Azure-beveiligingsbasislijn voor Azure Lighthouse

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Lighthouse. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Lighthouse.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Lighthouse en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Lighthouse volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor de beveiligingsbasislijn van Azure Lighthouse.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: niet van toepassing; Azure Lighthouse stelt de onderliggende DNS-configuraties niet beschikbaar. Deze instellingen worden beheerd door Microsoft.

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Lighthouse gebruikt Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Met Azure Lighthouse hebben aangewezen gebruikers in een beherende tenant een ingebouwde Azure-rol waarmee ze toegang hebben tot gedelegeerde abonnementen en/of resourcegroepen in de tenant van een klant. Alle ingebouwde rollen worden momenteel ondersteund, met uitzondering van eigenaar of ingebouwde rollen met de machtiging DataActions. De rol Beheerder van gebruikerstoegang wordt alleen ondersteund voor beperkt gebruik bij het toewijzen van rollen aan beheerde identiteiten. Aangepaste rollen en klassieke abonnementsbeheerdersrollen worden niet ondersteund.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: door Azure beheerde identiteiten kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Verificatie wordt ingeschakeld via vooraf gedefinieerde toegangstoekenningen, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden. Met Azure Lighthouse kunnen gebruikers met de rol Gebruikerstoegangbeheerder in het abonnement van een klant een beheerde identiteit maken in de tenant van die klant. Hoewel deze rol doorgaans niet wordt ondersteund met Azure Lighthouse, kan deze worden gebruikt in dit specifieke scenario, zodat de gebruikers met deze machtiging een of meer specifieke ingebouwde rollen kunnen toewijzen aan beheerde identiteiten.

Voor services die geen beheerde identiteiten ondersteunen, gebruikt u Azure AD om in plaats daarvan een service-principal met beperkte machtigingen op resourceniveau te maken. Met Azure Lighthouse kunnen service-principals toegang krijgen tot klantbronnen op basis van de rollen die ze krijgen tijdens het onboardingproces. Het wordt aanbevolen om service-principals te configureren met certificaatreferenties en terug te vallen op clientgeheimen. In beide gevallen kan Azure Key Vault worden gebruikt in combinatie met door Azure beheerde identiteiten, zodat de runtime-omgeving (zoals een Azure-functie) de referentie uit de sleutelkluis kan ophalen.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: Beperk het aantal gebruikersaccounts met hoge bevoegdheden en beveilig deze accounts op een verhoogd niveau. Er is geen globale beheerdersaccount vereist om Azure Lighthouse in te schakelen en te gebruiken.

Voor toegang tot activiteitenlogboekgegevens op tenantniveau moet aan een account de ingebouwde Rol Bewakingslezer van Azure worden toegewezen op het hoofdbereik (/). Omdat de rol Controlelezer in het hoofdbereik een breed toegangsniveau is, raden we u aan deze rol toe te wijzen aan een service-principal-account in plaats van aan een afzonderlijke gebruiker of aan een groep. Deze toewijzing moet worden uitgevoerd door een gebruiker met de rol Globale beheerder met extra verhoogde toegang. Deze verhoogde toegang moet onmiddellijk worden toegevoegd voordat u de roltoewijzing maakt en vervolgens wordt verwijderd wanneer de toewijzing is voltooid.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Lighthouse maakt gebruik van Azure Active Directory-accounts (Azure AD) om de bijbehorende resources te beheren, controleer regelmatig gebruikersaccounts en toegangstoewijzing om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te bekijken. Azure AD rapportage kan logboeken bieden om verlopen accounts te detecteren. U kunt ook Azure AD Privileged Identity Management gebruiken om een werkstroom voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Klanten kunnen in de Azure Portal het toegangsniveau controleren dat aan gebruikers in de beheertenant wordt verleend via Azure Lighthouse. Ze kunnen deze toegang op elk gewenst moment verwijderen.

Daarnaast kan Azure Privileged Identity Management ook worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen als beheerders, ontwikkelaars en serviceoperators met vergaande bevoegdheden. Afhankelijk van uw vereisten kunt u zeer beveiligde gebruikerswerkstations en/of Azure Bastion gebruiken voor het uitvoeren van beheertaken met Azure Lighthouse in productieomgevingen. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen en beperkte logische en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Lighthouse is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze ingebouwde rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Er bestaan vooraf gedefinieerde, ingebouwde rollen voor bepaalde resources, en deze rollen kunnen worden geïnventariseerd of opgevraagd via tools zoals Azure CLI, Azure PowerShell en Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd. Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Azure Lighthouse biedt toegang tot gedelegeerde klantbronnen met behulp van ingebouwde Azure-rollen. In de meeste gevallen wilt u deze rollen toewijzen aan een groep of service-principal, in plaats van aan veel afzonderlijke gebruikersaccounts. Hiermee kunt u toegang voor afzonderlijke gebruikers toevoegen of verwijderen zonder dat u het plan hoeft bij te werken en opnieuw te publiceren wanneer uw toegangsvereisten veranderen.

Als u klantresources wilt delegeren aan een beheerde tenant, moet een implementatie worden uitgevoerd door een niet-gastaccount in de tenant van de klant met de ingebouwde rol Eigenaar voor het abonnement dat wordt onboarded (of die de resourcegroepen bevat die worden toegevoegd).

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Opmerking: Er zijn mogelijk extra machtigingen vereist om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: beveiligingsteams van klanten kunnen activiteitenlogboeken bekijken om activiteiten te bekijken die zijn genomen door serviceproviders die Gebruikmaken van Azure Lighthouse.

Als een serviceprovider het beveiligingsteam wil toestaan gedelegeerde klantbronnen te controleren, moeten de autorisaties van het beveiligingsteam de ingebouwde rol Lezer bevatten.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Via Azure Lighthouse kunt u de Azure-resources van uw klanten controleren op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen die analisten kunnen sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen in Microsoft Defender for Cloud, die is gebaseerd op het bewaken van telemetriegegevens van de Azure-service en het analyseren van servicelogboeken. Gegevens worden verzameld met behulp van de Log Analytics-agent, die verschillende beveiligingsconfiguraties en gebeurtenislogboeken van het systeem leest en de gegevens kopieert naar uw werkruimte voor analyse.

Daarnaast gebruikt u Microsoft Sentinel om analyseregels te bouwen, waarmee bedreigingen worden opgespoord die voldoen aan specifieke criteria in de omgeving van uw klant. De regels genereren incidenten wanneer de criteria overeenkomen, zodat u elk incident kunt onderzoeken. Microsoft Sentinel kan ook bedreigingsinformatie van derden importeren om de mogelijkheid tot detectie van bedreigingen te verbeteren.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Via Azure Lighthouse kunt u Microsoft Defender voor Cloud gebruiken om te waarschuwen voor bepaalde verdachte activiteiten in de tenants van de klant die u beheert, zoals een overmatig aantal mislukte verificatiepogingen en afgeschafte accounts in het abonnement.

Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmelden: het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.
  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.
  • Riskante aanmelding: een riskante aanmelding is een indicator voor een aanmeldingspoging die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van een gebruikersaccount is.
  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwen voor bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen, afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Deze mogelijkheid biedt inzicht in accountafwijkingen binnen de afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Azure Lighthouse-resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Met Azure Lighthouse kunt u Azure Monitor-logboeken op een schaalbare manier gebruiken voor de tenants die u beheert. Maak Log Analytics-werkruimten rechtstreeks in de tenants van de klant, zodat klantgegevens in hun tenants blijven in plaats van naar uw tenants te worden geëxporteerd. Dit biedt ook gecentraliseerde bewaking van resources of services die worden ondersteund door Log Analytics, zodat u meer flexibiliteit krijgt over welke typen gegevens u bewaakt.

Klanten die gedelegeerde abonnementen voor Azure Lighthouse hebben, kunnen azure-activiteitenlogboekgegevens bekijken om alle acties te bekijken die zijn uitgevoerd. Dit biedt klanten volledige inzicht in bewerkingen die serviceproviders uitvoeren, samen met bewerkingen die door gebruikers worden uitgevoerd binnen de eigen Azure Active Directory-tenant (Azure AD) van de klant.

Verantwoordelijkheid: Gedeeld

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden.

Met Azure Lighthouse kunt u Azure Monitor-logboeken op een schaalbare manier gebruiken voor de tenants die u beheert. Maak Log Analytics-werkruimten rechtstreeks in de tenants van de klant, zodat klantgegevens in hun tenants blijven in plaats van naar uw tenants te worden geëxporteerd. Dit biedt ook gecentraliseerde bewaking van resources of services die worden ondersteund door Log Analytics, zodat u meer flexibiliteit krijgt over welke typen gegevens u bewaakt.

Klanten die gedelegeerde abonnementen voor Azure Lighthouse hebben, kunnen azure-activiteitenlogboekgegevens bekijken om alle acties te bekijken die zijn uitgevoerd. Dit biedt klanten volledige inzicht in bewerkingen die serviceproviders uitvoeren, samen met bewerkingen die door gebruikers worden uitgevoerd binnen de eigen Azure Active Directory-tenant (Azure AD) van de klant.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Azure Lighthouse produceert momenteel geen beveiligingslogboeken. Klanten die activiteiten van serviceproviders willen bekijken, kunnen logboekretentie configureren volgens naleving, regelgeving en bedrijfsvereisten.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure Lighthouse biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Azure Lighthouse-service is afhankelijk van microsoft-tijdsynchronisatiebronnen en wordt niet blootgesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Azure Lighthouse ondersteunt de onderstaande servicespecifieke beleidsregels die beschikbaar zijn in Microsoft Defender for Cloud om configuraties van uw Azure-resources te controleren en af te dwingen. Dit kan worden geconfigureerd in Microsoft Defender for Cloud of Azure Policy initiatieven.

  • Toestaan dat tenant-id's worden beheerd via Azure Lighthouse

  • Bereikdelegering naar een beherende tenant controleren

U kunt Azure Blueprints gebruiken om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en -beleidsregels, in één blauwdrukdefinitie.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Azure Lighthouse ondersteunt de onderstaande servicespecifieke beleidsregels die beschikbaar zijn in Microsoft Defender for Cloud om configuraties van uw Azure-resources te controleren en af te dwingen. Dit kan worden geconfigureerd in Microsoft Defender for Cloud of Azure Policy initiatieven.

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Gebruik Microsoft Defender voor Cloud en Azure Policy om veilige configuraties op alle rekenresources tot stand te brengen, waaronder VM's, containers en andere.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Microsoft voert beveiligingsbeheer uit op de onderliggende systemen die Ondersteuning bieden voor Azure Lighthouse.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-1: Eindpuntdetectie en -respons gebruiken (EDR)

Richtlijnen: Azure Lighthouse implementeert geen klantgerichte rekenresources waarvoor EDR-beveiliging (Endpoint Detection and Response) is vereist. De onderliggende infrastructuur voor de Azure Lighthouse-service wordt verwerkt door Microsoft.

Verantwoordelijkheid: Microsoft

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Azure Lighthouse implementeert geen klantgerichte rekenresources die kunnen worden geconfigureerd met een antimalwareoplossing. De onderliggende infrastructuur voor de Azure Lighthouse-service wordt verwerkt door Microsoft, waaronder het beheren van geïnstalleerde antimalwaresoftware.

Verantwoordelijkheid: Microsoft

ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Azure Lighthouse implementeert geen klantgerichte rekenresources die kunnen worden geconfigureerd met een antimalwareoplossing. De onderliggende infrastructuur voor de Azure Lighthouse-service wordt verwerkt door Microsoft, waaronder het beheren van geïnstalleerde antimalwaresoftware.

Verantwoordelijkheid: Microsoft

Volgende stappen