Beveiligingsbeheer: beveiligde configuratie
Notitie
De meest recente Azure Security Benchmark is hier beschikbaar.
De beveiligingsconfiguratie van Azure-resources vaststellen, implementeren en actief beheren (bijhouden, rapporteren, corrigeren) om te voorkomen dat aanvallers misbruik maken van kwetsbare services en instellingen.
7.1: Veilige configuraties instellen voor alle Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.1 | 5.1 | Klant |
Gebruik Azure Policy aliassen om aangepast beleid te maken om de configuratie van uw Azure-resources te controleren of af te dwingen. U kunt ook ingebouwde Azure Policy definities gebruiken.
Azure Resource Manager heeft ook de mogelijkheid om de sjabloon te exporteren in JavaScript Object Notation (JSON), die moet worden gecontroleerd om ervoor te zorgen dat de configuraties voldoen aan/overschrijden van de beveiligingsvereisten voor uw organisatie.
U kunt ook aanbevelingen van Azure Security Center gebruiken als een veilige configuratiebasislijn voor uw Azure-resources.
Zelfstudie: Beleidsregels voor het afdwingen van naleving maken en beheren
Eén en meerdere resources exporteren naar een sjabloon in Azure Portal
7.2: Veilige besturingssysteemconfiguraties instellen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.2 | 5.1 | Klant |
Gebruik Azure Security Center aanbevelingen om beveiligingsconfiguraties voor alle rekenresources te onderhouden. Daarnaast kunt u aangepaste installatiekopieën van besturingssystemen of Azure Automation State-configuratie gebruiken om de beveiligingsconfiguratie vast te stellen van het besturingssysteem dat door uw organisatie is vereist.
Een VHD uploaden en gebruiken om nieuwe Windows-VM's te maken in Azure
Een Virtuele Linux-machine maken op basis van een aangepaste schijf met de Azure CLI
7.3: Beveiligde Azure-resourceconfiguraties onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.3 | 5.2 | Klant |
Gebruik Azure Policy [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure-resources. Daarnaast kunt u Azure Resource Manager-sjablonen gebruiken om de beveiligingsconfiguratie van uw Azure-resources te onderhouden die nodig zijn voor uw organisatie.
7.4: Besturingssysteemconfiguraties beveiligen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.4 | 5.2 | Gedeeld |
Volg aanbevelingen van Azure Security Center over het uitvoeren van evaluaties van beveiligingsproblemen op uw Azure-rekenresources. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State-configuratie gebruiken om de beveiligingsconfiguratie te onderhouden van het besturingssysteem dat door uw organisatie is vereist. De sjablonen voor virtuele Microsoft-machines in combinatie met de Azure Automation Desired State Configuration kunnen helpen bij het voldoen aan de beveiligingsvereisten en deze te onderhouden.
Houd er ook rekening mee dat Azure Marketplace installatiekopieën van virtuele machines die door Microsoft worden gepubliceerd, worden beheerd en beheerd door Microsoft.
Aanbevelingen voor Azure Security Center evaluatie van beveiligingsproblemen implementeren
Een virtuele Azure-machine maken op een Azure Resource Manager-sjabloon
Voorbeeld van een script voor het uploaden van een VHD naar Azure om een nieuwe VM te maken
7.5: Configuratie van Azure-resources veilig opslaan
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7,5 | 5.3 | Klant |
Gebruik Azure DevOps om uw code veilig op te slaan en te beheren, zoals aangepast Azure-beleid, Azure Resource Manager-sjablonen en Desired State Configuration scripts. Voor toegang tot de resources die u beheert in Azure DevOps, kunt u machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory, indien geïntegreerd met TFS.
7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.6 | 5.3 | Klant |
Als u aangepaste installatiekopieën gebruikt, gebruikt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën. Met behulp van Shared Image Gallery kunt u uw installatiekopieën delen met verschillende gebruikers, service-principals of AD-groepen binnen uw organisatie. Voor containerinstallatiekopieën slaat u ze op in Azure Container Registry en maakt u gebruik van Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën.
7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.7 | 5.4 | Klant |
Definieer en implementeer standaardbeveiligingsconfiguraties voor Azure-resources met behulp van Azure Policy. Gebruik Azure Policy aliassen om aangepast beleid te maken om de netwerkconfiguratie van uw Azure-resources te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot uw specifieke resources. Daarnaast kunt u Azure Automation gebruiken om configuratiewijzigingen te implementeren.
7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7,8 | 5.4 | Klant |
Azure Automation State Configuration is een configuratiebeheerservice voor Desired State Configuration (DSC)-knooppunten in een cloud- of on-premises datacenter. U kunt eenvoudig machines onboarden, declaratieve configuraties toewijzen en rapporten weergeven met de naleving van elke machine aan de gewenste status die u hebt opgegeven.
7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.9 | 5.5 | Klant |
Gebruik Azure Security Center om basislijnscans uit te voeren voor uw Azure-resources. Gebruik bovendien Azure Policy om azure-resourceconfiguraties te waarschuwen en te controleren.
7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.10 | 5.5 | Klant |
Gebruik Azure Security Center om basislijnscans uit te voeren voor os- en Docker-instellingen voor containers.
7.11: Azure-geheimen veilig beheren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.11 | 13.1 | Klant |
Gebruik Managed Service Identity in combinatie met Azure Key Vault om het beheer van geheimen voor uw cloudtoepassingen te vereenvoudigen en te beveiligen.
7.12: Identiteiten veilig en automatisch beheren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.12 | 4.1 | Klant |
Gebruik beheerde identiteiten om Azure-services een automatisch beheerde identiteit te bieden in Azure AD. Met beheerde identiteiten kunt u zich verifiëren bij elke service die ondersteuning biedt voor Azure AD verificatie, inclusief Key Vault, zonder referenties in uw code.
7.13: Onbedoelde referentieblootstelling elimineren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.13 | 18.1, 18.7 | Klant |
Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.
Volgende stappen
- Zie het volgende beveiligingsbeheer: Malware Defense