Azure-beveiligingsbasislijn voor openbaar IP-adres van Azure

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op het openbare IP-adres van Azure. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op het openbare IP-adres van Azure.

Wanneer een functie relevante Azure Policy definities bevat die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op het openbare IP-adres van Azure of waarvoor de verantwoordelijkheid Microsoft is, zijn uitgesloten. Als u wilt zien hoe openbare IP-adressen van Azure volledig worden toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor openbare IP-beveiliging van Azure.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.10: Configuratieregels voor documentverkeer

Richtlijnen: Openbare IP-adressen van Azure kunnen tags worden toegewezen. Gebruik resourcetags voor netwerkbeveiligingsgroepen en andere resources met betrekking tot netwerkbeveiliging. Gebruik een van de ingebouwde Azure Policy definities die betrekking hebben op taggen, zoals 'Tag vereisen en de waarde ervan' om ervoor te zorgen dat alle resources worden gemaakt met tags en u op de hoogte te stellen van bestaande niet-gemarkeerde resources.

Azure PowerShell of Azure CLI kan worden gebruikt om acties op te zoeken of uit te voeren op resources op basis van hun tags.

• Tags maken en gebruiken

• Een Azure-Virtual Network maken

• Netwerkverkeer filteren met regels voor netwerkbeveiligingsgroepen

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Azure-activiteitenlogboek gebruiken om configuraties te controleren en wijzigingen in uw openbare IP-exemplaren te detecteren. Behalve op het besturingsvlak (bijvoorbeeld Azure Portal), genereert het openbare IP-adres zelf geen logboeken met betrekking tot netwerkverkeer.

Openbaar IP biedt hulpprogramma's voor het bewaken, diagnosticeren, weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor resources in een virtueel Azure-netwerk.

In plaats daarvan kunt u gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Microsoft Sentinel onboarden

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure-activiteitenlogboek gebruiken om configuraties te controleren en wijzigingen voor uw openbare IP-exemplaren te detecteren. Behalve op het besturingsvlak (bijvoorbeeld Azure Portal), genereert het openbare IP-adres zelf geen auditlogboeken. Openbaar IP biedt hulpprogramma's voor het bewaken, diagnosticeren, weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor resources in een virtueel Azure-netwerk.

• Azure-activiteitenlogboeken weergeven en ophalen

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Gebruik Azure Monitor om de bewaarperiode voor logboeken in te stellen voor de Log Analytics-werkruimten die zijn gekoppeld aan openbare IP-exemplaren volgens de nalevingsverplichtingen van uw organisatie.

• Logboekretentieparameters instellen

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Openbaar IP biedt hulpprogramma's voor het bewaken, diagnosticeren, weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor resources in een virtueel Azure-netwerk.

Gebruik Azure-activiteitenlogboek om configuraties te controleren en wijzigingen voor uw openbare IP-exemplaren te detecteren.

Openbare IP zelf genereert geen logboeken met betrekking tot netwerkverkeer anders dan op het besturingsvlak (bijvoorbeeld Azure Portal).

• Azure-activiteitenlogboeken weergeven en ophalen

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Configureer uw waarschuwingen op basis van activiteitenlogboeken met betrekking tot openbaar IP-adres. Gebruik Azure Monitor om een waarschuwing te configureren voor het verzenden van een e-mailmelding, het aanroepen van een webhook of het aanroepen van een logische Azure-app.

• Waarschuwingen beheren in Microsoft Defender voor Cloud

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheerdersaccounts onderhouden

Richtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot Azure-resources, zoals openbare IP-exemplaren, te beheren met roltoewijzingen. Wijs deze rollen toe aan gebruikers, groepen, service-principals en beheerde identiteiten.

Geïnventariseerd of vooraf gedefinieerde Ingebouwde Azure-rollen bestaan voor bepaalde resources via hulpprogramma's zoals Azure CLI, Azure PowerShell of de Azure Portal.

• Een directoryrol ophalen in Azure Active Directory (Azure AD) met PowerShell

• Leden van een directoryrol ophalen in Azure AD met PowerShell

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts.

Just-In-Time-toegang ingeschakeld met behulp van Azure Active Directory (Azure AD) Privileged Identity Management (PIM) en Azure Resource Manager.

• Meer informatie over Privileged Identity Management

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle toegang op basis van Azure Active Directory

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en microsoft Defender for Cloud Identity and Access Management-aanbevelingen volgen.

• Meervoudige verificatie inschakelen in Azure

• Identiteit en toegang bewaken in Microsoft Defender voor Cloud

Verantwoordelijkheid: Klant

3.6: Toegewezen machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Een PAW (Privileged Access Workstation) gebruiken met Azure AD Multi-Factor Authentication ingeschakeld om u aan te melden bij en te configureren van uw Microsoft Sentinel-gerelateerde resources.

• Privileged Access Workstations

• Planning van een cloudimplementatie van Azure AD Multi-Factor Authentication

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten van beheerdersaccounts

Richtlijnen: Azure Active Directory (Azure AD) Privileged Identity Management (PIM) gebruiken voor het genereren van logboeken en waarschuwingen wanneer verdachte of onveilige activiteiten plaatsvinden in de omgeving.

Controleer en actie Azure AD risicodetecties voor waarschuwingen en rapporten over riskant gebruikersgedrag.

• Privileged Identity Management (PIM) implementeren

• Inzicht in Azure AD risicodetecties

Verantwoordelijkheid: Klant

3.8: Azure-resources alleen beheren vanaf goedgekeurde locaties

Richtlijnen: Voorwaardelijke toegang benoemde locaties gebruiken om toegang tot de Azure Portal alleen vanuit specifieke logische groeperingen van IP-adresbereiken of landen/regio's toe te staan.

• Benoemde locaties configureren in Azure

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem. Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit. Azure AD ook zouten, hashes en slaat gebruikersreferenties veilig op.

• Een Azure AD-instantie maken en configureren

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: verouderde accounts detecteren met logboeken in Azure Active Directory (Azure AD).

Gebruik Azure Identity Access Reviews om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang kan regelmatig worden gecontroleerd om ervoor te zorgen dat gebruikers goedgekeurde en continue toegang hebben.

• Inzicht in Azure AD rapportage

• Azure Identity Access Reviews gebruiken

Verantwoordelijkheid: Klant

3.11: Pogingen controleren om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: Implementeer integratie met elk SIEM/bewakingsprogramma op basis van uw toegang tot aanmeldingsactiviteiten, audit- en risicologboekbronnen van Azure Active Directory (Azure AD). Stroomlijn dit proces door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en het verzenden van de auditlogboeken en aanmeldingslogboeken naar een Log Analytics-werkruimte. Configureer de gewenste waarschuwingen in de Log Analytics-werkruimte.

• Azure-activiteitenlogboeken integreren met Azure Monitor

Verantwoordelijkheid: Klant

3.12: Waarschuwing bij afwijking van aanmeldingsgedrag van account

Richtlijnen: Azure Active Directory -functies (Azure AD) Identity Protection gebruiken om geautomatiseerde antwoorden te configureren voor gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten. Gegevens opnemen in Microsoft Sentinel voor verder onderzoek naar wens en op basis van bedrijfsvereisten.

• Riskante Azure AD-aanmeldingen weergeven

• Risicobeleid voor Identiteitsbeveiliging configureren en inschakelen

• Microsoft Sentinel onboarden

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventory and Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle resources (zoals compute, opslag, netwerk, poorten en protocollen, enzovoort) binnen uw abonnementen. Zorg voor de juiste (lees)machtigingen in uw tenant en inventariseer alle Azure-abonnementen en resources binnen uw abonnementen.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt u ten zeerste aangeraden azure Resource Manager resources te maken en te gebruiken.

• Query's maken met Azure Resource Graph

• Uw Azure-abonnementen weergeven

• Inzicht in Azure RBAC

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

• Tags maken en gebruiken

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig tags, beheergroepen en afzonderlijke abonnementen om Azure-resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

Gebruik daarnaast Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

• Niet toegestane resourcetypen
• Toegestane brontypen

Raadpleeg de volgende bronnen voor meer informatie:

• Aanvullende Azure-abonnementen maken

• Beheergroepen maken

• Tags maken en gebruiken

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: gebruik Azure Policy om beperkingen in te stellen voor het type resources dat in uw abonnementen kan worden gemaakt.

Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd.

• Azure Policy configureren en beheren

• Query's maken met Azure Resource Graph

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

• Niet toegestane resourcetypen
• Toegestane brontypen

Raadpleeg de volgende bronnen voor meer informatie:

• Azure Policy configureren en beheren

• Een specifiek resourcetype weigeren met Azure Policy

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Configureer voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de App Microsoft Azure Management.

• Voorwaardelijke toegang configureren om de toegang tot Azure Resource Manager te blokkeren

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor openbaar IP-adres van Azure met Azure Policy. Gebruik Azure Policy aliassen in de naamruimte Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw openbare Azure-IP-exemplaren te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities.

• Azure Policy configureren en beheren

• Een aangepast beleid maken met beleidsaliassen

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaat] om beveiligde instellingen af te dwingen voor uw Azure-resources.

• Azure Policy configureren en beheren

• Inzicht in Azure Policy effecten

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Als u aangepaste Azure Policy definities gebruikt, gebruikt u Azure DevOps of Azure-opslagplaatsen om uw code veilig op te slaan en te beheren.

• Code opslaan in Azure DevOps

• Documentatie voor Azure-opslagplaatsen

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: Standaardbeveiligingsconfiguraties definiëren en implementeren voor openbaar IP-adres van Azure met Azure Policy. Gebruik Azure Policy aliassen in de naamruimte Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw openbare Azure-IP-exemplaren te controleren of af te dwingen.

• Azure Policy configureren en beheren

• Een aangepast beleid maken met beleidsaliassen

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik ingebouwde Azure Policy definities en Azure Policy aliassen in de naamruimte Microsoft.Network om aangepaste Azure Policy definities te maken om systeemconfiguraties te waarschuwen, controleren en af te dwingen. Gebruik Azure Policy [audit], [weigeren] en [implementeren indien niet aanwezig] om automatisch configuraties voor uw Azure-resources af te dwingen.

• Azure Policy configureren en beheren

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

• Werkstroomautomatisering configureren in Microsoft Defender voor Cloud

• Richtlijnen voor het bouwen van uw eigen proces voor het reageren op beveiligingsincidenten

• Anatomie van een incident van Microsoft Security Response Center

• Klanten kunnen ook de Computer Security Incident Handling Guide van NIST gebruiken om te helpen bij het maken van hun eigen plan voor incidentrespons

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer daarnaast duidelijk abonnementen (voor bijvoorbeeld productie, niet-prod) en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en te categoriseren.

• Beveiligingswaarschuwingen in Microsoft Defender voor Cloud

• Tags gebruiken om Azure-resources te organiseren

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen op regelmatige basis te testen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

• Raadpleeg de publicatie van NIST: Handleiding voor test-, trainings- en oefeningsprogramma's voor IT-plannen en -mogelijkheden

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

• De contactpersoon voor Microsoft Defender for Cloud Security instellen

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen van Microsoft Sentinel te streamen.

• Continue export configureren

• Waarschuwingen streamen naar Microsoft Sentinel

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en -aanbevelingen.

• Werkstroomautomatisering en Logic Apps configureren

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Regels voor het testen van Microsoft Cloud-penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

• Regels voor het inzetten van penetratietests

• Microsoft Cloud Red Teaming

Verantwoordelijkheid: Gedeeld

Volgende stappen

• Zie Overzicht Azure Security Benchmark V2
• Meer informatie over Azure-beveiligingsbasislijnen