Azure-beveiligingsbasislijn voor Azure Spring Cloud Service

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Spring Cloud Service. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Spring Cloud Service.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Spring Cloud Service en die waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Spring Cloud Service volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand van de Azure Spring Cloud Service-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Wanneer u Azure Spring Cloud Service-resources implementeert, maakt of gebruikt u een bestaand virtueel netwerk. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Als een systeem een hoger risico voor de organisatie met zich meebrengt, moet u het binnen een eigen virtueel netwerk isoleren. Voldoende veilig dat systeem met een netwerkbeveiligingsgroep (NSG) of Azure Firewall.

Het gebruik van adaptieve netwerkbeveiliging van Microsoft Defender for Cloud raadt NSG-configuraties aan waarmee poorten en bron-IP-adressen worden beperkt. Baseer de configuraties op regels voor extern netwerkverkeer.

Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan met behulp van uw NSG-regels. Voor specifieke, goed gedefinieerde toepassingen (zoals een app met drie lagen) kan deze regel standaard een zeer veilige weigering zijn.

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Met behulp van Azure ExpressRoute of vpn (Virtual Private Network) van Azure kunt u privéverbindingen maken tussen Azure-datacenters en on-premises infrastructuur in een co-locatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet. In vergelijking met typische internetverbinding bieden ExpressRoute-verbindingen:

  • Meer betrouwbaarheid
  • Snellere snelheden
  • Lagere latenties

Voor punt-naar-site-VPN en site-naar-site-VPN verbindt u on-premises apparaten of netwerken met een virtueel netwerk. Gebruik een combinatie van deze VPN-opties en Azure ExpressRoute.

Als u twee of meer virtuele netwerken in Azure wilt verbinden, gebruikt u peering voor virtuele netwerken. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé. Dit type verkeer wordt opgeslagen in het Backbone-netwerk van Azure.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.AppPlatform:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Spring Cloud moet netwerkinjectie gebruiken Azure Spring Cloud-exemplaren moeten om de volgende redenen virtuele netwerkinjectie gebruiken: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. Controleren, uitgeschakeld, weigeren 1.0.0

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Azure Spring Cloud Service staat niet toe dat de beheereindpunten worden beveiligd met een privénetwerk met de Private Link-service.

Azure Spring Cloud Service biedt niet de mogelijkheid om Virtual Network service-eindpunten te configureren.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Bescherm uw Azure Spring Cloud Service-resources tegen aanvallen van externe netwerken, waaronder:

  • DDoS-aanvallen (Distributed Denial of Service).
  • Toepassingsspecifieke aanvallen.
  • Ongevraagd en potentieel schadelijk internetverkeer.

Met Azure Firewall beveiligt u toepassingen en services tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Als u uw assets wilt beschermen tegen DDoS-aanvallen, schakelt u DDoS-standaardbeveiliging in voor uw virtuele Azure-netwerken. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's voor uw netwerkresources te detecteren.

Als u uw apps wilt beveiligen die worden uitgevoerd in Azure Spring Cloud Service tegen aanvallen op toepassingslagen, gebruikt u Web Application Firewall (WAF)-mogelijkheden in:

  • Azure Application Gateway
  • Azure Front Door
  • Azure Content Delivery Network (CDN)

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

NS-5: Inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: het gebruik van Azure Firewall filteren op basis van bedreigingsinformatie, het waarschuwen of blokkeren van verkeer van en naar bekende schadelijke IP-adressen en domeinen. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed. Wanneer inspectie van de nettolading nodig is, implementeert u een inbraakdetectie-/inbraakpreventiesysteem (IDS/IPS) van derden vanuit Azure Marketplace met mogelijkheden voor nettoladinginspectie. U kunt ook host-id's/IPS of een EDR-oplossing (Endpoint Detection and Response) op basis van een host gebruiken met of in plaats van netwerk-id's/IPS.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Met behulp van servicetags voor virtuele Azure-netwerken definieert u besturingselementen voor netwerktoegang op NSG's of Azure Firewall die zijn geconfigureerd voor uw Azure Spring Cloud Service-resources. Gebruik servicetags in plaats van specifieke IP-adressen bij het maken van beveiligingsregels. Door de naam van de servicetag op te geven in het bron- of doelveld van de juiste regel, staat u het verkeer voor de bijbehorende service toe of weigert u dit. Microsoft beheert de adresvoorvoegsels die zijn opgegeven door de servicetag. De servicetag wordt automatisch bijgewerkt als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

NS-7: Secure Domain Name Service (DNS)

Richtlijnen: Volg de aanbevolen procedures voor DNS-beveiliging om veelvoorkomende aanvallen te beperken, zoals:

  • Dangling DNS
  • DNS-amplifications-aanvallen
  • DNS-vergiftiging en spoofing

Wat moet u doen als u Azure DNS wilt gebruiken als uw gezaghebbende DNS-service? Beveilig vervolgens DNS-zones en -records tegen onbedoelde of schadelijke wijzigingen met behulp van op rollen gebaseerd toegangsbeheer (Azure RBAC) en resourcevergrendelingen van Azure.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Spring Cloud Service maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. Standaardiseer Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals:

    • Azure Portal
    • Azure Storage
    • Azure Virtual Machines (Linux en Windows)
    • Azure Key Vault
    • Platform as a service (PaaS)
    • SaaS-toepassingen (Software as a Service)
  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Beveilig Azure AD een hoge prioriteit in de cloudbeveiligingspraktijk van uw organisatie. Om u te helpen uw identiteitsbeveiligingspostuur te beoordelen op basis van de aanbevelingen voor aanbevolen procedures van Microsoft, biedt Azure AD een beveiligingsscore voor identiteiten. Met deze score kunt u meten hoe nauw uw configuratie overeenkomt met de aanbevolen aanbevelingen. Breng vervolgens verbeteringen aan in uw beveiligingspostuur.

Opmerking: Azure AD ondersteunt externe identiteiten. Gebruikers die geen Microsoft-account hebben, kunnen zich aanmelden bij hun toepassingen en resources met hun externe identiteit.

Azure Spring Cloud heeft de ingebouwde rol 'Azure Spring Cloud Data Reader', waarmee de leestoegang wordt aangegeven voor Azure Spring Cloud-gegevensvlakresources. Wat gebeurt er als klanten anderen toegang willen geven tot hun Azure Spring Cloud-gegevensvlak? Vervolgens kunnen klanten deze rol gebruiken en de machtiging verlenen aan anderen.

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Azure Spring Cloud Service ondersteunt beheerde identiteiten voor de Azure-resources. Gebruik beheerde identiteiten met Azure Spring Cloud Service in plaats van service-principals te maken voor toegang tot andere resources. Azure Spring Cloud Service kan systeemeigen worden geverifieerd bij de Azure-services en -resources die ondersteuning bieden voor Azure AD verificatie. De verificatie vindt plaats via een vooraf gedefinieerde regel voor het verlenen van toegang. Er worden geen referenties gebruikt die zijn vastgelegd in broncode- of configuratiebestanden.

Wilt u service-principals configureren met certificaatreferenties en terugvallen op clientgeheimen? Vervolgens raadt Azure Spring Cloud Service u aan Azure AD te gebruiken om een service-principal te maken met beperkte machtigingen op resourceniveau. In beide gevallen kan Key Vault worden gebruikt met door Azure beheerde identiteiten. Vervolgens kan de runtime-omgeving (zoals een Azure-functie) de referentie ophalen uit de sleutelkluis.

Verantwoordelijkheid: Gedeeld

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Spring Cloud Service maakt gebruik van Azure AD om identiteits- en toegangsbeheer te bieden voor:

  • Azure-resources
  • Cloudtoepassingen
  • On-premises toepassingen

Identiteits- en toegangsbeheer omvat bedrijfsidentiteiten, zoals werknemers en externe identiteiten, zoals:

  • Partners
  • Leveranciers
  • Leveranciers

Met dit beheer kan eenmalige aanmelding (SSO) de toegang tot de gegevens en resources van uw organisatie beheren en beveiligen. U kunt eenmalige aanmelding on-premises en in de cloud toepassen. Voor naadloze, veilige toegang, plus meer zichtbaarheid en controle, maakt u verbinding met Azure AD al uw:

  • Gebruikers
  • Toepassingen
  • Apparaten

Lees het volgende artikel voor meer informatie:

Verantwoordelijkheid: Klant

IM-4: Krachtige verificatiebesturingselementen gebruiken voor alle toegang op basis van Azure AD

Richtlijnen: Azure Spring Cloud Service maakt gebruik van Azure AD, die krachtige verificatiebesturingselementen ondersteunt via meervoudige verificatie (MFA) en krachtige methoden zonder wachtwoord.

  • MFA. Schakel Azure AD MFA in. Voor aanbevolen procedures in uw MFA-installatie volgt u de aanbevelingen voor Identiteits- en toegangsbeheer van Microsoft Defender for Cloud. Op basis van aanmeldingsvoorwaarden en risicofactoren kan MFA worden afgedwongen op:

    • Alle gebruikers
    • Gebruikers selecteren
    • Niveau per gebruiker
  • Verificatie zonder wachtwoord. Er zijn drie verificatieopties zonder wachtwoord beschikbaar:

    • Windows Hello voor Bedrijven
    • Microsoft Authenticator-app
    • On-premises verificatiemethoden, zoals smartcards

Gebruik voor beheerders en bevoegde gebruikers het hoogste niveau van de sterke verificatiemethode. Implementer vervolgens het juiste sterke verificatiebeleid voor andere gebruikers.

Verantwoordelijkheid: Klant

IM-5: Bewaken van accounts op afwijkingen en waarschuwingenbeheer

Richtlijnen: Azure Spring Cloud Service is geïntegreerd met Azure AD, dat de volgende gegevensbronnen biedt:

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid via logboeken voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die zijn aangebracht in elke resource in Azure AD, zoals het toevoegen of verwijderen van:

    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft een aanmeldingspoging aan die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

Deze gegevensbronnen kunnen worden geïntegreerd met:

  • Azure Monitor
  • Microsoft Sentinel
  • SIEM-systemen (Security Information and Event Management) van derden

Microsoft Defender voor Cloud kan u ook waarschuwen over bepaalde verdachte activiteiten. Deze activiteiten omvatten een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement.

Azure Advanced Threat Protection (ATP) is een beveiligingsoplossing. Active Directory-signalen kunnen worden gebruikt om het volgende te identificeren, te detecteren en te onderzoeken:

  • Geavanceerde bedreigingen
  • Gecompromitteerde identiteiten
  • Kwaadwillende insideracties

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IM-6: Toegang tot Azure-resource beperken op basis van voorwaarden

Richtlijnen: Azure Spring Cloud Service biedt ondersteuning voor Azure AD voorwaardelijke toegang voor een gedetailleerder toegangsbeheer dat is gebaseerd op door de gebruiker gedefinieerde voorwaarden. Deze voorwaarden omvatten gebruikersaanmeldingen van bepaalde IP-bereiken die zich moeten aanmelden met behulp van MFA. U kunt ook gedetailleerd verificatiesessiebeheerbeleid gebruiken voor verschillende gebruiksvoorbeelden. Dit beleid voor voorwaardelijke toegang is alleen van toepassing op gebruikersaccounts die worden geverifieerd bij Azure AD voor toegang tot en beheer van de Azure Spring Cloud Service. Dit beleid is niet van toepassing op service-principals, sleutels of tokens die worden gebruikt om verbinding te maken met uw Azure Spring Cloud Service-resource.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: Met Azure Spring Cloud Service kunnen klanten de volgende entiteiten implementeren en uitvoeren met identiteiten of geheimen:

  • Code
  • Configuraties
  • Persistente gegevens

Implementeer referentiescanner om referenties binnen deze entiteiten te identificeren. Referentiescanner stimuleert ook het verplaatsen van gedetecteerde referenties naar veiligere locaties, zoals Key Vault.

Voor GitHub kunt u de systeemeigen functie voor het scannen van geheimen gebruiken om referenties of andere vormen van geheimen in de code te identificeren.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-2: Beheerderstoegang tot essentiële bedrijfssystemen beperken

Richtlijnen: Azure Spring Cloud Service maakt gebruik van Azure RBAC om de toegang tot bedrijfskritieke systemen te isoleren. Hiermee wordt beperkt welke accounts bevoegde toegang krijgen tot de abonnementen en beheergroepen waarin ze zich bevinden.

Beperk ook de toegang tot de beheer-, identiteits- en beveiligingssystemen die beheerderstoegang hebben tot uw bedrijfskritieke toegangsbeheer, zoals:

  • Active Directory-domein controllers (DC's).
  • Beveiligingshulpprogramma's.
  • Systeembeheerprogramma's met agents die zijn geïnstalleerd op bedrijfskritieke systemen.

Aanvallers die deze beheer- en beveiligingssystemen in gevaar brengen, kunnen ze onmiddellijk bewapenen om bedrijfskritieke assets in gevaar te brengen.

Om consistent toegangsbeheer te garanderen, moet u alle typen toegangsbeheer uitlijnen op uw bedrijfssegmentatiestrategie.

Verantwoordelijkheid: Klant

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Om ervoor te zorgen dat Azure AD accounts en hun toegang geldig zijn, gebruikt Azure Spring Cloud Service deze accounts om:

  • Beheer de resources.
  • Gebruikersaccounts controleren.
  • Krijg regelmatig toegang tot toewijzingen.

Gebruik Azure AD en toegangsbeoordelingen om te controleren:

  • Groepslidmaatschappen
  • Toegang tot bedrijfstoepassingen
  • Roltoewijzingen

Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren. Om het beoordelingsproces te ondersteunen, gebruikt u ook Azure AD Privileged Identity Management (PIM) om rapportwerkstromen te maken voor toegangsbeoordelingen.

U kunt ook Azure AD PIM configureren om u te waarschuwen wanneer er een overmatig aantal beheerdersaccounts wordt gemaakt. Of configureer om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Opmerking: sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. Beheer deze gebruikers afzonderlijk.

Azure Spring Cloud heeft de ingebouwde rol 'Azure Spring Cloud Data Reader'. Deze rol geeft 'leestoegang' aan voor gegevensvlakresources in Azure Spring Cloud. Wat gebeurt er als een klant anderen toegang wil geven tot hun Azure Spring Cloud-gegevensvlak? Vervolgens kan de klant deze rol gebruiken en de machtiging verlenen aan anderen,

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

PA-4: Noodtoegang instellen in Azure AD

Richtlijnen: Azure Spring Cloud Service maakt gebruik van Azure AD om de resources te beheren. Wilt u voorkomen dat uw Azure AD organisatie per ongeluk wordt vergrendeld? Stel vervolgens een account voor noodtoegang in voor toegang wanneer normale beheerdersaccounts niet kunnen worden gebruikt. Accounts voor toegang tot noodgevallen zijn zeer bevoegd. Wijs deze accounts niet toe aan specifieke personen. Accounts voor toegang tot noodgevallen zijn beperkt tot scenario's met nood- of onderbrekingsglas waarbij normale beheerdersaccounts niet kunnen worden gebruikt.

Referenties (zoals wachtwoord, certificaat of smartcard) bewaren voor accounts voor toegang voor noodgevallen. Laat de referenties alleen zien aan personen die gemachtigd zijn om ze alleen in een noodgeval te gebruiken.

Verantwoordelijkheid: Klant

PA-5: Rechtenbeheer automatiseren

Richtlijnen: Azure Spring Cloud Service is geïntegreerd met Azure AD om de resources te beheren. Met behulp van Azure AD functies voor rechtenbeheer automatiseert u werkstromen voor toegangsaanvragen, waaronder:

  • Toegangstoewijzingen
  • Beoordelingen
  • Verloopdatum

Goedkeuring voor dubbele of meerdere fasen wordt ook ondersteund.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde, geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals:

  • Beheerder
  • Ontwikkelaar
  • Kritieke serviceoperator

Gebruik zeer beveiligde gebruikerswerkstations of Azure Bastion voor beheertaken. Als u een beveiligd en beheerd gebruikerswerkstation wilt implementeren, gebruikt u een of meer van:

  • Azure AD
  • Microsoft Defender Advanced Threat Protection (ATP)
  • Microsoft Intune

Beheer de beveiligde werkstations centraal om beveiligde configuratie af te dwingen, waaronder:

  • Strenge verificatie
  • Software- en hardwarebasislijnen
  • Beperkte logische en netwerktoegang

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Spring Cloud Service is geïntegreerd met Azure RBAC om de resources te beheren. Met Azure RBAC kunt u toegang tot Azure-resources beheren via roltoewijzingen. Wijs deze rollen toe aan:

  • Gebruikers
  • Groepen
  • Service-principals
  • Beheerde identiteiten

Er zijn vooraf gedefinieerde ingebouwde rollen voor bepaalde resources. U kunt deze rollen inventariseren of er query's op uitvoeren via hulpprogramma's, zoals:

  • Azure CLI
  • Azure PowerShell
  • Azure Portal

Beperk altijd de bevoegdheden die u toewijst aan resources via de Azure RBAC aan wat de rollen nodig hebben. Deze praktijk vormt een aanvulling op de Just-In-Time-benadering (JIT) van Azure AD PIM en moet periodiek worden gecontroleerd.

Ingebouwde rollen gebruiken om machtigingen te verlenen. Maak alleen aangepaste rollen wanneer dat nodig is.

Azure Spring Cloud heeft de ingebouwde rol 'Azure Spring Cloud-gegevenslezer', wat de leestoegang aangeeft voor de gegevensvlakresources in Azure Spring Cloud. Wat gebeurt er als de klant anderen toegang wil geven tot het Azure Spring Cloud-gegevensvlak? Vervolgens kan de klant deze rol gebruiken en de machtiging verlenen aan anderen,

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: gevoelige gegevens detecteren, classificeren en labelen

Richtlijnen: Niet van toepassing; Azure Spring Cloud Service beheert klantinhoud, maar klanten kunnen die gegevens niet detecteren, classificeren of labelen.

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van:

  • Azure RBAC.
  • Toegangsbeheer op basis van netwerk.
  • Specifieke besturingselementen in Azure-services, zoals versleuteling.

Om consistent toegangsbeheer te garanderen, moet u alle typen toegangsbeheer uitlijnen met uw bedrijfssegmentatiestrategie. Informeer de strategie voor bedrijfssegmentatie met de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Voor het onderliggende platform (beheerd door Microsoft) behandelt Microsoft alle klantinhoud als gevoelig. Het beschermt tegen gegevensverlies en blootstelling van klanten. Om ervoor te zorgen dat klantgegevens in Azure veilig blijven, implementeert Microsoft enkele standaardbesturingselementen voor gegevensbeveiliging en -mogelijkheden.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, beveiligt u gegevens die onderweg zijn tegen 'out-of-band'-aanvallen, zoals het vastleggen van verkeer. Gebruik versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Azure Spring Cloud Service ondersteunt gegevensversleuteling tijdens overdracht met TLS (Transport Layer Security) v1.2 of hoger.

Hoewel deze versleuteling optioneel is voor verkeer op privénetwerken, is het essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, kunnen onderhandelen over TLS v1.2 of hoger. Gebruik een van de volgende mogelijkheden voor extern beheer in plaats van een niet-versleuteld protocol:

  • Secure Shell (SSH) voor Linux
  • Remote Desktop Protocol (RDP) en TLS voor Windows

Schakel zwakke coderingen uit, plus verouderde versies en protocollen van:

  • Secure Sockets Layer (SSL)
  • TLS
  • SSH

Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Klant

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Azure Spring Cloud Service data-at-rest om te beschermen tegen 'out-of-band'-aanvallen (zoals toegang tot onderliggende opslag) met behulp van versleuteling. Deze procedure helpt ervoor te zorgen dat aanvallers de gegevens niet eenvoudig kunnen lezen of wijzigen.

Verantwoordelijkheid: Klant

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Beveiligingsteams machtigingen voor beveiligingsteams verlenen in uw Azure-tenant en -abonnementen. Vervolgens kunnen de teams controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe u de verantwoordelijkheden van het beveiligingsteam structureringt, kan een centraal beveiligingsteam of een lokaal team verantwoordelijk zijn voor het bewaken van beveiligingsrisico's. Verzamel altijd beveiligingsinzichten en risico's centraal binnen een organisatie.

U kunt machtigingen voor beveiligingslezers breed toepassen op een hele tenant (hoofdbeheergroep). Of beperk ze tot beheergroepen of specifieke abonnementen.

Opmerking: er zijn mogelijk extra machtigingen nodig om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Zorg ervoor dat beveiligingsteams toegang hebben tot een voortdurend bijgewerkte inventaris van assets in Azure, zoals Azure Spring Cloud Service. Beveiligingsteams hebben deze inventaris vaak nodig om de potentiële blootstelling van hun organisatie aan opkomende risico's te evalueren. De inventaris is ook een invoer voor continue beveiligingsverbeteringen. Maak een Azure AD groep om het geautoriseerde beveiligingsteam van uw organisatie te bevatten. Wijs het team leestoegang toe aan alle Azure Spring Cloud Service-resources. U kunt deze stappen vereenvoudigen in één roltoewijzing op hoog niveau binnen uw abonnement.

Als u logisch wilt ordenen in een taxonomie, past u tags toe op uw:

  • Azure-resources
  • Resourcegroepen
  • Abonnementen

Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Met behulp van de inventaris van virtuele Azure-machines automatiseert u de verzameling informatie over software op virtuele machines. Op de Azure Portal zijn de volgende items beschikbaar:

  • Softwarenaam
  • Versie
  • Publisher
  • Vernieuwingstijd

Als u toegang wilt krijgen tot installatiedatums en andere informatie, schakelt u diagnostische gegevens op gastniveau in. Breng vervolgens de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Als u wilt opgeven op welke bestandstypen een regel mogelijk of niet van toepassing is, gebruikt u Adaptieve toepassingsbesturingselementen van Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Controleren en beperken welke services gebruikers in uw omgeving kunnen inrichten met behulp van Azure Policy. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. Met Monitor maakt u regels om waarschuwingen te activeren wanneer er een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

AM-4: Beveiliging van levenscyclusbeheer van assets garanderen

Richtlijnen: Niet van toepassing; U kunt Azure Spring Cloud Service niet gebruiken om de beveiliging van assets in een levenscyclusbeheerproces te garanderen. De klant is verantwoordelijk voor het onderhouden van de kenmerken en netwerkconfiguraties van assets die als een hoge impact worden beschouwd. Laat de klant een proces maken om het volgende te doen:

  • Leg de wijzigingen in het kenmerk en de netwerkconfiguratie vast.
  • Meet de impact van de wijziging.
  • Hersteltaken maken, indien van toepassing.

Verantwoordelijkheid: Klant

AM-5: De mogelijkheid van gebruikers beperken om te communiceren met Azure Resource Manager

Richtlijnen: Het gebruik van voorwaardelijke toegang van Azure beperkt de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager. Configureer Toegang blokkeren voor de app Microsoft Azure Management.

Verantwoordelijkheid: Klant

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Richtlijnen: Het gebruik van inventaris van virtuele Azure-machines automatiseert het verzamelen van informatie over alle software op virtuele machines. De Azure Portal maakt de volgende items beschikbaar:

  • Softwarenaam
  • Versie
  • Publisher
  • Vernieuwingstijd

Als u toegang wilt krijgen tot de installatiedatum en andere informatie, schakelt u diagnostische gegevens op gastniveau in. Breng vervolgens de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen in Microsoft Defender for Cloud. Microsoft Defender inschakelen voor uw Azure Spring Cloud Service-resources. Microsoft Defender voor Azure Spring Cloud Service biedt een andere beveiligingsinformatielaag. Deze laag detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van uw Azure Spring Cloud Service-resources.

Stuur logboeken van Azure Spring Cloud Service door naar uw SIEM, zodat u aangepaste bedreigingsdetecties kunt instellen. Bewaak verschillende typen Azure-assets voor mogelijke bedreigingen en afwijkingen. Focus op het verkrijgen van waarschuwingen van hoge kwaliteit, dus analisten hoeven niet zoveel fout-positieven te sorteren. U kunt waarschuwingen ophalen uit logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken:

  • Aanmeldingen. Het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken. Auditlogboeken bieden traceerbaarheid via logboeken voor alle wijzigingen die verschillende functies binnen Azure AD aanbrengen. Voorbeelden hiervan zijn wijzigingen die zijn aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van:

    • Gebruikers
    • Apps
    • Groepen
    • Rollen
    • Beleidsregels
  • Riskante aanmeldingen. Een riskante aanmelding geeft aan voor een aanmeldingspoging die mogelijk is gemaakt door iemand die niet de legitieme eigenaar van het gebruikersaccount is.

  • Gebruikers die risico lopen. Een riskante gebruiker geeft een gebruikersaccount aan dat mogelijk is aangetast.

U kunt deze logboeken weergeven in Azure AD rapportage. Voor geavanceerdere gebruiksscenario's voor bewaking en analyse kunt u de logboeken integreren met:

  • Monitor
  • Microsoft Sentinel
  • Andere SIEM-/bewakingshulpprogramma's

Microsoft Defender voor Cloud kan ook waarschuwingen activeren voor bepaalde verdachte activiteiten. Deze activiteiten omvatten een overmatig aantal mislukte verificatiepogingen of afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de microsoft Defender for Cloud Threat Protection-module ook diepgaande beveiligingswaarschuwingen van afzonderlijke personen verzamelen:

  • Azure-rekenresources (virtuele machines, containers en App Service)
  • Gegevensbronnen (SQL DB en opslag)
  • Azure-servicelagen

Met deze mogelijkheid kunt u accountafwijkingen binnen één resource weergeven.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Voor beveiligingsanalyse kunt u logboeken inschakelen en verzamelen voor:

  • NSG-resources
  • NSG-stromen
  • Azure Firewall
  • Web Application Firewall (WAF)

Gebruik deze logboeken ter ondersteuning van:

  • Incidentonderzoeken
  • Detectie van bedreigingen
  • Genereren van beveiligingswaarschuwingen

Verzend de stroomlogboeken naar een Log Analytics-werkruimte in Monitor. Gebruik Vervolgens Traffic Analytics om inzichten te bieden.

Azure Spring Cloud Service registreert al het netwerkverkeer dat wordt verwerkt voor klanttoegang. Schakel de netwerkstroommogelijkheid in uw geïmplementeerde aanbiedingsbronnen in.

Verzamel DNS-querylogboeken om andere netwerkgegevens te correleren. Implementeer volgens de behoefte van uw organisatie een oplossing van derden uit Azure Marketplace voor DNS-logboekregistratie.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: activiteitenlogboeken bevatten alle schrijfbewerkingen (PUT, POST en DELETE) voor uw Azure Spring Cloud Service-resources. Activiteitenlogboeken zijn automatisch beschikbaar, maar bevatten geen leesbewerkingen (GET). U kunt activiteitenlogboeken gebruiken om een fout te vinden bij het oplossen van problemen. Of gebruik de logboeken om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Azure-resourcelogboeken inschakelen voor Azure Spring Cloud Service. Gebruik Microsoft Defender voor Cloud en Azure Policy om resourcelogboeken en logboekgegevens verzamelen in te schakelen. Deze logboeken kunnen essentieel zijn voor het onderzoeken van beveiligingsincidenten en het uitvoeren van forensische oefeningen.

Azure Spring Cloud Service produceert ook beveiligingscontrolelogboeken voor de lokale beheerdersaccounts. Schakel deze lokale auditlogboeken voor beheerders in.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Niet van toepassing; Azure Spring Cloud Service biedt geen ondersteuning voor het configureren van uw eigen tijdsynchronisatiebronnen.

De Azure Spring Cloud Service-service is afhankelijk van microsoft-tijdsynchronisatiebronnen. Het wordt niet blootgesteld aan klanten voor configuratie.

Verantwoordelijkheid: Microsoft

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

IR-1: Voorbereiding: responsproces voor incidenten bijwerken voor Azure

Richtlijnen: zorg ervoor dat uw organisatie:

  • Heeft processen om te reageren op beveiligingsincidenten.
  • Deze processen voor Azure zijn bijgewerkt.
  • Oefen regelmatig de processen uit om de gereedheid te garanderen.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

IR-2: Voorbereiding : incidentmelding instellen

Richtlijnen: Contactgegevens voor beveiligingsincidenten instellen in Microsoft Defender voor Cloud. Wat gebeurt er als het Microsoft Security Response Center (MSRC) een onrechtmatige of onbevoegde partij toegang heeft gevonden tot uw gegevens? Vervolgens gebruikt Microsoft deze contactgegevens om contact met u op te leggen. Op basis van uw behoeften voor incidentrespons kunt u incidentwaarschuwingen en -meldingen aanpassen in verschillende Azure-services.

Verantwoordelijkheid: Klant

IR-3: Detectie en analyse: incidenten maken op basis van waarschuwingen van hoge kwaliteit

Richtlijnen: Een proces hebben om waarschuwingen van hoge kwaliteit te maken en de kwaliteit van waarschuwingen te meten. Met deze oefening leert u lessen uit eerdere incidenten. Vervolgens kunt u zich richten op waarschuwingen voor analisten, zodat ze geen tijd verspillen aan fout-positieven.

Door diverse signaalbronnen samen te voegen en te correleren, kunt u waarschuwingen van hoge kwaliteit bouwen op basis van:

  • Ervaring van eerdere incidenten.
  • Gevalideerde communitybronnen.
  • Hulpprogramma's die zijn ontworpen om waarschuwingen te genereren en op te schonen.

Microsoft Defender for Cloud biedt waarschuwingen van hoge kwaliteit voor veel Azure-assets. U kunt de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen te streamen naar Microsoft Sentinel. Als u automatisch incidenten wilt genereren voor een onderzoek, kunt u met Microsoft Sentinel geavanceerde waarschuwingsregels maken.

Als u risico's voor Azure-resources wilt identificeren, exporteert u uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de exportfunctie. Waarschuwingen en aanbevelingen handmatig exporteren. Of exporteer op doorlopende, continue wijze.

Verantwoordelijkheid: Klant

IR-4: Detectie en analyse: een incident onderzoeken

Richtlijnen: zorg ervoor dat analisten diverse gegevensbronnen kunnen opvragen en gebruiken wanneer ze potentiële incidenten onderzoeken. Vervolgens kunnen analisten een volledig overzicht maken van wat er is gebeurd. Als u niet-gedetecteerde problemen wilt voorkomen, verzamelt u diverse logboeken om de activiteiten van een potentiële aanvaller in de kill chain bij te houden. Leg inzichten en learnings vast voor andere analisten en voor toekomstige historische naslaginformatie.

De gegevensbronnen voor onderzoek omvatten de gecentraliseerde logboekregistratiebronnen die al worden verzameld van de services binnen het bereik en actieve systemen. Gegevensbronnen kunnen ook het volgende omvatten:

  • Netwerkgegevens. Als u netwerkstroomlogboeken en andere analysegegevens wilt vastleggen, gebruikt u:

    • Stroomlogboeken van NSG's
    • Azure Network Watcher
    • Monitor
  • Momentopnamen van actieve systemen:

    • Gebruik de functie voor het maken van momentopnamen van virtuele machines van Azure om een momentopname of snapshot te maken van de schijf van het actieve systeem.

    • Gebruik de voorziening van het besturingssysteem voor het maken van geheugendumps om een momentopname te maken van het geheugen van het actieve systeem.

    • Gebruik de momentopnamefunctie van de Azure-services of van uw software om momentopnamen van de actieve systemen te maken.

Microsoft Sentinel biedt uitgebreide gegevensanalyses in vrijwel elke logboekbron. Het biedt een portal voor casebeheer voor het beheren van de volledige levenscyclus van incidenten. Voor tracerings- en rapportagedoeleinden koppelt u informatie tijdens een onderzoek aan een incident.

Verantwoordelijkheid: Klant

IR-5: Detectie en analyse – focus op incidenten

Richtlijnen: Op basis van de ernst van waarschuwingen en gevoeligheid van activa biedt u context aan analisten waarop incidenten zich eerst moeten richten.

Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing. Met deze ernst kunt u benadrukken welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op:

  • Hoe zeker Microsoft Defender voor Cloud is in de bevindingen.
  • Hoe zeker Microsoft Defender voor Cloud is in de analyse die is gebruikt om de waarschuwing uit te geven.
  • Het betrouwbaarheidsniveau dat er schadelijke intenties zijn achter de activiteit die tot de waarschuwing heeft geleid.

Resources markeren met behulp van tags. Maak een naamgevingssysteem om Azure-resources te identificeren en categoriseren, met name de resources die gevoelige gegevens verwerken. U bent verantwoordelijk voor het herstellen van waarschuwingen, op basis van de kritiek van de Azure-resources en de omgeving waarin het incident zich heeft voorgedaan.

Verantwoordelijkheid: Klant

IR-6: Insluiting, uitroeiing en herstel – automatiseer de verwerking van incidenten

Richtlijnen: Automatiseer handmatige, terugkerende taken om de responstijd te versnellen en de werklast van analisten te verlichten. Handmatige taken:

  • Duurt langer om uit te voeren.
  • Vertraagt de voortgang van elk incident.
  • Vermindert het aantal incidenten dat een analist kan verwerken.

Handmatige taken verhogen ook de vermoeidheid van analisten, waardoor het risico op menselijke fouten dat vertragingen veroorzaakt, toeneemt. Vermoeidheid verslechtert de mogelijkheid van analisten om zich effectief te richten op complexe taken.

Gebruik functies voor werkstroomautomatisering in Microsoft Defender voor Cloud en Microsoft Sentinel om automatisch acties te activeren. Of gebruik deze functies om een playbook uit te voeren dat reageert op binnenkomende beveiligingswaarschuwingen. Het playbook voert acties uit, zoals:

  • Meldingen verzenden
  • Accounts uitschakelen
  • Problematische netwerken isoleren

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken om veilige configuraties op alle rekenresources tot stand te brengen. Deze resources omvatten VM's, containers en andere.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Niet van toepassing; Microsoft biedt beheer van beveiligingsproblemen op de onderliggende systemen die ondersteuning bieden voor Azure Spring Cloud Service.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Voor software van derden gebruikt u een oplossing voor patchbeheer van derden. Of gebruik System Center Updates Publisher voor Configuration Manager.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources. Zorg voor herstel van alle kritieke beveiligingsresultaten.

Als u ervoor wilt zorgen dat uw penetratietests geen inbreuk maken op het Microsoft-beleid, volgt u de Regels voor het testen van Microsoft-cloudpenetratietests. Gebruik de strategie en uitvoering van Red Teaming en live site-penetratietests van Microsoft voor door Microsoft beheerde:

  • Cloudinfrastructuur
  • Services
  • Toepassingen

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat er maatregelen zijn genomen om te voorkomen dat sleutels verloren gaan en te herstellen. Als u sleutels wilt beveiligen tegen onbedoelde of schadelijke verwijdering, schakelt u beveiliging tegen voorlopig verwijderen en opschonen in Key Vault in.

Verantwoordelijkheid: Klant

Governance en strategie

Zie Azure Security Benchmark: governance en strategie.

GS-1: Strategie voor asset-management en gegevensbescherming definiëren

Richtlijnen: Documenteer en communiceer een duidelijke strategie voor continue bewaking en bescherming van systemen en gegevens. Voor bedrijfskritieke gegevens en systemen richt u zich op:

  • Detectie
  • Beoordeling
  • Beveiliging
  • Bewaking

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Standaard voor gegevensclassificatie die overeenkomt met de bedrijfsrisico's

  • Inzicht van beveiligingsorganisaties in risico's en asset-inventaris

  • Goedkeuring door beveiligingsorganisaties van Azure-services voor gebruik

  • Beveiliging van assets op grond van hun levenscyclus

  • Vereiste strategie voor toegangsbeheer die overeenkomt met de classificatie van organisatiegegevens

  • Gebruik van systeemeigen beveiligingsmogelijkheden van Azure en van derde partijen

  • Vereisten voor gegevensversleuteling in gebruiksscenario's met gegevens tijdens een overdracht en data-at-rest

  • Juiste cryptografische standaarden

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-2: Segmentatiestrategie van bedrijf definiëren

Richtlijnen: Een strategie voor de hele onderneming tot stand brengen voor het segmenteren van toegang tot assets met behulp van een combinatie van:

  • Identiteit
  • Netwerk
  • Toepassing
  • Abonnement
  • Beheergroep
  • Andere besturingselementen

Zorgvuldig saldo:

  • De noodzaak van beveiligingsscheiding.
  • De noodzaak om de dagelijkse werking van de systemen die communiceren en toegang tot gegevens mogelijk maken, mogelijk te maken.

Implementeer de segmentatiestrategie consistent voor controletypen, waaronder:

  • Netwerkbeveiliging
  • Identiteits- en toegangsmodellen
  • Toepassingsmachtigings- en toegangsmodellen
  • Besturingselementen voor menselijk proces

Bekijk de volgende koppelingen voor meer informatie:

Verantwoordelijkheid: Klant

GS-3: Strategie voor het beheer van beveiligingspostuur definiëren

Richtlijnen: Risico's voor uw afzonderlijke assets en de omgeving waarin ze worden gehost, continu meten en beperken. Richt u op hoogwaardige assets en zeer blootgestelde kwetsbaarheid voor aanvallen, zoals:

  • Gepubliceerde toepassingen
  • Netwerkinkomende en uitgaande punten
  • Eindpunten van gebruikers en beheerders

Lees het volgende artikel voor meer informatie:

Verantwoordelijkheid: Klant

GS-4: Organisatierollen, verantwoordelijkheden en aansprakelijkheden afstemmen

Richtlijnen: Documenteer en communiceer een duidelijke strategie voor rollen en verantwoordelijkheden in uw beveiligingsorganisatie. Benadrukken:

  • Duidelijke verantwoordelijkheid bieden voor beveiligingsbeslissingen.
  • Iedereen opleiden over het model voor gedeelde verantwoordelijkheid.
  • Technische teams opleiden over technologie om de cloud te beveiligen.

Lees de volgende artikelen voor meer informatie:

Verantwoordelijkheid: Klant

GS-5: Strategie voor netwerkbeveiliging definiëren

Richtlijnen: Een Azure-netwerkbeveiligingsbenadering instellen. Maak deze aanpak een onderdeel van de algehele strategie van uw organisatie voor beveiligingstoegangsbeheer,

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Gecentraliseerd netwerkbeheer en verantwoordelijkheid voor beveiliging

  • Segmentatiemodel voor virtuele netwerken dat is afgestemd op de bedrijfssegmentatiestrategie

  • Herstelstrategie voor verschillende scenario's met bedreigingen en aanvallen

  • Strategie voor internetrand, inkomend en uitgaand verkeer

  • Strategie voor hybride cloud- en on-premises interconnectiviteit

  • Actuele netwerkbeveiligingsartefacten, zoals netwerkdiagrammen en referentienetwerkarchitectuur

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-6: Strategie voor het gebruik van identiteiten en uitgebreide toegang definiëren

Richtlijnen: Een Azure-identiteit en bevoegde toegangsmethoden tot stand brengen. Maak deze items een onderdeel van de algehele strategie van uw organisatie voor beveiligingstoegangsbeheer.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • Een gecentraliseerd identiteits- en verificatiesysteem en de interconnectiviteit ervan met andere interne en externe identiteitssystemen

  • Krachtige verificatiemethoden in verschillende gebruiksscenario's en onder verschillende voorwaarden

  • Bescherming van gebruikers met zeer uitgebreide bevoegdheden

  • Bewaking en verwerking van afwijkende gebruikersactiviteiten

  • Proces voor het beoordelen en op elkaar afstemmen van de identiteit en toegangsrechten van gebruikers

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-7: Strategie voor logboekregistratie en respons op bedreigingen definiëren

Richtlijnen: Als u bedreigingen snel wilt detecteren en herstellen tijdens het voldoen aan de nalevingsvereisten, moet u een strategie voor logboekregistratie en reactie op bedreigingen instellen. Richt u op het bieden van analisten met waarschuwingen van hoge kwaliteit en naadloze ervaringen. Vervolgens kunnen de analisten zich richten op bedreigingen in plaats van integratie en handmatige stappen.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • De rol en verantwoordelijkheden van de organisatie voor beveiligingsbewerkingen (SecOps)

  • Een goed gedefinieerd proces voor incidentrespons dat overeenkomt met een brancheframework, zoals het National Institute of Standards and Technology (NIST)

  • Logboekopname en -retentie ter ondersteuning van:

    • Detectie van bedreigingen
    • Reageren op incidenten
    • Nalevingsbehoeften
  • Gecentraliseerde zichtbaarheid van en correlatie-informatie over bedreigingen met behulp van:

    • SIEM
    • Systeemeigen Azure-mogelijkheden
    • Andere bronnen
  • Communicatie- en meldingsplan met uw:

    • Customers
    • Leveranciers
    • Publieke partijen van belang
  • Gebruik van systeemeigen Azure- en platformen van derden voor incidentafhandeling, zoals:

    • Logboekregistratie en bedreidingsdetectie
    • Forensics
    • Aanvalsherstel en uitroeiing
  • Processen voor het afhandelen van incidenten en activiteiten na incidenten, zoals geleerde lessen en het bewaren van bewijsmateriaal

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

GS-8: Strategie voor back-up en herstel definiëren

Richtlijnen: Een Strategie voor back-up en herstel van Azure instellen voor uw organisatie.

Deze strategie moet gedocumenteerde richtlijnen, beleid en standaarden bevatten voor de volgende elementen:

  • RTO-definities (Recovery Time Objective) en RPO(Recovery Point Objective) die overeenkomen met uw bedrijfstolerantiedoelstellingen

  • Redundantieontwerp in uw toepassingen en infrastructuur instellen

  • Beveiliging van back-ups, met behulp van toegangsbeheer en gegevensversleuteling

Raadpleeg de volgende bronnen voor meer informatie:

Verantwoordelijkheid: Klant

Volgende stappen