Azure HPC Cache

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Microsoft Azure HPC Cache. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure HPC Cache.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure HPC Cache en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure HPC Cache volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor azure HPC Cache beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: wanneer u Azure HPC Cache-resources implementeert, moet u een bestaand virtueel netwerk maken of gebruiken.

Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Elk systeem dat een hoger risico voor de organisatie kan opleveren, moet worden geïsoleerd binnen een eigen virtueel netwerk en voldoende worden beveiligd met een netwerkbeveiligingsgroep (NSG) en/of Azure Firewall.

Er moeten twee netwerkvereisten worden ingesteld voordat u uw cache kunt gebruiken:

  • Een toegewezen subnet voor het Azure HPC Cache-exemplaar

  • DNS-ondersteuning zodat de cache toegang heeft tot opslag en andere resources

De Azure HPC Cache heeft een toegewezen subnet met deze kwaliteiten nodig:

  • Het subnet moet ten minste 64 IP-adressen beschikbaar hebben.

  • Communicatie binnen het subnet moet onbeperkt zijn. Als u een netwerkbeveiligingsgroep gebruikt voor het cachesubnet, moet u ervoor zorgen dat alle services tussen interne IP-adressen worden toegeslagen.

  • Het subnet kan geen andere VM's hosten, zelfs niet voor gerelateerde services zoals clientcomputers.

  • Als u meerdere Exemplaren van Azure HPC Cache gebruikt, heeft elke instantie een eigen subnet nodig.

De aanbevolen procedure is om voor elke cache een nieuw subnet te maken. U kunt een nieuw virtueel netwerk en subnet maken als onderdeel van het maken van de cache.

Als u HPC Cache wilt gebruiken met on-premises NAS-opslag, moet u ervoor zorgen dat bepaalde poorten in het on-premises netwerk onbeperkt verkeer van het subnet van de Azure HPC Cache toestaan.

Een netwerkbeveiligingsgroep maken met beveiligingsregels: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall implementeren en configureren: /azure/firewall/tutorial-firewall-deploy-portal

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Gebruik Azure ExpressRoute of vpn (Virtual Private Network) van Azure om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet en bieden meer betrouwbaarheid, snellere snelheden en lagere latenties dan gewone internetverbinding. Voor punt-naar-site-VPN en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en wordt bewaard in het Backbone-netwerk van Azure.

De HPC Cache resources zijn alleen verbonden met uw Azure-Virtual Network en zijn niet toegankelijk vanuit de interne productienetwerken van Azure. Daarom hebt u rechtstreeks vanuit uw VNet, peered VNets of on-premises toegang tot de HPC Cache-service via een Virtual Network Gateway (ExpressRoute of VPN Gateway.) Toegang tot de HPC Cache rekenresources is alleen toegestaan door geautoriseerd Service/Engineering-personeel waarvoor gecontroleerde JIT-toegang is vereist.

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Azure Virtual Network-service-eindpunten gebruiken om beveiligde toegang te bieden tot HPC Cache. Service-eindpunten zijn een geoptimaliseerde route via het Backbone-netwerk van Azure zonder internet te overschrijden.

HPC Cache biedt geen ondersteuning voor het gebruik van Azure Private Link om de beheereindpunten ervan te beveiligen in een particulier netwerk.

Privétoegang is een aanvullende diepgaande meting, naast verificatie en verkeersbeveiliging die wordt aangeboden door Azure-services.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Bescherm uw HPC Cache resources tegen aanvallen van externe netwerken, waaronder DDoS-aanvallen (Distributed Denial of Service), toepassingsspecifieke aanvallen en ongevraagd en potentieel schadelijk internetverkeer.

Azure bevat systeemeigen mogelijkheden voor deze beveiliging:

  • Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties.
  • Bescherm uw assets tegen DDoS-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw virtuele Azure-netwerken.
  • Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's met betrekking tot uw netwerkresources te detecteren.

Azure HPC Cache is niet bedoeld om webtoepassingen uit te voeren en u hoeft geen extra instellingen te configureren of extra netwerkservices te implementeren om deze te beschermen tegen aanvallen van externe netwerken die gericht zijn op webtoepassingen.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: niet van toepassing; deze aanbeveling is bedoeld voor aanbiedingen die kunnen worden geïmplementeerd in Virtuele Netwerken van Azure of de mogelijkheid hebben om groeperingen van toegestane IP-bereiken te definiëren voor efficiënt beheer. HPC Cache biedt momenteel geen ondersteuning voor servicetags.

De aanbevolen procedure is om voor elke cache een nieuw subnet te maken. U kunt een nieuw virtueel netwerk en subnet maken als onderdeel van het maken van de cache.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals zwevende DNS- en DNS-amplificaties-aanvallen, DNS-vergiftiging en spoofing, en andere.

Azure HPC Cache heeft DNS nodig voor toegang tot resources buiten het particuliere virtuele netwerk van de cache. Als uw werkstroom resources bevat buiten Azure, moet u uw eigen DNS-server instellen en beveiligen, naast het gebruik van Azure DNS.

  • Gebruik Azure DNS om toegang te krijgen tot Azure Blob Storage-eindpunten, op Azure gebaseerde clientcomputers of andere Azure-resources.
  • Als u toegang wilt krijgen tot on-premises opslag of verbinding wilt maken met de cache van clients buiten Azure, moet u een aangepaste DNS-server maken waarmee deze hostnamen kunnen worden omgezet.
  • Als uw werkstroom zowel interne als externe resources bevat, stelt u uw aangepaste DNS-server in om Aanvragen voor azure-specifieke omzetting door te sturen naar de Azure DNS-server.

Wanneer Azure DNS wordt gebruikt als uw gezaghebbende DNS-service, moet u ervoor zorgen dat DNS-zones en -records worden beveiligd tegen onbedoelde of schadelijke wijzigingen met behulp van Azure RBAC en resourcevergrendelingen.

Als u uw eigen DNS-server configureert, moet u deze beveiligingsrichtlijnen volgen:

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure HPC Cache is niet geïntegreerd met Azure Active Directory voor interne bewerkingen. Azure AD kan echter worden gebruikt om gebruikers in de Azure Portal of CLI te verifiëren om HPC Cache implementaties en gerelateerde onderdelen te maken, weer te geven en te beheren.

Azure Active Directory (Azure AD) is de standaardservice voor identiteits- en toegangsbeheer in Azure. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.

  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingsprocedure van uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen beoordelen in hoeverre uw identiteitsbeveiliging voldoet aan de aanbevelingen op basis van best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: HPC Cache gebruikmaakt van door Azure beheerde identiteiten voor niet-menselijke accounts, zoals services of automatisering. Het wordt aanbevolen om de functie beheerde identiteit van Azure te gebruiken in plaats van een krachtiger menselijk account te maken om toegang te krijgen tot uw resources of uw resources uit te voeren.

HPC Cache kan systeemeigen worden geverifieerd bij Azure-services/-resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD) via vooraf gedefinieerde regels voor toegangstoe kennen. Hierdoor hoeft u geen in code vastgelegde referenties te gebruiken in broncode- of configuratiebestanden.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure HPC Cache kan niet worden geïntegreerd met Azure Active Directory (Azure AD) voor interne bewerkingen. Azure AD kan echter worden gebruikt om gebruikers in de Azure Portal of CLI te verifiëren om HPC Cache implementaties en gerelateerde onderdelen te maken, weergeven en beheren.

Azure AD biedt identiteits- en toegangsbeheer voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat ondernemingsidentiteiten zoals werknemers, maar ook externe identiteiten, zoals partners, verkopers en leveranciers. Zo kunt u eenmalige aanmelding (SSO) gebruiken voor het beheren en beveiligen van de gegevens en resources van uw organisatie, on premises en in de cloud. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Controleer regelmatig gebruikersaccounts en toegangstoewijzing om ervoor te zorgen dat de accounts en hun toegangsniveaus geldig zijn.

Azure HPC Cache kan Azure Active Directory-accounts (Azure AD) gebruiken om gebruikerstoegang te beheren via de Azure Portal en gerelateerde interfaces. Azure AD biedt toegangsbeoordelingen waarmee u groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen kunt bekijken. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure Privileged Identity Management worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Wanneer u NFS-opslagdoelen gebruikt, moet u samenwerken met uw netwerkbeheerders en firewallbeheerders om de toegangsinstellingen te controleren en ervoor te zorgen dat Azure HPC Cache kan communiceren met de NFS-opslagsystemen.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: HPC Cache is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten groeperen. Er bestaan vooraf gedefinieerde, ingebouwde rollen voor bepaalde resources, en deze rollen kunnen worden geïnventariseerd of opgevraagd via tools zoals Azure CLI, Azure PowerShell en Azure Portal.

De bevoegdheden die u toewijst aan resources via Azure RBAC, moeten altijd worden beperkt tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en moet regelmatig worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en definieer alleen aangepaste rollen wanneer dit echt nodig is.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: HPC Cache gevoelige gegevens beheert, maar geen mogelijkheid heeft om gevoelige gegevens te detecteren, classificeren en labelen.

Verantwoordelijkheid: Gedeeld

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van Azure Role Based Access Control (Azure RBAC), netwerktoegangsbeheer en specifieke besturingselementen in Azure-services (zoals versleuteling in SQL en andere databases).

Consistent toegangsbeheer is alleen mogelijk als alle typen toegangsbeheer zijn afgestemd op de segmentatiestrategie van uw bedrijf. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende platform, dat wordt beheerd door Microsoft, geldt dat alle klantinhoud als gevoelig wordt beschouwd en dat gegevens worden beschermd tegen verlies en blootstelling. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd.

Verantwoordelijkheid: Gedeeld

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: HPC Cache gevoelige gegevens verzendt, maar biedt geen ondersteuning voor bewaking voor onbevoegde overdracht van gevoelige gegevens.

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: HPC Cache ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger.

Hoewel dit optioneel is voor verkeer op particuliere netwerken, is dit essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Gebruik voor extern beheer SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol. Verouderde SSL-, TLS- en SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld.

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moet data-at-rest worden beveiligd tegen 'out-of-band'-aanvallen (bijvoorbeeld toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure biedt standaard versleuteling van data-at-rest. Voor zeer gevoelige gegevens hebt u opties voor het implementeren van extra versleuteling at rest op alle Azure-resources, indien beschikbaar. Azure beheert standaard uw versleutelingssleutels, maar Azure biedt opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels) voor bepaalde Azure-services.

Alle gegevens die zijn opgeslagen in Azure, inclusief op de cacheschijven, worden standaard versleuteld met door Microsoft beheerde sleutels. U hoeft azure HPC Cache-instellingen alleen aan te passen als u de sleutels wilt beheren die worden gebruikt om uw gegevens te versleutelen.

Implementeer, indien vereist voor naleving van rekenresources, een hulpprogramma van derden, zoals een geautomatiseerde oplossing voor preventie van gegevensverlies op basis van een host, om toegangsbeheer voor gegevens af te dwingen, zelfs wanneer gegevens uit een systeem worden gekopieerd.

Verantwoordelijkheid: Gedeeld

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Azure HPC Cache ondersteunt het gebruik van tags. Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar.

U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie. Tags kunnen worden toegevoegd bij het maken van een cache en nadat de cache is geïmplementeerd.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op Virtual Machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot de installatiedatum en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte. HPC Cache staat het uitvoeren van een toepassing of installatie van software op de bijbehorende resources niet toe.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: HPC Cache ondersteunt Azure Resource Manager-implementaties. Gebruik Azure Policy om te controleren welke services gebruikers in uw omgeving kunnen inrichten en beperken. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen in Microsoft Defender for Cloud en schakel Microsoft Defender in voor uw HPC Cache resources. Microsoft Defender voor HPC Cache biedt een extra beveiligingsinformatielaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot of misbruik te maken van uw cachebronnen.

Stuur logboeken van HPC Cache naar uw SIEM die kunnen worden gebruikt voor het instellen van aangepaste bedreigingsdetecties. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen die analisten kunnen sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers
  • Auditlogboeken: traceerbaarheid bieden via logboeken voor alle wijzigingen die door verschillende functies in Azure AD worden uitgevoerd. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht aan resources in Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen sturen over bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u inzicht hebben in accountafwijkingen binnen de afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: U kunt VPN-gateways en hun mogelijkheid voor pakketopname gebruiken, naast veelgebruikte hulpprogramma's voor pakketopname om netwerkpakketten vast te leggen die tussen uw virtuele netwerken reizen.

Implementeer een netwerkbeveiligingsgroep in het netwerk waar uw Azure HPC Cache-resources worden geïmplementeerd. Schakel stroomlogboeken voor netwerkbeveiligingsgroepen in voor verkeerscontrole in uw netwerkbeveiligingsgroepen.

Uw stroomlogboeken worden bewaard in een opslagaccount. Schakel de Traffic Analytics-oplossing in om deze stroomlogboeken te verwerken en te verzenden naar een Log Analytics-werkruimte. Traffic Analytics biedt aanvullende inzichten in de verkeersstroom voor uw Azure-netwerken. Traffic Analytics kan u helpen bij het visualiseren van netwerkactiviteit en het identificeren van hot spots, het identificeren van beveiligingsrisico's, het begrijpen van verkeersstroompatronen en het opsporen van onjuiste netwerkconfiguraties.

De cache heeft DNS nodig voor toegang tot resources buiten het virtuele netwerk. Afhankelijk van de resources die u gebruikt, moet u mogelijk een aangepaste DNS-server instellen en doorsturen tussen die server en Azure DNS-servers configureren.

Implementeer een oplossing van derden van Azure Marketplace voor DNS-logboekregistratieoplossing op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure HPC Cache-resources maken automatisch activiteitenlogboeken. Deze logboeken bevatten alle schrijfbewerkingen (PUT, POST, DELETE), maar bevatten geen leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

U kunt ook Microsoft Defender voor Cloud en Azure Policy gebruiken om Azure-resourcelogboeken in te schakelen voor HPC Cache en gegevens te verzamelen en te registreren. Deze logboeken kunnen essentieel zijn voor het later onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Verantwoordelijkheid: Gedeeld

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: HPC Cache biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De HPC Cache-service is afhankelijk van Microsoft-tijdsynchronisatiebronnen, die niet beschikbaar zijn voor klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken om beveiligde configuraties op alle rekenresources, waaronder VM's, containers en andere, vast te stellen.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: niet van toepassing; Microsoft voert beveiligingsproblemen uit op de onderliggende systemen die ondersteuning bieden voor HPC Cache.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Richtlijnen: Omdat Azure HPC Cache een cachingoplossing is en geen opslagsysteem, moet u ervoor zorgen dat er regelmatig een back-up van de gegevens in de opslagdoelen wordt gemaakt. Volg de standaardprocedures voor Azure Blob-containers en voor het maken van back-ups van on-premises opslagdoelen.

Als u onderbrekingen in het geval van een regionale storing wilt minimaliseren, kunt u stappen ondernemen om toegang tot gegevens in meerdere regio's te garanderen.

Elk Azure HPC Cache-exemplaar wordt uitgevoerd binnen een bepaald abonnement en in één regio. Dit betekent dat uw cachewerkstroom mogelijk kan worden onderbroken als de regio een volledige storing heeft. Om deze onderbreking te minimaliseren, moet de organisatie back-endopslag gebruiken die toegankelijk is vanuit meerdere regio's. Deze opslag kan een on-premises NAS-systeem zijn met de juiste DNS-ondersteuning of Azure Blob-opslag die zich in een andere regio dan de cache bevindt.

Naarmate uw werkstroom verdergaat in uw primaire regio, worden gegevens opgeslagen in de langetermijnopslag buiten de regio. Als de cacheregio niet meer beschikbaar is, kunt u een dubbel Azure HPC Cache-exemplaar maken in een secundaire regio, verbinding maken met dezelfde opslag en het werk vanuit de nieuwe cache hervatten.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: Zorg ervoor dat uw back-ups worden beschermd tegen aanvallen. Dit omvat versleuteling van de back-ups om te beschermen tegen verlies van vertrouwelijkheid.

Voor on-premises back-ups met behulp van Azure Backup wordt versleuteling-at-rest verstrekt met behulp van de wachtwoordzin die u opgeeft. Voor regelmatige back-ups van Azure-services worden back-upgegevens automatisch versleuteld met behulp van door het Azure-platform beheerde sleutels. U kunt ervoor kiezen om de back-up te versleutelen met door de klant beheerde sleutels. Zorg er in dit geval voor dat deze door de klant beheerde sleutel in de sleutelkluis zich ook in het back-upbereik bevindt.

Azure HPC Cache wordt ook beveiligd door VM-hostversleuteling op de beheerde schijven die uw gegevens in de cache bevatten, zelfs als u een klantsleutel voor de cacheschijven toevoegt. Het toevoegen van een door de klant beheerde sleutel voor dubbele versleuteling biedt een extra beveiligingsniveau voor klanten met hoge beveiligingsbehoeften. Lees versleuteling aan de serverzijde van Azure-schijfopslag voor meer informatie.

Gebruik op rollen gebaseerd toegangsbeheer in Azure Backup, Azure Key Vault of andere resources om back-ups en door de klant beheerde sleutels te beveiligen. Daarnaast kunt u geavanceerde beveiligingsfuncties inschakelen om meervoudige verificatie te vereisen voordat back-ups kunnen worden gewijzigd of verwijderd.

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om te voorkomen dat sleutels verloren gaan. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen