Azure-beveiligingsbasislijn voor Site Recovery

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Site Recovery. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Site Recovery.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Site Recovery en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Site Recovery volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Site Recovery toewijzingsbestand voor de beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Microsoft Azure Site Recovery biedt geen ondersteuning voor het rechtstreeks implementeren in een virtueel netwerk. U kunt dus geen bepaalde netwerkfuncties toepassen met de resources van het aanbod, zoals:

  • Netwerkbeveiligingsgroepen (NSG's).
  • Routetabellen.
  • Andere netwerkafhankelijke apparaten, zoals een Azure Firewall.

Voor virtuele Azure-machines die met Site Recovery moeten communiceren, staat u uitgaande toegang toe tot poort 443 voor toegang tot bepaalde regionale FQDN's (Fully Qualified Domain Names) of wanneer u servicetags gebruikt.

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Met behulp van Azure ExpressRoute of vpn (Virtual Private Network) van Azure kunt u privéverbindingen maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet. In vergelijking met typische internetverbinding bieden ExpressRoute-verbindingen:

  • Meer betrouwbaarheid
  • Snellere snelheden
  • Lagere latenties

Voor punt-naar-site-VPN en site-naar-site-VPN verbindt u on-premises apparaten of netwerken met een virtueel netwerk. Gebruik een combinatie van deze VPN-opties en ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé. Het netwerkverkeer wordt bewaard in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Met behulp van Azure Private Link kunt u privétoegang tot Recovery Services-kluizen vanuit uw virtuele netwerken inschakelen zonder internet te overschrijden. Privétoegang is een andere diepgaande meting die moet worden gebruikt met de verificatie- en verkeersbeveiliging die Azure-services bieden. Site Recovery biedt niet de mogelijkheid om Virtual Network service-eindpunten te configureren. Het is een PaaS-service (Multitenant Platform as a Service).

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Met behulp van Azure Virtual Network-servicetags definieert u besturingselementen voor netwerktoegang op NSG's of Azure Firewall die zijn geconfigureerd voor uw Site Recovery-resources. Gebruik servicetags in plaats van specifieke IP-adressen wanneer je beveiligingsregels maakt. Door de naam van de servicetag 'AzureSiteRecovery' op te geven in het bron- of doelveld van de juiste regel, staat u het verkeer voor de bijbehorende service toe of weigert u deze. Microsoft beheert de adresvoorvoegsels die de servicetag omvat. De servicetag wordt automatisch bijgewerkt wanneer adressen worden gewijzigd.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Site Recovery maakt de onderliggende DNS-configuraties niet beschikbaar. Microsoft onderhoudt deze instellingen.

Verantwoordelijkheid: Microsoft

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Site Recovery maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft-cloudresources, zoals:

    • Azure Portal
    • Infrastructure as a Service (IaaS)
    • PaaS
    • SaaS-toepassingen (Software as a Service)
  • De resources van uw organisatie, zoals toepassingen in Azure of uw bedrijfsnetwerkbronnen. Maak het beveiligen van Azure AD een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Azure AD biedt een identiteitsbeveiligingsscore, waarmee u uw identiteitsbeveiligingspostuur kunt beoordelen op basis van de best practice-aanbevelingen van Microsoft. Met behulp van de score kunt u meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen voor aanbevolen procedures. Breng vervolgens verbeteringen aan in uw beveiligingspostuur. Opmerking: Azure AD ondersteunt externe identiteiten. Gebruikers zonder Een Microsoft-account kunnen zich dus met hun externe identiteit aanmelden bij hun toepassingen en resources. Site Recovery biedt drie ingebouwde rollen voor het beheren van Site Recovery beheerbewerkingen:

  • SiteRecovery-inzender

  • SiteRecovery-operator

  • SiteRecovery-lezer

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Site Recovery ondersteunt beheerde identiteiten voor de Azure-resources. In plaats van service-principals te maken voor toegang tot andere resources, gebruikt u beheerde identiteiten met Site Recovery. Site Recovery kan systeemeigen verificatie uitvoeren bij de Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. Het verifieert via een vooraf gedefinieerde toegangstoekenningsregel zonder referenties te gebruiken die zijn vastgelegd in broncode- of configuratiebestanden.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Site Recovery gebruikt Azure AD om identiteits- en toegangsbeheer te bieden voor:

  • Azure-resources
  • Cloudtoepassingen
  • On-premises toepassingen

De identiteiten die Azure AD kunnen gebruiken om te verifiëren bij Site Recovery zijn onder andere:

  • Bedrijfsidentiteiten, zoals werknemers.
  • Externe identiteiten, zoals:
    • Partners
    • Leveranciers
    • Leveranciers

Met dit beheer kan eenmalige aanmelding (SSO) toegang tot de gegevens en resources van uw organisatie beheren en beveiligen. Eenmalige aanmelding is on-premises en in de cloud van toepassing. Voor naadloze, veilige toegang en meer zichtbaarheid en controle maakt u verbinding met Azure AD al uw:

  • Gebruikers
  • Toepassingen
  • Apparaten

Lees het volgende artikel voor meer informatie:

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Als u referenties in uw Azure Resource Manager-sjablonen voor Site Recovery wilt identificeren, implementeert u De Azure DevOps-referentiescanner. Referentiescanner moedigt ook aan gedetecteerde referenties te verplaatsen naar veiligere locaties, zoals Azure Key Vault. Gebruik voor GitHub de systeemeigen functie voor het scannen van geheimen. Met deze functie worden referenties of andere vormen van geheimen in de code geïdentificeerd.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-1: Gebruikers met zeer uitgebreide bevoegdheden beveiligen en beperken

Richtlijnen: De meest kritieke ingebouwde rollen voor Azure AD zijn de globale beheerder en de beheerder van de bevoorrechte rol. Gebruikers die aan deze twee rollen zijn toegewezen, kunnen beheerdersrollen delegeren: globale beheerder of bedrijfsbeheerder. Gebruikers met deze rol hebben toegang tot alle beheerfuncties in Azure AD. Deze gebruikers hebben ook toegang tot services die gebruikmaken van Azure AD identiteiten.- Beheerder met bevoorrechte rol. Gebruikers met deze rol kunnen roltoewijzingen beheren in Azure AD of binnen Azure AD Privileged Identity Management (PIM). Met deze rol kunnen ook alle aspecten van PIM en beheereenheden worden beheerd. Opmerking: Als u aangepaste rollen gebruikt met bepaalde machtigingen die zijn toegewezen, zijn er mogelijk andere kritieke rollen die u moet beheren. Mogelijk wilt u ook vergelijkbare besturingselementen toepassen op het beheerdersaccount van kritieke bedrijfsactiva. Beperk het aantal accounts of rollen met hoge bevoegdheden. Beveilig deze accounts op een verhoogd niveau. Gebruikers met deze bevoegdheid kunnen direct of indirect elke resource in uw Azure-omgeving lezen en wijzigen. Met Azure AD PIM kunt u Just-In-Time (JIT) bevoegde toegang tot Azure-resources en Azure AD inschakelen. JIT verleent tijdelijke machtigingen om bevoegde taken alleen uit te voeren wanneer gebruikers deze nodig hebben. Wanneer er verdachte of onveilige activiteiten in uw Azure AD organisatie zijn, kan PIM ook beveiligingswaarschuwingen genereren.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Site Recovery gebruikt Azure AD accounts en Azure RBAC's voor het verlenen van machtigingen aan de resources. Controleer regelmatig accounts en toegangstoewijzingen om ervoor te zorgen dat de gebruikersaccounts en hun toegang geldig zijn. Gebruik Azure AD en toegangsbeoordelingen om het volgende te controleren:

  • Groepslidmaatschappen
  • Toegang tot bedrijfstoepassingen
  • Roltoewijzingen

Azure AD rapportage kan logboeken bieden om verlopen accounts te detecteren. Om het beoordelingsproces te ondersteunen, gebruikt u ook Azure AD PIM om een rapportwerkstroom te maken voor toegangsbeoordelingen.

U kunt Azure PIM ook zo configureren dat er een waarschuwing wordt weergegeven wanneer er een overmatig aantal beheerdersaccounts wordt gemaakt. Of configureer deze om beheerdersaccounts te identificeren die verlopen of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. Beheer deze gebruikers afzonderlijk.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals:

  • Beheerders
  • Ontwikkelaars
  • Essentiële serviceoperators

Gebruik zeer beveiligde gebruikerswerkstations of Azure Bastion voor beheertaken. Als u een beveiligd en beheerd gebruikerswerkstation wilt implementeren, gebruikt u:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

U kunt de beveiligde werkstations centraal beheren om een beveiligde configuratie af te dwingen, waaronder:

  • Sterke verificatie.
  • Software- en hardwarebasislijnen.
  • Beperkte logische en netwerktoegang.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Site Recovery is geïntegreerd met Azure RBAC om de resources te beheren. Met Azure RBAC kunt u toegang tot Azure-resources beheren via roltoewijzingen. Wijs deze rollen toe aan:

  • Gebruikers
  • Groepen
  • Service-principals
  • Beheerde identiteiten

Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources. U kunt deze rollen inventariseren of er query's op uitvoeren via hulpprogramma's, zoals:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Beperk altijd de bevoegdheden die u toewijst aan resources via Azure RBAC aan wat de rollen vereisen. Deze praktijk vormt een aanvulling op de JIT-benadering van Azure AD PIM en moet periodiek worden beoordeeld.

Site Recovery integreert met Azure RBAC om het gebruik van ingebouwde en aangepaste rollen toe te staan, waarmee u de toegang tot resources kunt beheren. Gebruik ingebouwde rollen om machtigingen te verlenen. Maak alleen aangepaste rollen wanneer dat nodig is.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: Site Recovery beschikt niet over mogelijkheden om de gegevens te classificeren. U kunt uw gegevens zelf organiseren door:

  • Verschillende Recovery Services-kluizen gebruiken.
  • Tags aan deze kluizen koppelen op basis van hun inhoud.

Lees het volgende artikel voor meer informatie:

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van:

  • Azure RBAC.
  • Toegangsbeheer op basis van netwerk.
  • Specifieke besturingselementen in Azure-services, zoals versleuteling in SQL en andere databases. Om consistent toegangsbeheer te garanderen, moet u alle typen toegangsbeheer uitlijnen op uw bedrijfssegmentatiestrategie. Informeer ook de strategie voor bedrijfssegmentatie met de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende door Microsoft beheerde platform behandelt Microsoft alle klantinhoud als gevoelig. Het beschermt tegen gegevensverlies en blootstelling van klanten. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, implementeert Microsoft enkele standaardbesturingselementen voor gegevensbeveiliging en -mogelijkheden.

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling, zodat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Site Recovery ondersteunt gegevensversleuteling tijdens overdracht met TLS (Transport Layer Security) v1.2 of hoger.

Hoewel versleuteling optioneel is voor verkeer op privénetwerken, is het essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Voor extern beheer gebruikt u Secure Shell (SSH) voor Linux in plaats van een niet-versleuteld protocol. Of gebruik RdP (Remote Desktop Protocol) en TLS voor Windows. Schakel vervolgens het volgende uit:

  • Verouderde versies van:
    • Secure Sockets Layer (SSL)
    • TLS
    • SSH
  • Zwakke coderingen

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Site Recovery data-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Deze procedure helpt ervoor te zorgen dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Azure biedt standaard versleuteling voor data-at-rest. Voor zeer gevoelige gegevens kunt u waar beschikbaar meer versleuteling in rust implementeren op alle Azure-resources. Azure beheert standaard uw versleutelingssleutels. Azure biedt echter opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels) voor bepaalde Azure-services.

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen. Vervolgens kunnen de teams controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe u de verantwoordelijkheden van het beveiligingsteam structureert, kan een centraal beveiligingsteam of een lokaal team verantwoordelijk zijn om te controleren op beveiligingsrisico's. Statistische beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op een hele tenant (hoofdbeheergroep). Of bereik voor beheergroepen of specifieke abonnementen.

Opmerking: om inzicht te krijgen in workloads en services, zijn mogelijk extra machtigingen nodig.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Site Recovery. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. De inventaris is ook een invoer voor doorlopende beveiligingsverbeteringen. Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. Wijs de leestoegang van het team toe aan alle Azure App Configuration resources. U kunt deze acties vereenvoudigen met behulp van één roltoewijzing op hoog niveau binnen uw abonnement.

Als u logisch wilt ordenen in een taxonomie, past u tags toe op uw:

  • Azure-resources
  • Resourcegroepen
  • Abonnementen

Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Met behulp van Azure Policy kunt u controleren en beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. Gebruik Azure Monitor ook om regels te maken waarmee waarschuwingen worden geactiveerd wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen van Microsoft Defender for Cloud. Microsoft Defender inschakelen voor uw Site Recovery-resources. Microsoft Defender voor Site Recovery biedt nog een beveiligingsinformatielaag. Het detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van uw Site Recovery resources.

Site Recovery activiteiten- en resourcelogboeken genereert. Met deze logboeken kunt u acties controleren op Azure-resources en bedreigingen detecteren. Stuur logboeken van Site Recovery door naar uw SIEM, die u kunt gebruiken om aangepaste bedreigingsdetecties in te stellen. Bewaak verschillende typen Azure-assets voor mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit, om fout-positieven te verminderen voor analisten om door te sorteren. U kunt waarschuwingen ophalen uit logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure AD biedt de volgende gebruikerslogboeken:

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid via logboeken voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van:

    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

U kunt de logboeken weergeven in Azure AD rapportage. Voor geavanceerdere gebruiksscenario's voor bewaking en analyse kunt u de logboeken integreren met:

  • Azure Monitor
  • Microsoft Sentinel
  • Andere SIEM-/bewakingshulpprogramma's

Microsoft Defender voor Cloud kan ook waarschuwingen ontvangen over bepaalde verdachte activiteiten. Deze activiteiten omvatten een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Bedreigingsbeveiliging van Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van:

  • Afzonderlijke Azure-rekenresources (virtuele machines, containers en app-services)
  • Gegevensbronnen (SQL DB en opslag)
  • Azure-servicelagen

Met deze mogelijkheid hebt u inzicht in accountafwijkingen binnen de afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: activiteitenlogboeken bevatten alle schrijfbewerkingen (PUT, POST en DELETE) voor uw Site Recovery resources. Activiteitenlogboeken zijn automatisch beschikbaar, maar bevatten geen leesbewerkingen (GET). Gebruik activiteitenlogboeken om een fout te vinden bij het oplossen van problemen. Of gebruik de logboeken om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure-resourcelogboeken inschakelen voor Site Recovery. Met Microsoft Defender voor Cloud en Azure Policy schakelt u resourcelogboeken en logboekgegevens verzamelen in. Deze logboeken kunnen essentieel zijn voor het onderzoeken van latere beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Wijs voor elke logboekbron het volgende toe:

  • Gegevenseigenaar
  • Toegangsrichtlijnen
  • Opslaglocatie
  • Hulpprogramma's die worden gebruikt voor het verwerken en openen van de gegevens
  • Vereisten voor gegevensretentie

Azure-activiteitenlogboeken integreren in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor om beveiligingsgegevens te aggregeren die worden gegenereerd door:

  • Eindpuntapparaten
  • Netwerkbronnen
  • Andere beveiligingssystemen

In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren. Gebruik vervolgens Azure Storage-accounts voor langetermijn- en archiveringsopslag.

U kunt ook gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden. Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt. Deze organisaties kunnen vervolgens Azure Storage selecteren voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Voor opslagaccounts of Log Analytics-werkruimten die worden gebruikt voor het opslaan van Site Recovery logboeken, stelt u de bewaarperiode voor logboeken in op de nalevingsregels van uw organisatie.

Stel in Azure Monitor de bewaarperiode voor uw Log Analytics-werkruimte in op de nalevingsregels van uw organisatie. Gebruik accounts voor langetermijn- en archiveringsopslag in:

  • Azure Storage
  • Azure Data Lake Storage
  • Log Analytics-werkruimte

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Site Recovery biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen. De Site Recovery-service is afhankelijk van microsoft-tijdsynchronisatiebronnen. Het is niet beschikbaar voor klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Site Recovery ondersteunt servicespecifieke beleidsregels. Deze beleidsregels zijn beschikbaar in Microsoft Defender for Cloud om configuraties van uw Azure-resources te controleren en af te dwingen. U kunt de configuraties wijzigen in Microsoft Defender voor Cloud of Azure Policy initiatieven.

Als u beveiligde configuraties van uw Recovery Services-kluis wilt bewaken en afdwingen, wijst u ingebouwde en aangepaste Azure Policy definities toe. Voldoen ingebouwde definities niet aan uw vereisten? Gebruik vervolgens Azure Policy aliassen in de naamruimte Microsoft.RecoveryServices. Met deze aliassen kunt u aangepast beleid maken om de configuratie van uw Recovery Services-kluizen te controleren of af te dwingen.

Met behulp van één Azure Blueprints-definitie automatiseert u de implementatie en configuratie van services en toepassingsomgevingen, waaronder:

  • Azure Resource Manager-sjablonen
  • Azure RBAC-besturingselementen
  • Beleidsregels

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: Site Recovery kunt u de configuraties bewaken en afdwingen met behulp van Azure Policy. De configuraties bevatten instellingen voor uw:

  • Kluizen, inclusief het gebruik van privé-eindpunten voor uw kluizen.
  • Dr-aanbiedingen (disaster recovery) voor Azure-workloads.
  • Diagnostische implementaties.

Bewaak en dwing beveiligde configuraties van uw Recovery Services-kluis af. Ingebouwde en aangepaste Azure Policy definities toewijzen. Voldoen ingebouwde definities niet aan uw vereisten? Maak vervolgens met behulp van Azure Policy aliassen in de naamruimte Microsoft.RecoveryServices aangepast beleid om de configuratie van uw Recovery Services-kluizen te controleren of af te dwingen.

Gebruik Microsoft Defender for Cloud om uw configuratiebasislijn te bewaken. Met behulp van de Azure Policy definities voor Deny and DeployIfNotExists kunt u beveiligde configuratie afdwingen voor Azure-rekenresources, waaronder:

  • Virtuele machines
  • Containers
  • Andere

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen maken

Richtlijnen: Microsoft voert beveiligingsproblemen uit op de onderliggende systemen die ondersteuning bieden voor Site Recovery.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Site Recovery biedt geen mogelijkheid om softwareherstel automatisch te ondersteunen. Voor het onderliggende platform dat ondersteuning biedt voor Azure Backup, verwerkt Microsoft het volgende:

  • Beveiligingsproblemen
  • Evaluaties
  • Herstelbewerkingen

Verantwoordelijkheid: Microsoft

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg voor herstel van alle kritieke beveiligingsresultaten. Volg de Regels voor penetratietests van Microsoft om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerd:

  • Cloudinfrastructuur
  • Services
  • Toepassingen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-2: Back-upgegevens versleutelen

Richtlijnen: Site Recovery ondersteunt versleuteling-at-rest voor workloadgegevens. Voor cloudworkloads worden gegevens standaard versleuteld met opslagserviceversleuteling en door Microsoft beheerde sleutels. Om te voldoen aan wettelijke vereisten biedt Site Recovery ook opties voor het beheren van uw eigen sleutels (door de klant beheerde sleutels).

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.RecoveryServices:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. AuditIfNotExists, uitgeschakeld 2.0.0

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Site Recovery biedt herstelmogelijkheden voor rekenworkloads. Maar er wordt geen back-up van gegevens voor zichzelf ondersteund. Klanten kunnen hun opgeslagen gegevens versleutelen met behulp van een door de klant beheerde sleutel. Wanneer u door de klant beheerde sleutels gebruikt, moet u ervoor zorgen dat u deze kunt herstellen. Schakel ook voorlopig verwijderen in met elke Key Vault waarin uw sleutels worden opgeslagen.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat er maatregelen zijn om te voorkomen dat sleutels verloren gaan. Als u sleutels wilt beschermen tegen onbedoelde of schadelijke verwijdering, schakelt u voorlopig verwijderen en opschonen in Key Vault in.

Verantwoordelijkheid: Klant

Volgende stappen