Azure-beveiligingsbasislijn voor Azure Machine Learning

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Microsoft Azure Machine Learning. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Machine Learning.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Machine Learning en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Machine Learning volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor azure Machine Learning-beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Wanneer u Azure Machine Learning-resources implementeert, maakt of gebruikt u een bestaand virtueel netwerk. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Isoleer elk systeem dat een hoger risico voor de organisatie kan opleveren binnen een eigen virtueel netwerk. Beveilig het systeem voldoende met een netwerkbeveiligingsgroep (NSG) of Azure Firewall.

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Gebruik Azure ExpressRoute of vpn (Virtual Private Network) van Azure om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving.

ExpressRoute-verbindingen gaan niet via het openbare internet en bieden meer betrouwbaarheid, snellere snelheden en lagere latenties dan typische internetverbinding. Voor punt-naar-site- en site-naar-site-VPN kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk. Gebruik een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele Azure-netwerken wilt verbinden, gebruikt u peering voor virtuele netwerken. Verkeer tussen gekoppelde virtuele netwerken is privé en blijft op het Azure-backbonenetwerk.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.MachineLearningServices:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controleren, Weigeren, Uitgeschakeld 1.1.0

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: gebruik Azure Private Link om privétoegang tot Azure Machine Learning vanuit virtuele netwerken mogelijk te maken zonder internet te overschrijden. Privétoegang voegt een diepgaande meting toe aan Azure-verificatie en verkeersbeveiliging.

Azure Machine Learning biedt geen service-eindpunt.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.MachineLearningServices:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controleren, Weigeren, Uitgeschakeld 1.1.0

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Azure Machine Learning-resources beveiligen tegen aanvallen van externe netwerken. Aanvallen kunnen het volgende omvatten:

  • DDoS-aanvallen (Distributed Denial of Service)
  • Toepassingsspecifieke aanvallen
  • Ongevraagd en potentieel schadelijk internetverkeer

Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Beveilig assets tegen DDoS-aanvallen door DDoS Protection Standard in te schakelen in virtuele Azure-netwerken. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's in netwerkgerelateerde resources te detecteren.

Gebruik de mogelijkheden van Web Application Firewall (WAF) in Azure Application Gateway, Azure Front Door en Azure Content Delivery Network (CDN). Deze mogelijkheden beschermen uw toepassingen die worden uitgevoerd op Azure Machine Learning tegen aanvallen op toepassingslagen.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network-servicetags om besturingselementen voor netwerktoegang te definiëren voor Azure Machine Learning-resources in netwerkbeveiligingsgroepen of Azure Firewall. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Geef een servicetagnaam zoals 'azuremachinelearning' op in het juiste regelbron- of doelveld om verkeer voor de service toe te staan of te weigeren. Microsoft beheert de adresvoorvoegsels van de servicetag en werkt de servicetag automatisch bij wanneer de adressen veranderen.

Opmerking: de regionale tag 'azuremachinelearning' wordt momenteel niet ondersteund.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: volg de aanbevolen procedures voor DNS-configuraties voor Azure Machine Learning. Zie Uw werkruimte gebruiken met een aangepaste DNS-server voor meer informatie.

Volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals:

  • Zwevende DNS
  • DNS-versterkingsaanvallen
  • DNS-vergiftiging en adresvervalsing

Wanneer u Azure DNS als uw DNS-service gebruikt, moet u ervoor zorgen dat u DNS-zones en -records beveiligt tegen onbedoelde of schadelijke wijzigingen met behulp van Azure Role-Based Access Control (RBAC) en resourcevergrendelingen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Machine Learning gebruikt Azure AD als standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources. Resources zijn onder andere:

    • Azure Portal

    • Azure Storage

    • Virtuele Azure Linux- en Windows-machines

    • Azure Key Vault

    • Platform-as-a-Service (PaaS)

    • SaaS-toepassingen (Software-as-a-Service)

  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben voor de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore om u te helpen uw identiteitsbeveiligingspostuur te vergelijken met de aanbevelingen voor best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-accounts zich kunnen aanmelden bij hun toepassingen en resources.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Gebruik voor Azure Machine Learning Azure AD om een service-principal te maken met beperkte machtigingen op resourceniveau. Configureer service-principals met certificaatreferenties en val terug op clientgeheimen.

U kunt Azure Key Vault gebruiken met door Azure beheerde identiteiten, zodat een runtime-omgeving zoals Azure Functions referenties uit de sleutelkluis kan ophalen.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Machine Learning maakt gebruik van Azure AD identiteits- en toegangsbeheer voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Identiteiten omvatten zakelijke identiteiten zoals werknemers en externe identiteiten, zoals partners, leveranciers en leveranciers.

Azure AD biedt eenmalige aanmelding (SSO) voor het beheren en beveiligen van de toegang tot de on-premises en cloudgegevens en -resources van uw organisatie.

Verbind al uw gebruikers, toepassingen en apparaten met Azure AD. Azure AD biedt naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Met Azure Machine Learning kunnen klanten code of configuraties implementeren en uitvoeren of gegevens behouden die mogelijk identiteiten of geheimen bevatten. Gebruik Referentiescanner om deze referenties te detecteren in code, configuraties of gegevens. Referentiescanner moedigt het verplaatsen van gedetecteerde referenties aan om locaties zoals Azure Key Vault te beveiligen.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere geheimen in code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde Azure AD rollen zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers met deze twee rollen kunnen beheerdersrollen delegeren.

  • De globale beheerder of bedrijfsbeheerder heeft toegang tot alle Azure AD beheerfuncties en services die gebruikmaken van Azure AD identiteiten.

  • De beheerder van bevoorrechte rollen kan roltoewijzingen beheren in Azure AD en Azure AD Privileged Identity Management (PIM). Deze rol kan alle aspecten van PIM en beheereenheden beheren.

Beperk het aantal accounts of rollen met hoge bevoegdheden en beveilig deze accounts op verhoogd niveau. Zeer bevoegde gebruikers kunnen al uw Azure-resources direct of indirect lezen en wijzigen.

U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren voor verdachte of onveilige activiteiten in uw Azure AD organisatie.

Azure Machine Learning wordt geleverd met drie standaardrollen wanneer een nieuwe werkruimte wordt gemaakt. Maak standaard operationele procedures voor het gebruik van eigenaarsaccounts.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Machine Learning gebruikt Azure AD accounts om de resources te beheren. Controleer regelmatig gebruikersaccounts en toegangstoewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te bekijken.

Azure AD rapportage kan logboeken bieden om verlopen accounts te detecteren. U kunt ook werkstromen voor toegangsbeoordelingsrapport maken in Azure AD PIM om het beoordelingsproces te vereenvoudigen.

U kunt Azure AD PIM configureren om u te waarschuwen wanneer er te veel beheerdersaccounts zijn. PIM kan beheerdersaccounts identificeren die verouderd of onjuist zijn geconfigureerd.

Azure Machine Learning biedt ingebouwde rollen voor data scientist- en UX-servicegebruikers.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. Beheer deze gebruikers afzonderlijk.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerders, ontwikkelaars en kritieke serviceoperators. Gebruik zeer beveiligde gebruikerswerkstations en Azure Bastion voor beheertaken.

Gebruik Azure AD, Microsoft Defender ATP of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. U kunt beveiligde werkstations centraal beheren om een beveiligingsconfiguratie af te dwingen die het volgende omvat:

  • Strenge verificatie

  • Software- en hardwarebasislijnen

  • Beperkte logische en netwerktoegang

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-7: Volg het principe van minimale bevoegdheden van net genoeg beheer

Richtlijnen: Azure Machine Learning kan worden geïntegreerd met Azure RBAC om de resources te beheren. Met RBAC beheert u toegang tot Azure-resources via roltoewijzingen. U kunt rollen toewijzen aan gebruikers, groepen, service-principals en beheerde identiteiten. Bepaalde resources hebben vooraf gedefinieerde, ingebouwde rollen. U kunt deze rollen inventariseren of opvragen via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.

Beperk de bevoegdheden die u toewijst aan resources via Azure RBAC tot wat de rollen nodig hebben. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM. Controleer regelmatig rollen en toewijzingen.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en maak indien nodig alleen aangepaste rollen.

Azure Machine Learning biedt ingebouwde rollen voor data scientist- en UX-servicegebruikers.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: uw gevoelige gegevens detecteren, classificeren en labelen. Ontwerp de juiste besturingselementen voor de technologiesystemen van de organisatie om gevoelige informatie veilig op te slaan, te verwerken en te verzenden.

Gebruik Azure Information Protection (AIP) en het bijbehorende scanprogramma voor gevoelige informatie in Office-documenten. U kunt AIP gebruiken in Azure, Office 365, on-premises of op andere locaties.

U kunt Azure SQL Information Protection gebruiken om informatie te classificeren en labelen die zijn opgeslagen in Azure SQL Database.

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door toegang te beperken met Azure RBAC, netwerktoegangsbeheer en specifieke besturingselementen in Azure-services. Gebruik bijvoorbeeld versleuteling in SQL en andere databases.

Voor consistentie kunt u alle typen toegangsbeheer uitlijnen met uw bedrijfssegmentatiestrategie. Informeer uw strategie voor bedrijfssegmentatie op basis van de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Microsoft behandelt alle klantinhoud in het onderliggende door Microsoft beheerde platform als gevoelig. Microsoft beschermt tegen verlies en blootstelling van klantgegevens. Microsoft heeft standaard besturingselementen en mogelijkheden voor gegevensbeveiliging om ervoor te zorgen dat Azure-klantgegevens veilig blijven.

Verantwoordelijkheid: Klant

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Controleren op niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van ondernemingen. Controleer op afwijkende activiteiten, zoals grote of ongebruikelijke overdrachten, die kunnen duiden op niet-geautoriseerde gegevensexfiltratie.

Azure Storage ATP en Azure SQL ATP kunnen waarschuwingen ontvangen over afwijkende gegevensoverdrachten die kunnen duiden op onbevoegde overdrachten van gevoelige informatie.

AIP biedt bewakingsmogelijkheden voor geclassificeerde en gelabelde informatie.

Indien nodig voor DLP-naleving kunt u een DLP-oplossing op basis van een host gebruiken om detectie- en preventiecontroles af te dwingen en exfiltratie van gegevens te voorkomen.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen out-of-band-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen. Azure Machine Learning ondersteunt gegevensversleuteling tijdens overdracht met TLS (Transport Layer Security) v1.2.

Deze vereiste is optioneel voor verkeer op particuliere netwerken, maar is essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources TLS v1.2 of hoger kunnen gebruiken.

Voor extern beheer gebruikt u Secure Shell (SSH) voor Linux of RDP (Remote Desktop Protocol) en TLS voor Windows. Gebruik geen niet-versleuteld protocol. Schakel zwakke coderingen en verouderde SSL-, TLS- en SSH-versies en -protocollen uit.

Azure versleutelt standaard gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Microsoft

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, beveiligt Azure Machine Learning data-at-rest tegen out-of-band-aanvallen, zoals toegang tot onderliggende opslag, met behulp van versleuteling. Versleuteling zorgt ervoor dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u waar beschikbaar extra versleuteling in rust implementeren op Azure-resources. Azure beheert standaard uw versleutelingssleutels, maar bepaalde Azure-services bieden opties voor door de klant beheerde sleutels.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Voor waarschuwingen met betrekking tot dit besturingselement is mogelijk een Microsoft Defender-abonnement vereist voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.MachineLearningServices:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel Versleuteling in rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure-Key Vault sleutel die door u is gemaakt en eigendom is. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie vindt u op https://aka.ms/azureml-workspaces-cmk. Controleren, Weigeren, Uitgeschakeld 1.0.3

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Bewaking van beveiligingsrisico's kan de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team, afhankelijk van hoe u verantwoordelijkheden structureert. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op de hoofdbeheergroep van een tenant of machtigingen voor specifieke beheergroepen of abonnementen.

Opmerking: voor zichtbaarheid van workloads en services zijn mogelijk meer machtigingen vereist.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam- en waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op virtuele machines (VM's) te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Voor toegang tot installatiedatums en andere informatie schakelt u diagnostische gegevens op gastniveau in en importeert u de Windows-gebeurtenislogboeken in een Log Analytics-werkruimte.

Gebruik Microsoft Defender voor Cloud Adaptive Application Controls om op te geven op welke bestandstypen een regel van toepassing is.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources in abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken om waarschuwingen te activeren wanneer ze een niet-goedgekeurde service detecteren.

Verantwoordelijkheid: Klant

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Richtlijnen: Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over alle software op VM's te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Voor toegang tot installatiedatums en andere informatie schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen van Microsoft Defender for Cloud. Schakel Microsoft Defender in voor uw Azure Machine Learning-resources. Microsoft Defender voor Azure Machine Learning biedt een extra laag beveiligingsinformatie. Microsoft Defender detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van uw Azure Machine Learning-resources.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD bevat de volgende gebruikerslogboeken. U kunt de logboeken bekijken in Azure AD rapportage. U kunt de logboeken integreren met Azure Monitor, Microsoft Sentinel of andere SIEM- en bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse.

  • Aanmeldingen: informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken: traceerbaarheid via logboeken voor alle wijzigingen die zijn aangebracht door verschillende Azure AD functies. Auditlogboeken bevatten wijzigingen die zijn aangebracht in elke resource binnen Azure AD. Wijzigingen zijn onder andere het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.

  • Riskante aanmeldingen: een indicator voor aanmeldingspogingen door iemand die mogelijk niet de legitieme eigenaar van een gebruikersaccount is.

  • Gebruikers die risico lopen: een indicator voor een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan u ook waarschuwen over bepaalde verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen. Afgeschafte accounts in het abonnement kunnen ook waarschuwingen activeren.

Microsoft Defender voor Cloud kan u ook waarschuwen over verdachte activiteiten, zoals een overmatig aantal mislukte verificatiepogingen of over afgeschafte accounts.

Naast eenvoudige beveiligingscontroles kan de module Threat Protection van Microsoft Defender voor Cloud uitgebreidere beveiligingswaarschuwingen verzamelen van:

  • Afzonderlijke Azure-rekenresources, zoals VM's, containers en App Service

  • Gegevensbronnen zoals Azure SQL Database en Azure Storage

  • Azure-servicelagen

Met deze mogelijkheid krijgt u inzicht in accountafwijkingen in afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: NSG-resourcelogboeken (Netwerkbeveiligingsgroep), NSG-stroomlogboeken, Azure Firewall-logboeken en Web Application Firewall waf-logboeken (WAF) inschakelen en verzamelen voor beveiligingsanalyse. Logboeken ondersteunen incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en Traffic Analytics gebruiken om inzichten te bieden.

Zorg ervoor dat u DNS-querylogboeken verzamelt om andere netwerkgegevens te correleren. U kunt een externe DNS-logboekregistratieoplossing implementeren vanuit Azure Marketplace naar behoefte van uw organisatie.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken zijn automatisch beschikbaar. De logboeken bevatten alle PUT-, POST- en DELETE-bewerkingen, maar niet GET, bewerkingen voor uw Azure Machine Learning-resources. U kunt activiteitenlogboeken gebruiken om fouten te vinden bij het oplossen van problemen of om te controleren hoe gebruikers in uw organisatie resources hebben gewijzigd.

Schakel Azure-resourcelogboeken in voor Azure Machine Learning. U kunt Microsoft Defender voor Cloud en Azure Policy gebruiken om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Azure Machine Learning produceert ook beveiligingscontrolelogboeken voor de lokale beheerdersaccounts. Schakel deze lokale auditlogboeken voor beheerders in. Configureer de logboeken die moeten worden verzonden naar een centrale Log Analytics-werkruimte of -opslagaccount voor langetermijnretentie en -controle.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Centraliseer opslag en analyse van logboekregistratie om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron het volgende hebt:

  • Een toegewezen gegevenseigenaar
  • Toegangsrichtlijnen
  • Opslaglocatie
  • Welke hulpprogramma's u gebruikt om de gegevens te verwerken en te openen
  • Vereisten voor gegevensretentie

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie.

Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die eindpuntapparaten, netwerkresources en andere beveiligingssystemen genereren. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren.

Gebruik Azure Storage-accounts voor langetermijn- en archiveringsopslag.

Gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. Veel organisaties gebruiken Microsoft Sentinel voor 'dynamische' gegevens die ze vaak gebruiken en Azure Storage voor 'koude' gegevens die ze minder vaak gebruiken.

Voor toepassingen die worden uitgevoerd op Azure Machine Learning, stuurt u alle beveiligingslogboeken door naar uw SIEM voor gecentraliseerd beheer.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: zorg ervoor dat voor alle opslagaccounts of Log Analytics-werkruimten die u gebruikt voor het opslaan van Azure Machine Learning-logboeken logboekretentieperioden zijn ingesteld volgens de nalevingsregels van uw organisatie.

In Azure Monitor kunt u de bewaarperiode van uw Log Analytics-werkruimte instellen op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-, Azure Data Lake- of Log Analytics-werkruimteaccounts voor langetermijn- en archiveringsopslag.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure Machine Learning biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Azure Machine Learning-service is afhankelijk van Microsoft-tijdsynchronisatiebronnen die niet beschikbaar zijn voor klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Azure Machine Learning ondersteunt servicespecifieke beleidsregels die beschikbaar zijn in Microsoft Defender for Cloud om Azure-resourceconfiguraties te controleren en af te dwingen. U kunt het beleid configureren in Microsoft Defender for Cloud of Azure Policy.

Gebruik Azure Blueprints om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren. Eén blauwdrukdefinitie kan Azure Resource Manager-sjablonen, RBAC-besturingselementen en beleidsregels bevatten.

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Defender voor Cloud gebruiken om uw configuratiebasislijn te bewaken. Gebruik Azure Policy [weigeren] en [implementeren indien niet aanwezig] om veilige configuratie af te dwingen voor Azure-rekenresources, waaronder VM's en containers.

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Azure Machine Learning biedt verschillende ondersteuning voor verschillende rekenresources, waaronder uw eigen rekenresources. Voor rekenresources waarvan uw organisatie eigenaar is, gebruikt u aanbevelingen voor Microsoft Defender for Cloud om beveiligingsconfiguraties te onderhouden. U kunt ook aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem in te stellen die uw organisatie nodig heeft.

Gebruik Microsoft Defender voor Cloud en Azure Policy om beveiligde configuraties op alle rekenresources tot stand te brengen, inclusief VM's en containers.

Verantwoordelijkheid: Klant

PV-4: Veilige configuraties ondersteunen voor rekenresources

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken om regelmatig configuratierisico's op Azure-rekenresources te beoordelen en op te lossen, met inbegrip van VM's en containers. U kunt ook Arm-sjablonen (Azure Resource Manager), aangepaste installatiekopieën van besturingssystemen of Azure Automation statusconfiguratie gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden die uw organisatie nodig heeft.

Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen voldoen aan beveiligingsvereisten en deze te onderhouden.
Microsoft beheert en onderhoudt de VM-installatiekopieën die ze publiceren op Azure Marketplace.

Microsoft Defender voor Cloud kan beveiligingsproblemen in containerinstallatiekopieën scannen en uw Docker-containerconfiguraties continu bewaken met CIS Docker-benchmarks. U kunt de pagina Aanbevelingen voor Microsoft Defender voor Cloud gebruiken om aanbevelingen te bekijken en problemen op te lossen.

Verantwoordelijkheid: Klant

PV-5: Aangepast besturingssysteem en containerinstallatiekopieën veilig opslaan

Richtlijnen: Met Azure Machine Learning kunnen klanten containerinstallatiekopieën beheren. Gebruik Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën. Gebruik een Azure-Shared Image Gallery om uw installatiekopieën te delen met verschillende gebruikers, service-principals of Azure AD groepen in uw organisatie. Sla containerinstallatiekopieën op in Azure Container Registry en gebruik RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Azure Machine Learning staat service-implementatie toe via containerregisters in de omgeving.

Volg de aanbevelingen van Microsoft Defender voor Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen in uw containerinstallatiekopieën. Microsoft Defender voor Cloud heeft een ingebouwde scanner voor beveiligingsproblemen voor containerinstallatiekopieën.

Scanresultaten exporteren met consistente intervallen indien nodig. Vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn opgelost. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die worden voorgesteld door Microsoft Defender voor Cloud, kunt u in de portal van de geselecteerde oplossing draaien om historische scangegevens weer te geven.

Azure Machine Learning kan een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en webtoepassingen. Wanneer u externe scans uitvoert, gebruikt u geen enkel, eeuwigdurend, beheerdersaccount. Overweeg om de JIT-inrichtingsmethodologie voor het scanaccount te implementeren. Beveilig en bewaak referenties voor het scanaccount en gebruik het account alleen voor scannen op beveiligingsproblemen.

Verantwoordelijkheid: Klant

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Azure Machine Learning maakt gebruik van opensource-software als onderdeel van de Azure Machine Learning-service.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of System Center Updates Publisher voor Configuration Manager.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer indien nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid. Gebruik de Red Teaming-strategie en uitvoering van Microsoft. Live sitepenetratietests uitvoeren op basis van door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-1: Eindpuntdetectie en -respons gebruiken (EDR)

Richtlijnen: EDR-mogelijkheden (Endpoint Detection and Response) inschakelen voor servers en clients. Integreren met SIEM- en beveiligingsprocessen.

Microsoft Defender Advanced Threat Protection biedt EDR-functionaliteit als onderdeel van een enterprise-eindpuntbeveiligingsplatform om geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren.

Verantwoordelijkheid: Klant

ES-2: Centraal beheerde, moderne antimalwaresoftware gebruiken

Richtlijnen: Bescherm uw Azure Machine Learning en de bijbehorende resources met centraal beheerde, moderne antimalwaresoftware. Gebruik een centraal beheerde antimalwareoplossing voor eindpunten die realtime en periodiek kan scannen.

  • Microsoft Antimalware voor Azure Cloud Services is de standaard antimalwareoplossing voor Windows-VM's.

  • Gebruik voor Linux-VM's een antimalwareoplossing van derden.

  • Gebruik Microsoft Defender for Cloud Threat Detection voor gegevensservices om malware te detecteren die is geüpload naar Azure Storage-accounts.

  • Gebruik Microsoft Defender for Cloud om het volgende automatisch te doen:

    • Verschillende populaire antimalwareoplossingen voor uw VM's identificeren

    • Status van actieve eindpuntbeveiliging rapporteren

    • Aanbevelingen doen

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

ES-3: Zorg ervoor dat u antimalwaresoftware en handtekeningen bijwerkt

Richtlijnen: Zorg ervoor dat u snel en consistent antimalwarehandtekeningen bijwerkt.

Volg de aanbevelingen in Microsoft Defender for Cloud Compute & Apps om ervoor te zorgen dat alle VM's en containers up-to-date zijn met de nieuwste handtekeningen.

Voor Windows installeert Microsoft Antimalware automatisch de meest recente handtekeningen en engine-updates. Gebruik voor Linux antimalwareoplossing van derden.

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorg ervoor dat u regelmatig geautomatiseerde back-ups uitvoert

Richtlijnen: Zorg ervoor dat u een back-up maakt van systemen en gegevens om bedrijfscontinuïteit te behouden na een onverwachte gebeurtenis. Gebruik richtlijnen voor hersteltijddoelstelling (RTO) en RPO's (Recovery Point Objective).

Schakel Azure Backup in. Configureer de back-upbronnen, zoals virtuele Azure-machines, SQL Server, HANA-databases of bestandsshares. Configureer de gewenste frequentie en bewaarperiode.

Schakel voor hogere redundantie geografisch redundante opslagopties in om back-upgegevens te repliceren naar een secundaire regio en te herstellen met behulp van herstel tussen regio's.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: Zorg ervoor dat u uw back-ups beveiligt tegen aanvallen. Back-upbeveiliging moet versleuteling bevatten om bescherming te bieden tegen verlies van vertrouwelijkheid.

On-premises back-up met behulp van Azure Backup biedt versleuteling-at-rest met behulp van de wachtwoordzin die u opgeeft. Regelmatige back-ups van Azure-services versleutelen automatisch back-upgegevens met behulp van door het Azure-platform beheerde sleutels. U kunt ervoor kiezen om de back-up te versleutelen met behulp van een door de klant beheerde sleutel. Zorg er in dit geval voor dat deze door de klant beheerde sleutel in de sleutelkluis zich ook in het back-upbereik bevindt.

Gebruik RBAC in Azure Backup, Azure Key Vault en andere resources om back-ups en door de klant beheerde sleutels te beveiligen. U kunt ook geavanceerde beveiligingsfuncties inschakelen om MFA te vereisen voordat back-ups kunnen worden gewijzigd of verwijderd.

Verantwoordelijkheid: Klant

BR-3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: voer periodiek gegevensherstel van uw back-ups uit en zorg ervoor dat u back-ups van door de klant beheerde sleutels kunt herstellen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat u maatregelen hebt om te voorkomen dat sleutels verloren gaan. Schakel voorlopig verwijderen en bescherming tegen opschonen in Azure Key Vault in om sleutels te beschermen tegen onbedoelde of kwaadwillige verwijdering.

Verantwoordelijkheid: Klant

Volgende stappen