Azure-beveiligingsbasislijn voor Azure Stack Edge

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Microsoft Azure Stack Edge. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Stack Edge.

Wanneer een functie relevante Azure Policy definities heeft die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van De Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Stack Edge en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Stack Edge volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor de azure Stack Edge-beveiligingsbasislijn.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: Klanten implementeren een door Microsoft geleverd, fysiek Azure Stack Edge-apparaat in hun privénetwerk voor interne toegang en hebben opties om het verder te beveiligen. Het Azure Stack Edge-apparaat is bijvoorbeeld toegankelijk via het interne netwerk van de klant en vereist een door de klant geconfigureerd IP-adres. Daarnaast wordt een toegangswachtwoord gekozen door de klant om toegang te krijgen tot de gebruikersinterface van het apparaat.

Intern verkeer wordt verder beveiligd door:

  • Transport Layer Security (TLS) versie 1.2 is vereist voor Azure Portal- en SDK-beheer van het Azure Stack Edge-apparaat.

  • Clienttoegang tot het apparaat verloopt via de lokale webgebruikersinterface met standaard TLS 1.2 als standaardbeveiligingsprotocol.

  • Alleen een geautoriseerd Azure Stack Edge Pro-apparaat mag lid worden van de Azure Stack Edge-service die de klant maakt in zijn Azure-abonnement.

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Klanten kunnen een punt-naar-site virtueel particulier netwerk (VPN) kiezen om een Azure Stack Edge-apparaat te verbinden vanaf hun on-premises privénetwerk met het Azure-netwerk. VPN biedt een tweede versleutelingslaag voor de gegevens-in-motion over transportlaagbeveiliging van het apparaat van de klant naar Azure.

Klanten kunnen een virtueel particulier netwerk configureren op hun Azure Stack Edge-apparaat via de Azure Portal of via de Azure PowerShell.

Verantwoordelijkheid: Klant

NS-3: Toegang tot Azure-services via particulier netwerk tot stand brengen

Richtlijnen: Klanten kunnen een punt-naar-site virtueel particulier netwerk (VPN) kiezen om een Azure Stack Edge-apparaat te verbinden vanaf hun on-premises privénetwerk met het Azure-netwerk. VPN biedt een tweede versleutelingslaag voor de gegevens-in-motion over transportlaagbeveiliging van het apparaat van de klant naar Azure.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Het Azure Stack Edge-apparaat bevat standaard windows Server-netwerkbeveiligingsfuncties, die niet kunnen worden geconfigureerd door klanten.

Klanten kunnen ervoor kiezen om hun privénetwerk dat is verbonden met Azure Stack Edge-apparaten te beveiligen tegen externe aanvallen met behulp van een virtueel netwerkapparaat, zoals een firewall met geavanceerde DDoS-beveiliging (Distributed Denial of Service).

Verantwoordelijkheid: Gedeeld

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Verificatie van Azure Active Directory (Azure AD) is vereist voor alle beheerbewerkingen die worden uitgevoerd op Azure Stack Edge-apparaten via de Azure Portal. Azure Stack Hub vereist Azure AD of Active Directory Federation Services (ADFS), ondersteund door Azure AD, als id-provider.

Standaardiseren op Azure AD om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft-cloudresources, zoals de Azure Portal, Azure Storage, Azure Virtual Machines (Linux en Windows), Azure Key Vault, PaaS-toepassingen (Platform as a Service) en SaaS-toepassingen (Software as a Service)

  • De resources van uw organisatie, zoals toepassingen in Azure of uw bedrijfsnetwerkbronnen

Houd er rekening mee dat Azure AD alleen wordt gebruikt bij het openen van het apparaat via de Azure Portal. Lokale beheerbewerkingen op het Azure Stack Edge-apparaat maken geen gebruik van Azure AD.

Verantwoordelijkheid: Microsoft

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: alle Azure Stack Edge-apparaten hebben automatisch een door het systeem toegewezen beheerde identiteit in Azure Active Directory (Azure AD). Momenteel wordt de beheerde identiteit gebruikt voor het cloudbeheer van virtuele machines die worden gehost op Azure Stack Edge.

Azure Stack Edge-apparaten worden opgestart in een vergrendelde status voor lokale toegang. Voor het lokale apparaatbeheerdersaccount moet u verbinding maken met uw apparaat via de lokale webgebruikersinterface of PowerShell-interface en een sterk wachtwoord instellen. Sla de referenties van uw apparaatbeheerder op en beheer deze op een veilige locatie, zoals een Azure-Key Vault en roteer het beheerderswachtwoord volgens de standaarden van uw organisatie.

Verantwoordelijkheid: Gedeeld

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Eenmalige aanmelding wordt niet ondersteund voor Azure Stack Edge-eindpuntapparaten. U kunt er echter voor kiezen om eenmalige aanmelding op basis van Standard Azure Active Directory (Azure AD) in te schakelen om de toegang tot uw Azure-cloudresources te beveiligen.

Verantwoordelijkheid: Klant

IM-7: Onbedoelde blootstelling van referenties elimineren

Richtlijnen: volg de aanbevolen procedures voor het beveiligen van referenties, zoals:

  • Activeringssleutel die wordt gebruikt om het apparaat te activeren met de Azure Stack Edge-resource in Azure.
  • Meld u aan om toegang te krijgen tot het Azure Stack Edge-apparaat.
  • Belangrijke bestanden die het herstel van een Azure Stack Edge-apparaat kunnen vergemakkelijken.
  • Kanaalversleutelingssleutel

Draai en synchroniseer uw opslagaccountsleutels regelmatig om uw opslagaccount te beschermen tegen onbevoegde gebruikers.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Stack Edge heeft een gebruiker met de naam EdgeUser die het apparaat kan configureren. Het bevat ook Azure Resource Manager gebruiker 'EdgeArmUser' voor de lokale Functies van Azure Resource Manager op het apparaat.

Aanbevolen procedures moeten worden gevolgd om het volgende te beveiligen:

  • Referenties die worden gebruikt voor toegang tot het on-premises apparaat

  • SMB-referenties delen.

  • Toegang tot clientsystemen die zijn geconfigureerd voor het gebruik van NFS-shares.

  • Sleutels voor lokale opslagaccounts die worden gebruikt voor toegang tot de lokale opslagaccounts bij het gebruik van de Blob REST API.

Aanvullende informatie is beschikbaar via de koppeling waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde en geïsoleerde werkstations zijn van cruciaal belang voor de beveiliging van gevoelige rollen, zoals beheerders, ontwikkelaars en kritieke serviceoperators. Gebruik zeer beveiligde gebruikerswerkstations met of zonder Azure Bastion voor beheertaken. Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) en Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken.

De beveiligde werkstations kunnen centraal worden beheerd en beveiligde configuraties afdwingen, waaronder krachtige verificatie, software- en hardwarebasislijnen, beperkte logische toegang en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Stack Edge-gebruikers hebben toegang tot Just Enough Administration (JEA) die nodig is om hun taken uit te voeren. Er is geen volledige windows-beheerderstoegang nodig.

U kunt extern verbinding maken met de PowerShell-interface van het Azure Stack Edge-apparaat. Extern beheer is ook geconfigureerd om Just Enough Administration te gebruiken om te beperken wat de gebruikers kunnen doen. Vervolgens kunt u het apparaatwachtwoord opgeven om u aan te melden bij het apparaat.

Verantwoordelijkheid: Microsoft

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Azure Stack Edge behandelt alle interactiegegevens als gevoelig met alleen geautoriseerde gebruikers die toegang hebben tot deze gegevens. Volg de aanbevolen procedures om de referenties te beveiligen die worden gebruikt voor toegang tot de Azure Stack Edge-service.

Verantwoordelijkheid: Gedeeld

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Azure Stack Edge maakt gebruik van beveiligde kanalen voor gegevens tijdens de vlucht. Deze zijn:

  • Standaard TLS 1.2 wordt gebruikt voor gegevens die tussen het apparaat en de Azure-cloud worden verzonden. Er is geen terugval naar TLS 1.1 en eerder. Communicatie tussen agents wordt geblokkeerd als TLS 1.2 niet wordt ondersteund. TLS 1.2 is ook vereist voor Azure Portal- en SDK-beheer (Software Development Kit).

  • Wanneer clients toegang hebben tot uw apparaat via de lokale webgebruikersinterface van een browser, wordt standaard TLS 1.2 gebruikt als het standaardbeveiligingsprotocol

De aanbevolen procedure is om uw browser te configureren voor het gebruik van TLS 1.2. Gebruik SMB 3.0 met versleuteling om gegevens te beveiligen wanneer u deze kopieert van uw gegevensservers.

Verantwoordelijkheid: Gedeeld

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: alle data-at-rest op het Azure Stack Edge-apparaat wordt versleuteld met behulp van AES 256-bits versleuteling. Toegang tot data-at-rest, zoals bestandsshares, is beperkt tot:

  • SMB-clients die toegang hebben tot sharegegevens, hebben gebruikersreferenties nodig die zijn gekoppeld aan de share. Deze referenties worden gedefinieerd wanneer de share wordt gemaakt.

  • De IP-adressen van NFS-clients die toegang hebben tot een share, moeten worden toegevoegd wanneer de share wordt gemaakt.

  • BitLocker XTS-AES 256-bits versleuteling wordt gebruikt om lokale gegevens te beveiligen.

Bekijk aanvullende informatie die beschikbaar is via de koppeling waarnaar wordt verwezen.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Houd er rekening mee dat er mogelijk extra machtigingen nodig zijn om inzicht te krijgen in workloads en services.

Verantwoordelijkheid: Klant

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Hulp: U kunt uw eigen toepassingen gebruiken om te worden uitgevoerd op lokaal gemaakte virtuele machines. Gebruik PowerShell-scripts om lokale virtuele rekenmachines te maken op uw Stack Edge-apparaat. We raden u ten zeerste aan om alleen vertrouwde toepassingen in te voeren op de lokale virtuele machines.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Azure Stack Edge biedt geen mogelijkheden voor detectie van bedreigingen. Klanten kunnen echter auditlogboeken verzamelen in een ondersteuningspakket voor offline bedreigingsdetectie en -analyse.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Azure Stack Edge heeft netwerkcontrolelogboeken ingeschakeld als onderdeel van het downloadbare ondersteuningspakket. Deze logboeken kunnen worden geparseerd om semi-realtime bewaking te implementeren voor uw Azure Stack Edge-apparaten.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: realtime-bewaking met logboeken wordt momenteel niet ondersteund voor Azure Stack Edge. Er bestaat een mogelijkheid om een ondersteuningspakket te verzamelen waarmee u de verschillende logboeken kunt analyseren die erin zijn opgenomen, zoals firewall, software, hardwareinbraak en systeemgebeurtenislogboeken voor uw Azure Stack Edge Pro-apparaat. Houd er rekening mee dat de softwareinbraak of de standaardfirewalllogboeken worden verzameld voor binnenkomend en uitgaand verkeer.

Verantwoordelijkheid: Klant

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: realtime-bewaking met logboeken wordt momenteel niet ondersteund voor Azure Stack Edge. U kunt echter een ondersteuningspakket verzamelen waarmee u de verschillende logboeken kunt analyseren die erin zijn opgenomen. Het ondersteuningspakket wordt gecomprimeerd en wordt gedownload naar het pad van uw keuze. Pak het pakket uit en bekijk de logboekbestanden in het systeem. U kunt deze logboeken ook verzenden naar een hulpprogramma voor het beheren van beveiligingsinformatiegebeurtenissen of een andere centrale opslaglocatie voor analyse.

Verantwoordelijkheid: Klant

LT-6: Bewaarperiode voor logboek configureren

Richtlijnen: Bewaarperiode voor logboekopslag kan niet worden gewijzigd op het Azure Stack Edge-apparaat. Oudere logboeken worden zo nodig opgeschoond. U kunt ondersteuningspakketten van het apparaat met periodieke tussenpozen verzamelen om de logboeken gedurende een langere periode te bewaren.

Verantwoordelijkheid: Klant

LT-7: goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure Stack Edge maakt gebruik van time.windows.com, een netwerktijdproviderserver van Microsoft. Met Azure Stack Edge kan de klant ook de netwerktijdprotocolserver van hun keuze configureren.

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-1: Veilige configuraties tot stand brengen voor Azure-services

Richtlijnen: Microsoft stelt een veilige configuratie in voor het Azure Stack Edge-apparaat en onderhoudt deze instellingen gedurende de levensduur van het apparaat.

Verantwoordelijkheid: Microsoft

PV-2: Veilige configuraties onderhouden voor Azure-services

Richtlijnen: De door de gebruiker gedefinieerde beveiligingsconfiguraties zijn beperkt in het Azure Edge Stack-apparaat. De meeste beveiligingsinstellingen voor apparaten kunnen niet worden geconfigureerd en blijven up-to-date met de installatie van de nieuwste updates.

Verantwoordelijkheid: Microsoft

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Azure Stack Edge biedt wel ondersteuning voor het maken van beveiligde configuraties voor de lokale virtuele machines die door de klanten worden gemaakt. Het wordt sterk aanbevolen om richtlijnen van Microsoft te gebruiken om beveiligingsbasislijnen vast te stellen tijdens het maken van lokale virtuele machines,

Verantwoordelijkheid: Klant

PV-4: Veilige configuraties onderhouden voor rekenresources

Richtlijnen: Azure Stack Edge biedt geen ondersteuning voor het ondersteunen van beveiligde configuraties voor de lokale virtuele machines die door de klanten zijn gemaakt. Het wordt ten zeerste aanbevolen dat klanten de SECURITY Compliance Toolkits (SCT) gebruiken om veilige configuraties voor hun rekenresources te ondersteunen.

Hostbesturingssysteem en virtuele machines die worden beheerd door Azure Stack Edge onderhouden hun beveiligingsconfiguraties.

Verantwoordelijkheid: Gedeeld

PV-5: Aangepaste besturingssysteem- en containerinstallatiekopieën veilig opslaan

Richtlijnen: hostbesturingssystemen en virtuele machines die worden beheerd door Azure Stack Edge, worden veilig opgeslagen.

Klanten kunnen hun eigen installatiekopieën van virtuele machines en containers meenemen en zijn verantwoordelijk voor hun veilige beheer.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Evaluaties van beveiligingsproblemen van software worden uitgevoerd op alle Azure Stack Edge-releases, inclusief beoordelingen van de levenscyclus van softwareontwikkeling die voor hen worden uitgevoerd. Eventuele gevonden problemen worden hersteld op basis van hun ernst en prioriteit.

Verantwoordelijkheid: Microsoft

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Azure Stack Edge biedt regelmatig patchupdates en waarschuwt klanten wanneer dergelijke updates beschikbaar zijn om beveiligingsproblemen op te lossen. Het is de verantwoordelijkheid van de klant om hun apparaten en virtuele machines (gemaakt door hen) up-to-date te houden met de nieuwste patches.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-1: Eindpuntdetectie en -respons gebruiken (EDR)

Richtlijnen: Azure Stack Edge biedt geen rechtstreekse ondersteuning voor eindpuntdetectie en -respons (EDR). U kunt echter een ondersteuningspakket verzamelen en auditlogboeken ophalen. Deze logboeken kunnen vervolgens worden geanalyseerd om te controleren op afwijkende activiteiten.

Verantwoordelijkheid: Klant

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Azure Stack Edge maakt gebruik van Windows Defender Application Control (WDAC) met een beleid voor strikte code-integriteit (CI) waarmee alleen vooraf bepaalde toepassingen en scripts kunnen worden uitgevoerd. Windows Defender RTP-antimalware (Real Time Protection) is ook ingeschakeld. De klant kan ervoor kiezen om antimalware uit te voeren in de reken-VM's die ze maken om lokaal te worden uitgevoerd op een Azure Stack Edge-apparaat.

Verantwoordelijkheid: Klant

ES-3: Controleren of antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: Azure Stack Edge houdt het ci-beleid (code-integriteit) bijgewerkt, evenals updates Windows Defender handtekeningbestanden.

Verantwoordelijkheid: Microsoft

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Richtlijnen: periodieke back-ups van uw Azure Stack Edge-apparaat worden aanbevolen en kunnen worden uitgevoerd met Azure Backup en andere oplossingen voor gegevensbeveiliging van derden om de gegevens te beveiligen die zijn opgenomen in de virtuele machines die op het apparaat zijn geïmplementeerd. Oplossingen voor gegevensbeveiliging van derden, zoals Cohesity, Commvault en Veritas, kunnen ook een back-upoplossing bieden voor de gegevens in de lokale SMB- of NFS-shares.

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: zorg ervoor dat uw back-ups worden beschermd tegen aanvallen. Dit omvat versleuteling van de back-ups om te beschermen tegen verlies van vertrouwelijkheid. Raadpleeg de gewenste back-upoplossing voor meer informatie.

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: voer periodiek gegevensherstel van uw back-ups uit.

Verantwoordelijkheid: Klant

BR-4: Het risico op verloren sleutels beperken

Richtlijnen: Zorg ervoor dat alle Azure Stack Edge-back-ups, inclusief door de klant beheerde sleutels, worden beveiligd volgens de best practices van de organisatie. Uw Azure Stack Edge-apparaat is gekoppeld aan een Azure Storage-account dat wordt gebruikt als doelopslagplaats voor uw gegevens in Azure.

Toegang tot het Azure Storage-account wordt beheerd door Azure-abonnementen en de twee 512-bits toegangssleutels voor opslag die zijn gekoppeld aan dat opslagaccount. Een van de toegangssleutels wordt gebruikt voor verificatiedoeleinden wanneer het Azure Stack Edge-apparaat toegang heeft tot het opslagaccount. De andere sleutel wordt gereserveerd voor periodieke sleutelrotatie. Zorg ervoor dat aanbevolen beveiligingsprocedures worden gebruikt voor sleutelrotatie.

Verantwoordelijkheid: Klant

Volgende stappen