Azure-beveiligingsbasislijn voor Azure Virtual Desktop

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 2.0 toe op Azure Virtual Desktop. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op
Azure Virtual Desktop.

Wanneer een functie relevante Azure Policy definities bevat die in deze basislijn worden vermeld, kunt u de naleving van de besturingselementen en aanbevelingen van de Azure Security Benchmark meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Virtual Desktop en de besturingselementen waarvoor de algemene richtlijnen worden aanbevolen, zijn uitgesloten. Als u wilt zien hoe Azure Virtual Desktop volledig wordt toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige toewijzingsbestand voor azure Virtual Desktop-beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

NS-1: Beveiliging implementeren voor intern verkeer

Richtlijnen: u moet een bestaand virtueel netwerk maken of gebruiken wanneer u virtuele machines implementeert die moeten worden geregistreerd bij Azure Virtual Desktop. Zorg ervoor dat alle virtuele Azure-netwerken een bedrijfssegmentatieprincipe volgen dat overeenkomt met de bedrijfsrisico's. Elk systeem dat een hoger risico voor de organisatie kan lopen, moet worden geïsoleerd binnen een eigen virtueel netwerk en voldoende worden beveiligd met een netwerkbeveiligingsgroep of Azure Firewall.

Gebruik adaptieve netwerkbeveiligingsfuncties in Microsoft Defender voor Cloud om configuraties van netwerkbeveiligingsgroepen aan te bevelen die poorten en bron-IP-adressen beperken met verwijzing naar regels voor extern netwerkverkeer.

Op basis van uw toepassingen en bedrijfssegmentatiestrategie kunt u verkeer tussen interne resources beperken of toestaan op basis van regels voor netwerkbeveiligingsgroepen. Voor specifieke goed gedefinieerde toepassingen (zoals een app met drie lagen) kan dit een zeer veilige benadering 'standaard weigeren, toestaan per uitzondering' zijn. Dit kan niet goed worden geschaald als u veel toepassingen en eindpunten hebt die met elkaar communiceren. U kunt ook Azure Firewall gebruiken in omstandigheden waarin centraal beheer is vereist voor een groot aantal bedrijfssegmenten of spokes (in een hub/spoke-topologie).

Voor de netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine (die deel uitmaken van Azure Virtual Desktop)-subnetten, moet u uitgaand verkeer naar specifieke eindpunten toestaan.

Een netwerkbeveiligingsgroep maken met beveiligingsregels: /azure/virtual-network/tutorial-filter-network-traffic

Azure Firewall implementeren en configureren: /azure/firewall/tutorial-firewall-deploy-portal

Verantwoordelijkheid: Klant

NS-2: Privénetwerken met elkaar verbinden

Richtlijnen: Gebruik Azure ExpressRoute of virtueel particulier Azure-netwerk om privéverbindingen te maken tussen Azure-datacenters en on-premises infrastructuur in een colocatieomgeving. ExpressRoute-verbindingen gaan niet via het openbare internet, bieden meer betrouwbaarheid, snellere en lagere latenties dan typische internetverbinding.

Voor punt-naar-site- en site-naar-site-virtuele privénetwerken kunt u on-premises apparaten of netwerken verbinden met een virtueel netwerk met behulp van een combinatie van opties voor virtueel particulier netwerk en Azure ExpressRoute.

Gebruik peering van virtuele netwerken om twee of meer virtuele netwerken met elkaar te verbinden in Azure. Netwerkverkeer tussen gekoppelde virtuele netwerken is privé en blijft op het Azure-backbonenetwerk.

Verantwoordelijkheid: Klant

NS-4: Toepassingen en services beveiligen tegen aanvallen van externe netwerken

Richtlijnen: Gebruik Azure Firewall om toepassingen en services te beschermen tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Bescherm uw Azure Virtual Desktop-resources tegen aanvallen van externe netwerken, waaronder gedistribueerde Denial of Service-aanvallen, toepassingsspecifieke aanvallen, ongevraagd en mogelijk schadelijk internetverkeer. Beveilig uw assets tegen gedistribueerde Denial of Service-aanvallen door DDoS-standaardbeveiliging in te schakelen voor uw Azure Virtual Networks. Gebruik Microsoft Defender voor Cloud om onjuiste configuratierisico's met betrekking tot uw netwerkresources te detecteren.

Azure Virtual Desktop is niet bedoeld om webtoepassingen uit te voeren en vereist niet dat u aanvullende instellingen configureert of extra netwerkservices implementeert om deze te beschermen tegen aanvallen van externe netwerken die gericht zijn op webtoepassingen.

Verantwoordelijkheid: Klant

NS-6: Netwerkbeveiligingsregels vereenvoudigen

Richtlijnen: Gebruik Azure Virtual Network servicetags om netwerktoegangsbeheer te definiëren voor netwerkbeveiligingsgroepen of een Azure Firewall geconfigureerd voor uw Azure Virtual Desktop-resources. U kunt servicetags gebruiken in plaats van specifieke IP-adressen wanneer u beveiligingsregels maakt. Door de naam van de servicetag op te geven (bijvoorbeeld: AzureVirtualDesktop) in het juiste bron- of doelveld van een regel, kunt u het verkeer voor de bijbehorende service toestaan of weigeren. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij als adressen worden gewijzigd.

Verantwoordelijkheid: Klant

Identiteitsbeheer

Zie Azure Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Azure Active Directory standaardiseren als het centrale identiteits--en verificatiesysteem

Richtlijnen: Azure Virtual Desktop maakt gebruik van Azure Active Directory (Azure AD) als de standaardservice voor identiteits- en toegangsbeheer. U moet Azure AD standaardiseren om het identiteits- en toegangsbeheer van uw organisatie te beheren in:

  • Microsoft Cloud-resources, zoals de Azure Portal, Azure Storage, Azure Virtual Machine (Linux en Windows), Azure Key Vault-, PaaS- en SaaS-toepassingen.

  • De resources van uw organisatie, zoals toepassingen in Azure of resources van uw bedrijfsnetwerk.

Het beveiligen van Azure AD moet een hoge prioriteit hebben in de cloudbeveiligingsprocedure van uw organisatie. Azure AD biedt een id-beveiligingsscore om u te helpen beoordelen in hoeverre uw identiteitsbeveiliging voldoet aan de aanbevelingen op basis van best practices van Microsoft. Gebruik de score om te meten hoe nauwkeurig uw configuratie overeenkomt met aanbevelingen op basis van best practices, en om verbeteringen aan te brengen in uw beveiligingsaanpak.

Azure AD ondersteunt externe identiteiten waarmee gebruikers zonder Microsoft-account zich kunnen aanmelden bij hun toepassingen en resources met hun externe identiteit.

Verantwoordelijkheid: Klant

IM-2: Toepassingsidentiteiten veilig en automatisch beheren

Richtlijnen: Azure Virtual Desktop biedt ondersteuning voor door Azure beheerde identiteiten voor niet-menselijke accounts, zoals services of automatisering. Het wordt aanbevolen om de functie beheerde identiteit van Azure te gebruiken in plaats van een krachtiger menselijk account te maken om toegang te krijgen tot uw resources of om ze uit te voeren.

Azure Virtual Desktop raadt het gebruik van Azure Active Directory (Azure AD) aan om een service-principal te maken met beperkte machtigingen op resourceniveau om service-principals te configureren met certificaatreferenties en terug te vallen op clientgeheimen. In beide gevallen kan Azure Key Vault worden gebruikt om in combinatie met door Azure beheerde identiteiten te worden gebruikt, zodat de runtime-omgeving (zoals een Azure-functie) de referentie uit de sleutelkluis kan ophalen.

Verantwoordelijkheid: Klant

IM-3: Eenmalige aanmelding (SSO) van Azure AD gebruiken voor toegang tot toepassingen

Richtlijnen: Azure Virtual Desktop maakt gebruik van Azure Active Directory (Azure AD) om identiteits- en toegangsbeheer te bieden voor Azure-resources, cloudtoepassingen en on-premises toepassingen. Dit omvat ondernemingsidentiteiten zoals werknemers, maar ook externe identiteiten, zoals partners, verkopers en leveranciers. Zo kunt u eenmalige aanmelding (SSO) gebruiken voor het beheren en beveiligen van de gegevens en resources van uw organisatie, on premises en in de cloud. Verbind al uw gebruikers, toepassingen en apparaten met Azure AD voor naadloze veilige toegang met meer zichtbaarheid en controle.

Verantwoordelijkheid: Klant

Bevoegde toegang

Zie Azure Security Benchmark: uitgebreide toegang voor meer informatie.

PA-3: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Virtual Desktop maakt gebruik van Azure Active Directory-accounts (Azure AD) voor het beheren van de resources, controleer regelmatig gebruikersaccounts en toegangstoewijzing om ervoor te zorgen dat de accounts en hun toegang geldig zijn.

Gebruik Azure AD toegangsbeoordelingen om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen te controleren. Azure AD rapportage kan logboeken bieden om verouderde accounts te detecteren.

Daarnaast kan Azure Privileged Identity Management ook worden geconfigureerd om te waarschuwen wanneer een overmatig aantal beheerdersaccounts wordt gemaakt en om beheerdersaccounts te identificeren die verouderd of onjuist zijn geconfigureerd.

Sommige Azure-services ondersteunen lokale gebruikers en rollen die niet worden beheerd via Azure AD. U moet deze gebruikers afzonderlijk beheren.

Verantwoordelijkheid: Klant

PA-6: Werkstations met uitgebreide toegang gebruiken

Richtlijnen: Beveiligde en geïsoleerde werkstations zijn essentieel voor de beveiliging van gevoelige rollen, zoals beheerders, ontwikkelaars en essentiële serviceoperators. Gebruik zeer beveiligde gebruikerswerkstations en/of Azure Bastion voor beheertaken.

Gebruik Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (ATP) of Microsoft Intune om een beveiligd en beheerd gebruikerswerkstation te implementeren voor beheertaken. Het beveiligde werkstation kan centraal worden beheerd om beveiligde configuratie af te dwingen, waaronder sterke verificatie, software- en hardwarebasislijnen, beperkte logische en netwerktoegang.

Verantwoordelijkheid: Klant

PA-7: Principe van minimale bevoegdheden hanteren

Richtlijnen: Azure Virtual Desktop is geïntegreerd met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor het beheren van de resources. Met Azure RBAC kunt u de toegang tot Azure-resources beheren via roltoewijzingen. U kunt deze rollen toewijzen aan gebruikers, service-principals en beheerde identiteiten groeperen. Er bestaan vooraf gedefinieerde, ingebouwde rollen voor bepaalde resources, en deze rollen kunnen worden geïnventariseerd of opgevraagd via tools zoals Azure CLI, Azure PowerShell en Azure Portal.

De bevoegdheden die u toewijst aan resources met Azure RBAC, moeten altijd worden beperkt tot de bevoegdheden die vereist zijn voor de rollen. Dit is een aanvulling op de Just-In-Time-benadering (JIT) van Privileged Identity Management (PIM), met Azure Active Directory (Azure AD) en moet periodiek worden gecontroleerd.

Daarnaast kunt u ingebouwde rollen gebruiken om machtigingen toe te wijzen en alleen aangepaste rollen te maken wanneer dat nodig is.

Verantwoordelijkheid: Klant

PA-8: Goedkeuringsproces kiezen voor Microsoft-ondersteuning

Richtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet krijgen tot klantgegevens, ondersteunt Azure Virtual Desktop Customer Lockbox om een interface te bieden voor het beoordelen en goedkeuren of afwijzen van aanvragen voor toegang tot klantgegevens.

Verantwoordelijkheid: Gedeeld

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

DP-1: Detectie, classificatie en labeling van gevoelige gegevens

Richtlijnen: Uw gevoelige gegevens detecteren, classificeren en labelen, zodat u de juiste besturingselementen kunt ontwerpen. Dit is om ervoor te zorgen dat gevoelige informatie veilig wordt opgeslagen, verwerkt en verzonden door de technologiesystemen van de organisatie.

Gebruik Azure Information Protection (en het bijbehorende scanprogramma) voor gevoelige informatie in Office-documenten in Azure, on-premises, Office 365 en andere locaties.

U kunt Azure SQL Information Protection gebruiken bij het classificeren en labelen van informatie die is opgeslagen in Azure SQL-databases.

Verantwoordelijkheid: Klant

DP-2: Gevoelige gegevens beschermen

Richtlijnen: Gevoelige gegevens beveiligen door de toegang te beperken met behulp van Azure Role Based Access Control (Azure RBAC), netwerktoegangsbeheer en specifieke besturingselementen in Azure-services (zoals versleuteling in SQL en andere databases).

Consistent toegangsbeheer is alleen mogelijk als alle typen toegangsbeheer zijn afgestemd op de segmentatiestrategie van uw bedrijf. De segmentatiestrategie voor uw bedrijf moet ook worden gebaseerd op de locatie van gevoelige of bedrijfskritieke gegevens en systemen.

Microsoft behandelt alle klantinhoud als gevoelig en beschermt tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens veilig blijven binnen Azure, heeft Microsoft enkele standaardmaatregelen en -mechanismen voor gegevensbeveiliging geïmplementeerd.

Verantwoordelijkheid: Klant

DP-3: Controleren op niet-geautoriseerde overdracht van gevoelige gegevens

Richtlijnen: Controleer op niet-geautoriseerde overdracht van gegevens naar locaties buiten de zichtbaarheid en controle van de onderneming. Het gaat hier dan meestal om het controleren op afwijkende activiteiten (grote of ongebruikelijke overdrachten) die kunnen wijzen op niet-geautoriseerde gegevensexfiltratie.

AtP-functies (Advanced Threat Protection) met zowel Azure Storage als Azure SQL ATP kunnen waarschuwen over afwijkende overdracht van gegevens, wat aangeeft wat mogelijk niet-geautoriseerde overdrachten van gevoelige informatie zijn.

Azure Information Protection (AIP) biedt controlevoorzieningen voor informatie die is geclassificeerd en gelabeld.

Gebruik oplossingen voor preventie van gegevensverlies, zoals de hostgebaseerde oplossingen, om detective- en/of preventieve controles af te dwingen om exfiltratie van gegevens te voorkomen.

Verantwoordelijkheid: Klant

DP-4: Gevoelige gegevens tijdens een overdracht versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, moeten gegevens in transit worden beveiligd tegen 'out-of-band'-aanvallen (bijvoorbeeld verkeersopname) met behulp van versleuteling om ervoor te zorgen dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Windows Virtual Desktop biedt ondersteuning voor gegevensversleuteling in transit met TLS (Transport Layer Security) v1.2 of hoger. Hoewel dit optioneel is op particuliere netwerken, is het essentieel voor verkeer op externe en openbare netwerken. Voor HTTP-verkeer moet u ervoor zorgen dat clients die verbinding maken met uw Azure-resources, tls v1.2 of hoger kunnen onderhandelen. Extern beheer, taken moeten worden uitgevoerd via Secure Shell (SSH) voor Linux of met RdP (Remote Desktop Protocol) via TLS (voor Windows) in plaats van een niet-versleuteld protocol.

Verouderde SSL-, TLS- en SSH-versies en -protocollen en zwakke coderingen moeten worden uitgeschakeld. Azure biedt standaard versleuteling voor gegevens die worden verzonden tussen Azure-datacenters.

Verantwoordelijkheid: Microsoft

DP-5: Gevoelige data-at-rest versleutelen

Richtlijnen: Om toegangsbeheer aan te vullen, versleutelt Windows Virtual Desktop gegevens-at-rest om te beschermen tegen 'out-of-band'-aanvallen, zoals toegang tot onderliggende opslag. Dit zorgt ervoor dat aanvallers de gegevens niet gemakkelijk kunnen lezen of wijzigen.

Verantwoordelijkheid: Microsoft

Asset-management

Zie Azure Security Benchmark: assetmanagement voor meer informatie.

AM-1: Zorg ervoor dat het beveiligingsteam inzicht heeft in risico's voor assets

Richtlijnen: Zorg ervoor dat beveiligingsteams machtigingen krijgen voor beveiligingslezers in uw Azure-tenant en -abonnementen, zodat ze kunnen controleren op beveiligingsrisico's met behulp van Microsoft Defender voor Cloud.

Afhankelijk van hoe beveiligingsteamverantwoordelijkheden zijn gestructureerd, kan bewaking voor beveiligingsrisico's de verantwoordelijkheid zijn van een centraal beveiligingsteam of een lokaal team. Om die reden moeten beveiligingsinzichten en -risico's altijd centraal worden verzameld in een organisatie.

De machtiging Beveiligingslezer kan breed worden toegepast op een hele tenant (hoofdbeheergroep) of in het bereik van beheergroepen of specifieke abonnementen.

Mogelijk zijn extra machtigingen vereist voor zichtbaarheid van workloads en services.

Verantwoordelijkheid: Klant

AM-2: Controleer of het beveiligingsteam toegang heeft tot de asset-inventaris en metagegevens

Richtlijnen: Tags toepassen op uw Azure-resources, resourcegroepen en abonnementen om ze logisch te ordenen in een taxonomie. Elke tag bestaat uit een naam en een waardepaar. U kunt de naam Omgeving en de waarde Productie bijvoorbeeld toepassen op alle resources in de productie.

Gebruik Azure Virtual Machine Inventory om het verzamelen van informatie over software op Virtual Machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot de installatiedatum en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

AM-3: Gebruik alleen goedgekeurde Azure-Services

Richtlijnen: Gebruik Azure Policy om te controleren en te beperken welke services gebruikers in uw omgeving kunnen inrichten. Gebruik Azure Resource Graph om resources binnen hun abonnementen op te vragen en te detecteren. U kunt Azure Monitor ook gebruiken om regels te maken voor het activeren van waarschuwingen wanneer een niet-goedgekeurde service wordt gedetecteerd.

Verantwoordelijkheid: Klant

AM-6: Alleen goedgekeurde toepassingen gebruiken in rekenresources

Richtlijnen: Gebruik Inventaris van virtuele Azure-machines om het verzamelen van informatie over alle software op virtuele machines te automatiseren. Softwarenaam, versie, uitgever en vernieuwingstijd zijn beschikbaar via de Azure Portal. Als u toegang wilt krijgen tot de installatiedatum en andere informatie, schakelt u diagnostische gegevens op gastniveau in en brengt u de Windows-gebeurtenislogboeken naar een Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

Logboekregistratie en detectie van bedreigingen

Zie Azure Security Benchmark: logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Detectie van bedreigingen inschakelen voor Azure-resources

Richtlijnen: Gebruik de ingebouwde mogelijkheid voor detectie van bedreigingen van Microsoft Defender for Cloud en schakel Microsoft Defender (formeel Azure Advanced Threat Protection) in voor uw Azure Virtual Desktop-resources. Microsoft Defender voor Azure Virtual Desktop biedt een extra beveiligingslaag waarmee ongebruikelijke en mogelijk schadelijke pogingen worden gedetecteerd om toegang te krijgen tot of misbruik te maken van uw Azure Virtual Desktop-resources.

Stuur logboeken van Azure Virtual Desktop door naar uw SIEM-oplossing (Security Information Event Management), die kan worden gebruikt om aangepaste bedreigingsdetecties in te stellen. Zorg ervoor dat u verschillende typen Azure-assets controleert op mogelijke bedreigingen en afwijkingen. Richt u op het verkrijgen van waarschuwingen van hoge kwaliteit om fout-positieven te verminderen die analisten kunnen sorteren. Waarschuwingen kunnen afkomstig zijn van logboekgegevens, agents of andere gegevens.

Verantwoordelijkheid: Klant

LT-2: Detectie van bedreigingen inschakelen voor Azure identiteits- en toegangsbeheer

Richtlijnen: Azure Active Directory (Azure AD) biedt de volgende gebruikerslogboeken die kunnen worden weergegeven in Azure AD rapportage of geïntegreerd met Azure Monitor, Microsoft Sentinel of andere SIEM-hulpprogramma's (Security Information and Event Management) of bewakingshulpprogramma's voor verdere geavanceerde gebruiksscenario's voor bewaking en analyse:

  • Aanmelden: het aanmeldingsrapport bevat informatie over het gebruik van beheerde toepassingen en aanmeldingsactiviteiten van gebruikers.

  • Auditlogboeken: traceerbaarheid via logboeken voor alle door diverse functies binnen Azure AD uitgevoerde wijzigingen. Voorbeelden van vermeldingen in auditlogboeken zijn wijzigingen die worden aangebracht in resources binnen Azure AD, zoals het toevoegen of verwijderen van gebruikers, apps, groepen, rollen en beleidsregels.

  • Riskante aanmelding: een riskante aanmelding is een indicator voor een aanmeldingspoging die mogelijk is uitgevoerd door iemand die niet de legitieme eigenaar van een gebruikersaccount is.

  • Gebruikers voor wie wordt aangegeven dat ze risico lopen - Een riskante gebruiker is een indicator van een gebruikersaccount dat mogelijk is aangetast.

Microsoft Defender voor Cloud kan ook waarschuwingen sturen over bepaalde verdachte activiteiten, zoals overmatig aantal mislukte verificatiepogingen en afgeschafte accounts in het abonnement. Naast de basisbewaking van beveiligingscontroles kan de module Threat Protection in Microsoft Defender for Cloud ook uitgebreidere beveiligingswaarschuwingen verzamelen van afzonderlijke Azure-rekenresources (virtuele machines, containers, app service), gegevensresources (SQL DB en opslag) en Azure-servicelagen. Met deze mogelijkheid kunt u inzicht hebben in accountafwijkingen binnen de afzonderlijke resources.

Verantwoordelijkheid: Klant

LT-3: Logboekregistratie inschakelen voor Azure-netwerkactiviteiten

Richtlijnen: Azure Virtual Desktop produceert of verwerkt geen DNS-querylogboeken (Domain Name Service). Resources die zijn geregistreerd bij de service, kunnen echter stroomlogboeken produceren.

Schakel en verzamel resource- en stroomlogboeken van netwerkbeveiligingsgroepen, Azure Firewall logboeken en Web Application Firewall WAF-logboeken (WAF) voor beveiligingsanalyse ter ondersteuning van incidentonderzoeken, opsporing van bedreigingen en het genereren van beveiligingswaarschuwingen. U kunt de stroomlogboeken verzenden naar een Azure Monitor Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzichten te bieden.

Verantwoordelijkheid: Klant

LT-4: Logboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken, die automatisch worden ingeschakeld, bevatten alle schrijfbewerkingen (PUT, POST, DELETE) voor uw Azure Virtual Desktop-resources, met uitzondering van leesbewerkingen (GET). Activiteitenlogboeken kunnen worden gebruikt om een fout te vinden bij het oplossen van problemen of om te controleren hoe een gebruiker in uw organisatie een resource heeft gewijzigd.

Verantwoordelijkheid: Gedeeld

LT-5: Beheer en analyse van beveiligingslogboek centraliseren

Richtlijnen: Opslag en analyse van logboekregistratie centraliseren om correlatie mogelijk te maken. Zorg ervoor dat u voor elke logboekbron een gegevenseigenaar hebt toegewezen, toegangsrichtlijnen, opslaglocatie, de hulpprogramma's die worden gebruikt voor het verwerken en openen van de gegevens en vereisten voor gegevensretentie.

Zorg ervoor dat u Azure-activiteitenlogboeken integreert in uw centrale logboekregistratie. Logboeken opnemen via Azure Monitor voor het aggregeren van beveiligingsgegevens die worden gegenereerd door eindpuntapparaten, netwerkbronnen en andere beveiligingssystemen. In Azure Monitor gebruikt u Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijnopslag en archivering.

Daarnaast kunt u gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM (Security Information Event Management) van derden. Veel organisaties kiezen ervoor om Microsoft Sentinel te gebruiken voor 'dynamische' gegevens die vaak worden gebruikt en Azure Storage voor 'koude' gegevens die minder vaak worden gebruikt.

Verantwoordelijkheid: Klant

Beveiligingspostuur en beveiligingsproblemen beheren

Zie Azure Security Benchmark: beveiligingspostuur en beveiligingsproblemen beheren voor meer informatie.

PV-3: Veilige configuraties voor rekenresources instellen

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken om beveiligde configuraties op alle rekenresources, waaronder VM's, containers en andere, vast te stellen.

U kunt aangepaste installatiekopieën van besturingssystemen of Azure Automation State-configuratie gebruiken om de beveiligingsconfiguratie vast te stellen van het besturingssysteem dat door uw organisatie is vereist.

Verantwoordelijkheid: Klant

PV-4: Veilige configuraties ondersteunen voor rekenresources

Richtlijnen: Microsoft Defender voor Cloud en Azure Policy gebruiken om configuratierisico's regelmatig te beoordelen en op te lossen op uw Azure-rekenresources, waaronder virtuele machines, containers en andere. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie te onderhouden van het besturingssysteem dat door uw organisatie is vereist. De sjablonen voor virtuele Microsoft-machines in combinatie met de Azure Automation State Configuration kunnen helpen bij het voldoen aan en onderhouden van de beveiligingsvereisten.

Azure Marketplace installatiekopieën van virtuele machines die door Microsoft worden gepubliceerd, worden beheerd en onderhouden door Microsoft.

Microsoft Defender voor Cloud kan ook beveiligingsproblemen in containerinstallatiekopieën scannen en continue bewaking uitvoeren van uw Docker-configuratie in containers tegen docker-benchmark van Center Internet Security. U kunt de pagina aanbevelingen van Microsoft Defender voor Cloud gebruiken om aanbevelingen weer te geven en problemen op te lossen.

Verantwoordelijkheid: Klant

PV-5: Aangepast besturingssysteem en containerinstallatiekopieën veilig opslaan

Richtlijnen: Met Azure Virtual Desktop kunnen klanten installatiekopieën van besturingssystemen beheren. Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot uw aangepaste installatiekopieën. Gebruik een Azure-Shared Image Gallery u uw installatiekopieën kunt delen met verschillende gebruikers, service-principals of Active Directory-groepen binnen uw organisatie. Sla containerinstallatiekopieën op in Azure Container Registry en gebruik RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben.

Verantwoordelijkheid: Klant

PV-6: Evaluaties van softwareproblemen uitvoeren

Richtlijnen: Met Azure Virtual Desktop kunt u uw eigen virtuele machines implementeren en deze registreren bij de service, en sql-database laten uitvoeren in de omgeving.

Azure Virtual Desktop kan een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en webtoepassingen. Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, beheerdersaccount. Overweeg om de JIT-inrichtingsmethodologie voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.

Volg aanbevelingen van Microsoft Defender voor Cloud voor het uitvoeren van evaluatie van beveiligingsproblemen op uw virtuele Azure-machines (en SQL-servers). Microsoft Defender voor Cloud heeft een ingebouwde scanner voor beveiligingsproblemen voor virtuele machines, containerinstallatiekopieën en SQL-database.

Exporteer, indien nodig, scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn hersteld. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die worden voorgesteld door Microsoft Defender voor Cloud, kunt u in de portal van de geselecteerde oplossing draaien om historische scangegevens weer te geven.

Verantwoordelijkheid: Klant

PV-7: Beveiligingsproblemen in software snel en automatisch oplossen

Richtlijnen: Azure Virtual Desktop gebruikt of vereist geen software van derden. Met Azure Virtual Desktop kunt u echter uw eigen virtuele machines implementeren en deze registreren bij de service.

Gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw virtuele Windows Server-machines. Zorg ervoor dat voor virtuele Windows-machines Windows Update is ingeschakeld en zo is ingesteld dat deze automatisch wordt bijgewerkt.

Gebruik een patchbeheeroplossing van derden voor software van derden of System Center Updates Publisher voor Configuration Manager.

Verantwoordelijkheid: Klant

PV-8: Voer regelmatige simulaties van aanvallen uit

Richtlijnen: Voer zo vaak u als u wilt penetratietests of Red Teaming-activiteiten uit op uw Azure-resources, en zorg ervoor dat alle kritieke beveiligingsbevindingen worden opgelost. Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Verantwoordelijkheid: Gedeeld

Eindpuntbeveiliging

Zie de Azure Security Benchmark: Endpoint Security voor meer informatie.

ES-1: Eindpuntdetectie en -respons gebruiken (EDR)

Richtlijnen: Azure Virtual Desktop biedt geen specifieke mogelijkheden voor eindpuntdetectie- en responsprocessen (EDR). Resources die zijn geregistreerd bij de service, kunnen echter profiteren van de mogelijkheden voor eindpuntdetectie en -respons.

Schakel de mogelijkheden voor eindpuntdetectie en -respons in voor servers en clients en integreer ze met SIEM-oplossingen (Security Information and Event Management) en Security Operations-processen.

Advanced Threat Protection van Microsoft Defender biedt mogelijkheden voor eindpuntdetectie en -respons, als onderdeel van een platform voor eindpuntbeveiliging voor ondernemingen om geavanceerde bedreigingen te voorkomen, detecteren, onderzoeken en erop te reageren.

Verantwoordelijkheid: Klant

ES-2: Centraal beheerde moderne antimalwaresoftware gebruiken

Richtlijnen: Beveilig uw Azure Virtual Desktop-resources met een centraal beheerde en moderne antimalwareoplossing voor eindpunten die in realtime en periodiek kunnen worden gescand.

Microsoft Defender voor Cloud kan automatisch het gebruik van een aantal populaire antimalwareoplossingen voor uw virtuele machines identificeren en de status van de eindpuntbeveiliging rapporteren en aanbevelingen doen.

Microsoft Antimalware voor Azure Cloud Services is de standaard antimalware voor virtuele Windows-machines (VM's). U kunt bedreigingsdetectie ook gebruiken met Microsoft Defender for Cloud voor gegevensservices om malware te detecteren die is geüpload naar Azure Storage-accounts.

Verantwoordelijkheid: Klant

ES-3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: zorg ervoor dat handtekeningen tegen malware snel en consistent worden bijgewerkt.

Volg de aanbevelingen in Microsoft Defender voor Cloud: 'Compute-apps & ' om ervoor te zorgen dat alle virtuele machines en/of containers up-to-date zijn met de meest recente handtekeningen.

Microsoft Antimalware worden standaard automatisch de meest recente handtekeningen en engine-updates geïnstalleerd.

Verantwoordelijkheid: Klant

Back-up en herstel

Zie Azure Security Benchmark: back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Richtlijnen: Zorg ervoor dat u een back-up maakt van systemen en gegevens om bedrijfscontinuïteit te behouden na een onverwachte gebeurtenis. Dit moet richtlijnen zijn voor alle doelstellingen voor RPO (Recovery Point Objective) en Recovery Time Objective (RTO).

Schakel Azure Backup in en configureer de back-upbron (bijvoorbeeld Azure-VM's, SQL Server, HANA-databases of bestandsshares), evenals de gewenste frequentie en bewaarperiode.

Voor een hoger redundantieniveau kunt u geografisch redundante opslagoptie inschakelen om back-upgegevens te repliceren naar een secundaire regio en te herstellen met behulp van herstel tussen regio's.

Verantwoordelijkheid: Klant

BR-2: Back-upgegevens versleutelen

Richtlijnen: Zorg ervoor dat uw back-ups worden beschermd tegen aanvallen. Dit omvat versleuteling van de back-ups ter bescherming tegen verlies van vertrouwelijkheid.

Voor regelmatige back-ups van Azure-services worden back-upgegevens automatisch versleuteld met behulp van door het Azure-platform beheerde sleutels. U kunt ervoor kiezen om de back-up te versleutelen met behulp van de door de klant beheerde sleutel. Zorg er in dit geval voor dat deze door de klant beheerde sleutel in de sleutelkluis zich ook in het back-upbereik bevindt.

Gebruik op rollen gebaseerd toegangsbeheer in Azure Backup, Azure Key Vault of andere resources om back-ups en door de klant beheerde sleutels te beveiligen. Daarnaast kunt u geavanceerde beveiligingsfuncties inschakelen om meervoudige verificatie te vereisen voordat back-ups kunnen worden gewijzigd of verwijderd.

Overzicht van beveiligingsfuncties in Azure Backup /azure/backup/security-overview

Verantwoordelijkheid: Klant

BR-3: Valideer alle back-ups, inclusief door de klant beheerde sleutels

Richtlijnen: Het wordt aanbevolen om regelmatig gegevensintegriteit op back-upmedia te valideren door een gegevensherstelproces uit te voeren om ervoor te zorgen dat de back-up goed werkt.

Verantwoordelijkheid: Klant

Volgende stappen