Azure-beveiligingsbasislijn voor Azure Policy

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Policy. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de nalevingsdomeinen en beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Policy.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Policy en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Zie het volledige Azure Policy toewijzingsbestand voor beveiligingsbasislijnen om te zien hoe Azure Policy volledig is toegewezen aan de Azure Security Benchmark.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Azure Policy de onderliggende DNS-configuraties niet beschikbaar maakt, worden deze instellingen onderhouden door Microsoft.

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Policy maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.- De resources van uw organisatie, zoals toepassingen in Azure of uw bedrijfsnetwerkresources. Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen beoordelen in hoeverre uw identiteitsbeveiliging voldoet aan de aanbevelingen op basis van best practices van Microsoft. Gebruik de score om te meten hoe nauw uw configuratie overeenkomt met aanbevolen aanbevelingen en om verbeteringen aan te brengen in uw beveiligingspostuur. Opmerking: Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

  • Tenancy in Azure Active Directory

  • Een Azure AD-instantie maken en configureren

  • Externe ID-providers voor een toepassing gebruiken

  • Wat is de id-beveiligingsscore in Azure Active Directory?

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Azure Policy gebruikmaakt van door Azure beheerde identiteiten voor niet-menselijke accounts, zoals services of automatisering, en het wordt aanbevolen om de door Azure beheerde identiteitsfunctie te gebruiken in plaats van een krachtiger menselijk account te maken om toegang te krijgen tot of uw resources uit te voeren. Azure Policy kan systeemeigen worden geverifieerd bij de Azure-services/-resources die ondersteuning bieden voor Azure AD verificatie via een vooraf gedefinieerde toegangstoekenningsregel zonder referenties te gebruiken die zijn vastgelegd in broncode of configuratiebestanden. Azure Policy maakt een beheerde identiteit voor herstelgebaseerde beleidstoewijzingen. Als de toewijzing wordt gemaakt in de portal, verleent Azure Policy de rollen in de beleidsdefinitie aan de beheerde identiteit. Als de toewijzing wordt gemaakt via SDK, is de klant verantwoordelijk voor het verlenen van de vereiste rollen aan de beheerde identiteit.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Policy azure Active Directory (Azure AD) gebruikt om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat ondernemingsidentiteiten zoals werknemers, maar ook externe identiteiten, zoals partners, verkopers en leveranciers. Azure AD maakt eenmalige aanmelding (SSO) mogelijk om de Azure Policy-service te beheren via de Azure Portal met behulp van gesynchroniseerde zakelijke Active Directory-identiteiten. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze, veilige toegang en meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Azure Policy definities kunnen gevoelige informatie of geheimen bevatten. Het wordt aanbevolen om te controleren op referenties

of geheimen in de JSON-definities.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol, omdat gebruikers die zijn toegewezen aan deze twee rollen beheerdersrollen kunnen delegeren:

  • Globale beheerder/bedrijfsbeheerder: gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD, evenals services die gebruikmaken van Azure AD identiteiten.- Beheerder met bevoorrechte rol: gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD, evenals binnen Azure AD Privileged Identity Management (PIM). Daarnaast biedt deze rol het beheer van alle aspecten van PIM en administratieve eenheden. Opmerking: Mogelijk hebt u andere kritieke rollen die moeten worden beheerd als u aangepaste rollen gebruikt met bepaalde machtigingen met bevoegdheden die zijn toegewezen. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsassets. U moet het aantal accounts of rollen met hoge bevoegdheden beperken en deze accounts beveiligen op verhoogd niveau. Gebruikers met deze bevoegdheid kunnen elke resource in uw Azure-omgeving direct of indirect lezen en wijzigen. U kunt Just-In-Time (JIT) bevoegde toegang tot Azure-resources inschakelen en Azure AD met behulp van Azure AD PIM. JIT verleent gebruikers alleen tijdelijke machtigingen voor het uitvoeren van bevoegde taken op het moment dat ze deze nodig hebben. PIM kan ook beveiligingswaarschuwingen genereren wanneer er verdachte of onveilige activiteiten worden vastgesteld in uw Azure AD-organisatie.

  • Machtigingen voor beheerdersrollen in Azure AD

  • Beveiligingswaarschuwingen van Azure Privileged Identity Management gebruiken

  • Bevoegde toegang beveiligen voor hybride implementaties en cloudimplementaties in Azure AD

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Policy azure Active Directory-accounts (Azure AD) gebruikt om de resources te beheren, gebruikersaccounts te controleren en regelmatig toegang te krijgen tot toewijzingen om ervoor te zorgen dat de accounts en hun toegang geldig zijn. U kunt Azure AD en toegangsbeoordelingen gebruiken om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. U kunt ook Azure AD Privileged Identity Management (PIM) gebruiken om werkstromen voor toegangsbeoordelingsrapport te maken om het beoordelingsproces te vergemakkelijken.

Daarnaast kan Azure AD PIM ook worden geconfigureerd om u te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd. Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerder, ontwikkelaar en kritieke serviceoperator. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en/of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. De beveiligde werkstations kunnen centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, en beperkte logische en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Policy is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten. Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources en deze rollen kunnen worden geïnventariseerd of opgevraagd via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal. De bevoegdheden die u via Azure RBAC toewijst aan resources, moeten altijd beperkt zijn tot wat vereist is voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD Privileged Identity Management (PIM) en moet periodiek worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Azure Policy ondersteunt gegevensversleuteling tijdens overdracht met TLS v1.2 of hoger. Azure biedt standaard versleuteling voor gegevens die onderweg zijn tussen Azure-datacenters.

Verantwoordelijkheid: Microsoft

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.GuestConfiguration:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het cryptografische protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen. AuditIfNotExists, uitgeschakeld 3.0.0

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Standaard versleutelt Microsoft servicegegevens-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Zorg ervoor dat beveiligingsteams toegang hebben tot een continu bijgewerkte inventaris van assets in Azure, zoals Azure Policy. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren en als invoer voor continue beveiligingsverbeteringen. Maak een Azure Active Directory-groep (Azure AD) die het geautoriseerde beveiligingsteam van uw organisatie bevat en wijs ze leestoegang toe aan alle Azure Policy resources, die kunnen worden vereenvoudigd door één roltoewijzing op hoog niveau binnen uw abonnement of een beheergroep.

Azure Policy gebruikt geen tags of staat klanten toe tags toe te passen of te gebruiken voor resources als metagegevens om ze logisch te ordenen in een taxonomie.

Azure Policy ondersteunt resource-implementaties op basis van Resource Manager met het effect DeployIfNotExists. Het biedt ook ondersteuning voor Azure Resource Graph-query's en wordt ondersteund door aangepaste tabellen.

Azure Policy staat het uitvoeren van een toepassing of de installatie van software op de bijbehorende resources niet toe. Beschrijf eventuele andere functies in uw aanbieding die deze functionaliteit toestaat of ondersteunt, indien van toepassing.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Azure Policy biedt geen systeemeigen mogelijkheden om beveiligingsrisico's met betrekking tot de bijbehorende resources te bewaken.

Stuur logboeken van Azure Policy door naar uw SIEM, die kunnen worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets bewaakt voor mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen voor analisten om door te sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken, die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerdere gebruiksscenario's voor bewaking en analyse:

  • Aanmeldingen: het rapport voor aanmeldingsactiviteit bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers

  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van auditlogboeken zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleid.

  • Riskante aanmeldingen - Een riskante aanmelding is een indicator van een aanmeldingspoging die mogelijk is uitgevoerd door iemand die geen rechtmatige eigenaar van een gebruikersaccount is.

  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u inzicht krijgen in accountafwijkingen binnen afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch beschikbaar zijn, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Azure Policy-resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure Policy produceert momenteel geen Azure-resourcelogboeken.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Centraliseer opslag en analyse van logboekregistratie om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. Gebruik in Azure Monitor Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn- en archiveringsopslag. Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Zorg ervoor dat opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van Azure Policy logboeken de bewaarperiode voor logboeken hebben ingesteld volgens de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure Policy biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen.

Azure Policy service is afhankelijk van microsoft-tijdsynchronisatiebronnen en wordt niet voor configuratie aan klanten blootgesteld.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost.

Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Klant

Volgende stappen