Azure-beveiligingsbasislijn voor Site Recovery
Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmarkversie 1.0 toe op Site Recovery. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Site Recovery.
U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.
Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.
Notitie
Functies die niet van toepassing zijn op Site Recovery zijn uitgesloten. Als u wilt zien hoe Site Recovery volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige Site Recovery toewijzingsbestand voor beveiligingsbasislijnen.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Site Recovery, wat kan leiden tot verhoogde beveiligingsoverwegingen.
Kenmerk servicegedrag | Waarde |
---|---|
Productcategorie | Compute |
Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Niet waar |
Inhoud van klanten in rust opgeslagen | False |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
NS-2: Cloudservices beveiligen met netwerkbesturing
Functies
Azure Private Link
Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Configuratierichtlijnen: implementeer privé-eindpunten voor alle Azure-resources die de functie Private Link ondersteunen, om een privétoegangspunt voor de resources tot stand te brengen.
Naslaginformatie: Machines repliceren met privé-eindpunten
Openbare netwerktoegang uitschakelen
Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Azure Site Recovery repliceert gegevens naar een Azure-opslagaccount of beheerde schijven via een openbaar eindpunt. Replicatie kan echter ook worden uitgevoerd via site-naar-site-VPN.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Opmerkingen bij de functie: Azure Site Recovery gebruikt en ondersteunt beheerde identiteiten en service-principals in Azure AD voor bepaalde bewerkingen op het gegevensvlak.
Configuratierichtlijnen: wanneer u Site Recovery gebruikt om updates te beheren, wordt er een globaal runbook geïmplementeerd (gebruikt door Azure-services) via een Automation-account, dat is gemaakt in hetzelfde abonnement als de kluis. Het Automation-account maakt gebruik van een Uitvoeren als-account van Azure (service-principal).
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: beheerde identiteit wordt alleen ondersteund voor Site Recovery om te verifiëren bij andere Azure-services.
Ga voor meer informatie naar: De beheerde identiteit voor de kluis inschakelen
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Functieopmerkingen: Azure Site Recovery ondersteunt service-principals in Azure AD voor bepaalde bewerkingen op het gegevensvlak.
Configuratierichtlijnen: Voor services die geen beheerde identiteiten ondersteunen, gebruikt u Azure Active Directory (Azure AD) om een service-principal met beperkte machtigingen op resourceniveau te maken. Service-principals configureren met certificaatreferenties en terugvallen op clientgeheimen voor verificatie.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
Bevoegde toegang
Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.
PA-7: Volg het principe just enough administration (minimale bevoegdheden)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Functieopmerkingen: voor het instellen van herstel na noodgevallen voor Azure-VM's heeft het Azure AD-account de rollen Toepassingseigenaar en Toepassingsontwikkelaar nodig om replicatie in te schakelen.
Configuratierichtlijnen: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot Azure-resources te beheren via ingebouwde roltoewijzingen. Azure RBAC-rollen kunnen worden toegewezen aan gebruikers, groepen, service-principals en beheerde identiteiten.
Naslaginformatie: Herstel na noodgevallen instellen voor Azure-VM's
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.
DP-1: Gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Niet waar | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: gegevens worden gerepliceerd binnen de locatie van de klant en naar Azure Storage voor workloads die naar Azure worden gerepliceerd. U kunt een DLP-oplossing configureren in Azure Storage om te bewaken.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Gegevens-in-transitversleuteling
Beschrijving: de service ondersteunt versleuteling van gegevens-in-transit voor gegevensvlak. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: Versleutelt Site Recovery replicatie?
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met behulp van platformsleutels
Beschrijving: Versleuteling van gegevens in rust met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Waar | Microsoft |
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met CMK
Beschrijving: Versleuteling van inactieve gegevens met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waarvoor versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Naslaginformatie: Machines repliceren waarop cmk-schijven (Customer-Managed keys) zijn ingeschakeld
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: Virtuele machines met Azure Disk Encryption repliceren naar een andere Azure-regio
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van het certificaat te maken en te beheren, inclusief het maken, importeren, draaien, intrekken, opslaan en opschonen van het certificaat. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault en de Azure-service (indien ondersteund) op basis van een gedefinieerd schema of wanneer een certificaat verloopt. Als automatische rotatie niet wordt ondersteund in de toepassing, controleert u of ze nog steeds worden geroteerd met behulp van handmatige methoden in Azure Key Vault en de toepassing.
Naslaginformatie: Herstel na noodgevallen naar Azure instellen voor on-premises VMware-VM's - Gemoderniseerd
Asset-management
Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
Naslaginformatie: Azure Policy gebruiken om Azure Site Recovery in te stellen
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbod
Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel resourcelogboeken in voor de service. Key Vault ondersteunt bijvoorbeeld aanvullende resourcelogboeken voor acties die een geheim ophalen uit een sleutelkluis of en Azure SQL resourcelogboeken heeft die aanvragen naar een database bijhouden. De inhoud van resourcelogboeken verschilt per Azure-service en resourcetype.
Naslaginformatie: Site Recovery bewaken met Azure Monitor-logboeken
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
---|---|---|
Waar | Waar | Microsoft |
Opmerkingen bij de functie: Azure Site Recovery is zelf een service voor back-up en herstel na noodgevallen.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.RecoveryServices:
Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
---|---|---|---|
Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen