Azure-beveiligingsbasislijn voor Service Bus

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Service Bus. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Service Bus.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het Microsoft Defender for Cloud-dashboard.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Service Bus en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Service Bus volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van de Service Bus-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Microsoft Azure Service Bus biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. U kunt bepaalde netwerkfuncties niet toepassen met de resources van het aanbod, zoals:

  • Netwerkbeveiligingsgroepen (NSG's).
  • Routetabellen.
  • Andere netwerkafhankelijke apparaten, zoals een Azure Firewall.

Gebruik Microsoft Sentinel om het gebruik van verouderde onveilige protocollen te detecteren, zoals:

  • Secure Sockets Layer (SSL) en TLS-versie 1 (Transport Layer Security) (TLSv1).
  • Server Message Block (SMB) versie 1 (SMBv1).
  • LAN Manager (LM) en NT LAN Manager (NTLM) versie 1 (NTLMv1).
  • wDigest.
  • Niet-ondertekende LDAP-bindingen (Lightweight Directory Access Protocol).
  • Zwakke coderingen in Kerberos.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Microsoft

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Met behulp van Azure Private Link kunt u privétoegang tot Service Bus vanuit uw virtuele netwerken inschakelen zonder internet te overschrijden.

Privétoegang is een andere diepgaande meting voor de verificatie en verkeersbeveiliging die Azure-services bieden.

Met service-eindpunten voor virtuele Netwerken van Azure kunt u beveiligde toegang bieden tot Service Bus. De toegang verloopt via een geoptimaliseerde route via het Backbone-netwerk van Azure zonder internet te overschrijden.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Met servicetags voor virtuele Azure-netwerken definieert u NSG's of Azure Firewall de netwerktoegangsbeheeropties die zijn geconfigureerd voor uw Service Bus-resources. Wanneer u beveiligingsregels maakt, gebruikt u servicetags in plaats van specifieke IP-adressen. Door de naam van de servicetag op te geven in het bron- of doelveld van de juiste regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die de servicetag omvat. De servicetag wordt automatisch bijgewerkt als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals:

  • Dangling DNS
  • DNS-amplifications-aanvallen
  • DNS-vergiftiging en spoofing

Wilt u Azure DNS gebruiken als gezaghebbende DNS-service? Beveilig vervolgens DNS-zones en -records tegen onbedoelde of schadelijke aanpassingen met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) en resourcevergrendelingen.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Service Bus maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals:

    • Azure Portal
    • Azure Storage
    • Virtuele Azure-machine (Linux en Windows)
    • Azure Key Vault
    • Platform as a service (PaaS)
    • SaaS-toepassingen (Software as a Service)
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Beveilig Azure AD een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Om u te helpen de identiteitsbeveiligingspostuur te beoordelen op basis van aanbevelingen voor best practices van Microsoft, biedt Azure AD een identiteitsbeveiligingsscore. Gebruik de score om te meten hoe nauw uw configuratie overeenkomt met aanbevelingen voor aanbevolen procedures. Vervolgens maakt u verbeteringen in uw beveiligingspostuur.

Opmerking: Azure AD ondersteunt externe identiteiten. Gebruikers zonder Een Microsoft-account kunnen zich aanmelden bij hun toepassingen en resources met hun externe identiteit.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Service Bus ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Service Bus in plaats van service-principals te maken voor toegang tot andere resources. Service Bus kan systeemeigen worden geverifieerd bij de Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. Het wordt geverifieerd via een vooraf gedefinieerde toegangstoekenningsregel zonder referenties te gebruiken die zijn vastgelegd in de broncode of configuratiebestanden.

Wilt u service-principals configureren met certificaatreferenties en terugvallen op clientgeheimen? Gebruik vervolgens Azure AD om een service-principal te maken met beperkte machtigingen op resourceniveau. In beide gevallen kunt u Key Vault gebruiken met door Azure beheerde identiteiten. De runtime-omgeving (zoals een Azure-functie) kan vervolgens de referentie ophalen uit de sleutelkluis.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Service Bus gebruikt Azure AD om identiteits- en toegangsbeheer te bieden voor:

  • Azure-resources
  • Cloudtoepassingen
  • On-premises toepassingen

Dit beheer is van toepassing op bedrijfsidentiteiten, zoals werknemers. Het is ook van toepassing op externe identiteiten, waaronder:

  • Partners
  • Leveranciers
  • Leveranciers

Met identiteits- en toegangsbeheer kan eenmalige aanmelding (SSO) de toegang tot de gegevens en resources van uw organisatie beheren en beveiligen. SSO-beheer vindt plaats on-premises en in de cloud. Voor naadloze, veilige toegang en meer zichtbaarheid en controle maakt u verbinding met Azure AD al uw:

  • Gebruikers
  • Toepassingen
  • Apparaten

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: niet van toepassing; Service Bus gebruikt geen beheerdersaccounts.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Om ervoor te zorgen dat de gebruikersaccounts en hun toegang geldig zijn, gebruikt Service Bus Azure AD accounts om:

  • Beheer de resources.
  • Controleer gebruikersaccounts.
  • Toegangstoewijzingen.

Gebruik Azure AD en toegangsbeoordelingen om het volgende te controleren:

  • Groepslidmaatschappen
  • Toegang tot bedrijfstoepassingen
  • Roltoewijzingen

Azure AD rapportage kan logboeken bieden om verlopen accounts te detecteren. Om het beoordelingsproces te ondersteunen, gebruikt u ook Azure AD Privileged Identity Management (PIM) om werkstromen voor toegangsbeoordelingsrapport te maken.

U kunt ook Azure AD PIM configureren voor:

  • Waarschuw u wanneer er een overmatig aantal beheerdersaccounts wordt gemaakt.
  • Identificeer beheerdersaccounts die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. Beheer deze gebruikers afzonderlijk.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals:

  • Beheerder
  • Ontwikkelaar
  • Kritieke serviceoperator

Gebruik zeer beveiligde gebruikerswerkstations of Azure Bastion voor beheertaken. Als u een beveiligd en beheerd gebruikerswerkstation wilt implementeren, gebruikt u een of meer van:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

U kunt de beveiligde werkstations centraal beheren om beveiligde configuratie af te dwingen, waaronder:

  • Strenge verificatie
  • Software- en hardwarebasislijnen
  • Beperkte logische en netwerktoegang

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Service Bus is geïntegreerd met Azure RBAC om de resources te beheren. Met Azure RBAC kunt u toegang tot Azure-resources beheren via roltoewijzingen. Wijs deze rollen toe aan:

  • Gebruikers
  • Groepen
  • Service-principals
  • Beheerde identiteiten

Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources. Inventariseer of voer query's uit op deze rollen via hulpprogramma's, zoals:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Beperk altijd de bevoegdheden die u toewijst aan resources via Azure RBAC aan wat de rollen vereisen. Deze praktijk is een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM en moet regelmatig worden gecontroleerd.

Gebruik ingebouwde rollen om machtigingen te verlenen. Maak alleen aangepaste rollen wanneer dat nodig is.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-3: Controleren of er niet-geautoriseerde overdrachten van gevoelige gegevens hebben plaatsgevonden

Richtlijnen: Controleren op niet-geautoriseerde overdracht van gegevens naar locaties die zich buiten de zichtbaarheid en controle van ondernemingen bevinden. Deze praktijk omvat doorgaans bewaking voor afwijkende activiteiten (grote of ongebruikelijke overdrachten), wat kan duiden op niet-geautoriseerde gegevensexfiltratie.

Microsoft Defender voor Storage en Microsoft Defender voor SQL kunnen waarschuwen over een afwijkende overdracht van gegevens, wat kan duiden op niet-geautoriseerde overdrachten van gevoelige informatie.

Azure Information Protection biedt bewakingsmogelijkheden voor informatie die is geclassificeerd en gelabeld.

Gebruik indien nodig voor naleving van preventie van gegevensverlies (DLP) een DLP-oplossing op basis van een host. Deze oplossing dwingt rechercheur- of preventieve controles af om gegevensexfiltratie te voorkomen.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Service Bus data-at-rest. Deze procedure beschermt tegen 'out-of-band'-aanvallen die gebruikmaken van versleuteling, zoals toegang tot de onderliggende opslag. Vervolgens kunnen aanvallers de gegevens niet gemakkelijk lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u extra versleuteling-at-rest implementeren op alle Azure-resources waar beschikbaar. Voor bepaalde Azure-services om te voldoen aan wettelijke vereisten, beheert Azure uw versleutelingssleutels standaard. Maar Azure biedt ook opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels).

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: ververleent uw beveiligingsteams machtigingen voor beveiligingslezers in uw Azure-tenant en -abonnementen. Vervolgens kunnen uw teams controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe u de verantwoordelijkheden van het beveiligingsteam structureren, kan een centraal beveiligingsteam of een lokaal team verantwoordelijk zijn voor het bewaken van beveiligingsrisico's. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op een hele tenant (hoofdbeheergroep). Of bereik deze machtigingen voor beheergroepen of specifieke abonnementen.

Opmerking: mogelijk zijn er extra machtigingen nodig om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: geef beveiligingsteams toegang tot een continu bijgewerkte inventaris van assets in Azure, zoals Service Bus. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. De inventarisatie is ook een invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep die het geautoriseerde beveiligingsteam van uw organisatie bevat. Wijs leestoegang toe aan het team voor alle Service Bus-resources. Om dit proces te vereenvoudigen, kunt u één roltoewijzing op hoog niveau binnen uw abonnement gebruiken.

Als u tags logisch wilt ordenen in een taxonomie, past u tags toe op uw Azure:

  • Resources
  • Resourcegroepen
  • Abonnementen

Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik de inventaris van virtuele Azure-machines om het verzamelen van informatie over software op virtuele machines te automatiseren. Items die beschikbaar zijn in de Azure Portal zijn onder andere:

  • Softwarenaam
  • Versie
  • Publisher
  • Vernieuwingstijd

Schakel diagnostische gegevens op gastniveau in om toegang te krijgen tot installatiedatums en andere informatie. Breng vervolgens de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Met Service Bus kunt u geen toepassing uitvoeren of software installeren op de bijbehorende resources.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: met behulp van Azure Policy, controleren en beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. Wanneer een niet-goedgekeurde service wordt gedetecteerd, gebruikt u Monitor om regels te maken om waarschuwingen te activeren.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen van Microsoft Defender for Cloud en schakel Microsoft Defender in voor uw Service Bus-resources. Microsoft Defender voor Service Bus biedt een andere beveiligingsinformatielaag. Het detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van uw Service Bus-resources.

Stuur logboeken van Service Bus door naar uw SIEM, die u kunt gebruiken om aangepaste bedreigingsdetecties in te stellen. Bewaak verschillende typen Azure-assets op mogelijke bedreigingen en afwijkingen. Richt u op het ophalen van waarschuwingen van hoge kwaliteit, waardoor het aantal fout-positieven voor analisten wordt verminderd. U kunt waarschuwingen ophalen uit logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD biedt de volgende gebruikerslogboeken:

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van:

    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is gedaan door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

U kunt de logboeken bekijken in Azure AD rapportage. Voor geavanceerdere gebruiksscenario's voor bewaking en analyse kunt u de logboeken integreren met:

  • Monitor
  • Microsoft Sentinel
  • Andere SIEM-/bewakingshulpprogramma's

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten. Deze activiteiten omvatten een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van:

  • Afzonderlijke Azure-rekenresources (virtuele machines, containers of app service)
  • Gegevensbronnen (SQL DB en opslag)
  • Azure-servicelagen

Met deze mogelijkheid kunt u accountafwijkingen binnen afzonderlijke resources zien.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Service Bus is niet bedoeld voor implementatie in virtuele netwerken. U kunt het volgende niet doen:

  • Schakel NSG-stroomlogboekregistratie in.
  • Verkeer routeren via een firewall.
  • Maak pakketopnamen.

Voor beveiligingsanalyse schakelt u het volgende in en verzamelt u:

  • NSG-resourcelogboeken
  • NSG-stroomlogboeken
  • logboeken Azure Firewall
  • WAF-logboeken (Web Application Firewall)

De beveiligingsanalyse ondersteunt:

  • Incidentonderzoeken
  • Detectie van bedreigingen
  • Genereren van beveiligingswaarschuwingen

De stroomlogboeken verzenden naar een Log Analytics-werkruimte in Monitor. Gebruik vervolgens Traffic Analytics om inzichten te bieden.

Service Bus registreert al het netwerkverkeer dat wordt verwerkt voor klanttoegang. Schakel de netwerkstroomfunctie in uw geïmplementeerde aanbiedingsbronnen in.

Service Bus produceert of verwerkt geen DNS-querylogboeken.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: activiteitenlogboeken bevatten alle schrijfbewerkingen (PUT, POST en DELETE) voor uw Service Bus-resources. Activiteitenlogboeken zijn automatisch beschikbaar, maar bevatten geen leesbewerkingen (GET). Gebruik activiteitenlogboeken om een fout te vinden bij het oplossen van problemen. Of gebruik de logboeken om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure-resourcelogboeken inschakelen voor Service Bus. Gebruik Microsoft Defender for Cloud en Azure Policy om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen kritiek zijn wanneer u beveiligingsincidenten onderzoekt en forensische oefeningen uitvoert.

Service Bus produceert ook beveiligingscontrolelogboeken voor de lokale beheerdersaccounts. Schakel deze lokale auditlogboeken voor beheerders in.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.ServiceBus:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Centraliseer opslag en analyse van logboekregistratie om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron het volgende toewijst:

  • Gegevenseigenaar
  • Toegangsrichtlijnen
  • Opslaglocatie
  • Welke hulpprogramma's worden gebruikt voor het verwerken en openen van de gegevens
  • Vereisten voor gegevensretentie

Integreer Azure-activiteitenlogboeken in uw centrale logboekregistratie. Logboeken opnemen via Monitor om beveiligingsgegevens te aggregeren die worden gegenereerd door:

  • Eindpuntapparaten
  • Netwerkbronnen
  • Andere beveiligingssystemen

Gebruik Log Analytics-werkruimten in Monitor om query's uit te voeren en analyses uit te voeren. Gebruik opslagaccounts voor langetermijn- en archiveringsopslag.

Schakel ook gegevens in en onboarden naar Microsoft Sentinel of een SIEM van derden.

Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt. De organisaties kiezen vervolgens Opslag voor 'koude' gegevens die minder vaak worden gebruikt.

Voor toepassingen die kunnen worden uitgevoerd op Service Bus, stuurt u alle beveiligingslogboeken door naar uw SIEM voor gecentraliseerd beheer.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Hebt u opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van Service Bus-logboeken? Stel vervolgens de bewaarperiode voor logboeken in met behulp van de nalevingsregels van uw organisatie.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: niet van toepassing; Service Bus biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen.

Service Bus-service is afhankelijk van microsoft-tijdsynchronisatiebronnen. Het wordt niet blootgesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Azure Blueprints gebruiken, automatiseren in één blauwdrukdefinitie de implementatie en configuratie van services en toepassingsomgevingen, waaronder:

  • Azure Resource Manager-sjablonen (ARM-sjablonen)
  • Azure RBAC-besturingselementen
  • Beleidsregels

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Microsoft Defender voor Cloud gebruiken om uw configuratiebasislijn te bewaken. Met behulp van de beleidsdefinities Azure Policy Deny en DeployIfNotExists, dwingt u beveiligde configuratie af voor Azure-rekenresources, waaronder:

  • Virtuele machines
  • Containers
  • Andere rekenresources

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Niet van toepassing; deze aanbeveling is bedoeld voor rekenresources.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Microsoft biedt beheer van beveiligingsproblemen op de onderliggende systemen die Ondersteuning bieden voor Service Bus.

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer, indien nodig, penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg voor herstel van alle kritieke beveiligingsresultaten.

Als u ervoor wilt zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid, volgt u de Regels voor het testen van Microsoft-cloudpenetratietests. Gebruik de strategie en uitvoering van Red Teaming en live site-penetratietests van Microsoft voor door Microsoft beheerde:

  • Cloudinfrastructuur
  • Services
  • Toepassingen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Microsoft antimalware is ingeschakeld op de onderliggende host die Ondersteuning biedt voor Azure-services (bijvoorbeeld Azure App Service). Deze wordt niet uitgevoerd op klantinhoud.

Verantwoordelijkheid: Microsoft

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Antimalwarehandtekeningen snel en consistent bijwerken.

Volg de aanbevelingen in Microsoft Defender voor Cloud om ervoor te zorgen dat alle eindpunten up-to-date zijn met de meest recente handtekeningen: 'Compute-apps & '.

Voor Windows installeert Microsoft Antimalware automatisch de meest recente handtekeningen en engine-updates. Als u in een Linux-omgeving werkt, gebruikt u een antimalwareoplossing van derden.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Microsoft

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Richtlijnen: Herstel na geo-noodgeval configureren voor Azure Service Bus. Wat gebeurt er wanneer volledige Azure-regio's of datacenters (als er geen beschikbaarheidszones worden gebruikt) downtime ondervindt? Vervolgens moet gegevensverwerking blijven werken in een andere regio of datacenter. Geo-noodherstel en geo-replicatie zijn belangrijke functies voor elke onderneming. Azure Service Bus ondersteunt zowel geo-noodherstel als geo-replicatie op naamruimteniveau.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: Service Bus biedt versleuteling van data-at-rest met Azure Storage Service Encryption (Azure SSE). Service Bus is afhankelijk van Storage om de gegevens op te slaan. Standaard worden alle gegevens die zijn opgeslagen met Storage versleuteld met behulp van door Microsoft beheerde sleutels. Als u Key Vault gebruikt voor het opslaan van door de klant beheerde sleutels, voert u regelmatig automatische back-ups van uw sleutels uit.

Zorg ervoor dat regelmatig geautomatiseerde back-ups van uw Key Vault geheimen worden uitgevoerd met de Backup-AzKeyVaultSecret PowerShell-opdracht.

Verantwoordelijkheid: Gedeeld

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Zorg er regelmatig voor dat u een back-up van door de klant beheerde sleutels kunt herstellen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat er maatregelen zijn genomen om te voorkomen dat sleutels verloren gaan en te herstellen. Als u sleutels wilt beveiligen tegen onbedoelde of schadelijke verwijdering, schakelt u beveiliging tegen voorlopig verwijderen en opschonen in Key Vault in.

Verantwoordelijkheid: Klant

Volgende stappen