Governance, risico en naleving

Organisaties van alle grootten worden beperkt door hun beschikbare resources; financiële, mensen en tijd. Om een effectief rendement op investeringen (ROI) te behalen, moeten organisaties prioriteit geven aan waar ze zullen investeren. De implementatie van beveiliging in de hele organisatie wordt hierdoor ook beperkt, dus om een passend RENDEMENT te behalen op het gebied van beveiliging moet de organisatie eerst de beveiligingsprioriteiten begrijpen en definiëren.

Governance : hoe wordt de beveiliging van de organisatie bewaakt, gecontroleerd en gerapporteerd? Het ontwerpen en implementeren van beveiligingscontroles binnen een organisatie is slechts het begin van het verhaal. Hoe weet de organisatie dat dingen eigenlijk werken? Verbeteren ze? Zijn er nieuwe vereisten? Is er verplichte rapportage? Net als bij naleving kunnen er externe industrie-, overheids- of regelgevingsstandaarden zijn die moeten worden overwogen.

Risico : welke soorten risico's ondervindt de organisatie bij het beschermen van identificeerbare informatie, intellectueel eigendom (IP), financiële informatie? Wie kan geïnteresseerd zijn of deze informatie kunnen gebruiken als deze wordt gestolen, inclusief externe en interne bedreigingen, evenals onbedoeld of kwaadwillend? Een vaak vergeten maar uiterst belangrijke overweging binnen risico's is het aanpakken van herstel na noodgevallen en bedrijfscontinuïteit.

Naleving : zijn er specifieke branche-, overheids- of regelgevingsvereisten die dicteren of aanbevelingen geven over criteria waaraan de beveiligingscontroles van uw organisatie moeten voldoen? Voorbeelden van dergelijke standaarden, organisaties, controles en wetgeving zijn ISO27001, NIST, PCI-DSS.

De collectieve rol van organisaties is het beheren van de beveiligingsstandaarden van de organisatie gedurende hun levenscyclus:

  • Definiëren - Organisatiestandaarden en -beleid instellen voor procedures, technologieën en configuraties op basis van interne factoren (organisatiecultuur, risicobereidheid, assetwaardering, bedrijfsinitiatieven, enzovoort) en externe factoren (benchmarks, regelgevingsstandaarden, bedreigingsomgeving en meer)

  • Verbeteren – Duw deze standaarden voortdurend stapsgewijs naar de ideale staat om een continue risicovermindering te garanderen.

  • Volhouden : zorg ervoor dat de beveiligingspostuur na verloop van tijd niet afneemt door controle- en controlenaleving in te stellen op organisatiestandaarden.

Prioriteit geven aan investeringen in best practices voor beveiliging

Aanbevolen beveiligingsprocedures worden idealiter proactief en volledig toegepast op alle systemen tijdens het bouwen van uw cloudprogramma, maar dit is niet de realiteit voor de meeste ondernemingen. Bedrijfsdoelen, projectbeperkingen en andere factoren zorgen er vaak voor dat organisaties beveiligingsrisico's in balans brengen met andere risico's en op elk gewenst moment een subset van best practices toepassen.

We raden u aan zo veel mogelijk best practices zo vroeg mogelijk toe te passen en vervolgens te werken aan eventuele hiaten in de loop van de tijd wanneer u uw beveiligingsprogramma verder ontwikkeld. We raden u aan de volgende overwegingen te evalueren bij het prioriteren van de eerste stappen:

  • Hoge bedrijfsimpact en zeer blootgestelde systemen – Dit zijn systemen met directe intrinsieke waarde en de systemen die aanvallers een pad naar hen bieden. Zie Bedrijfskritieke toepassingen identificeren en classificeren voor meer informatie.

  • Eenvoudigste om oplossingen te implementeren: identificeer snelle overwinningen door de aanbevolen procedures te prioriteren, die uw organisatie snel kan uitvoeren, omdat u al beschikt over de vereiste vaardigheden, hulpprogramma's en kennis om dit te doen (bijvoorbeeld door een Web App Firewall (WAF) te implementeren om een verouderde toepassing te beveiligen.
    Zorg ervoor dat u deze methode voor korte prioriteitstelling niet uitsluitend (of te veel gebruikt) gebruikt. Als u dit doet, kunt u uw risico verhogen door te voorkomen dat uw programma groeit en kritieke risico's gedurende langere perioden laat staan.

Microsoft heeft een aantal lijsten met beveiligingsinitiatieven met prioriteit verstrekt om organisaties te helpen bij deze beslissingen op basis van onze ervaring met bedreigingen en risicobeperkingsinitiatieven in onze eigen omgevingen en voor onze klanten. Zie Module 4a van de Microsoft CISO Workshop

Verbonden tenants beheren

Zorg ervoor dat uw beveiligingsorganisatie op de hoogte is van alle inschrijvingen en gekoppelde abonnementen die zijn verbonden met uw bestaande omgeving (via ExpressRoute of Site-Site VPN) en bewaking als onderdeel van de algehele onderneming.

Deze Azure-resources maken deel uit van uw bedrijfsomgeving en beveiligingsorganisaties vereisen inzicht in deze resources. Beveiligingsorganisaties hebben deze toegang nodig om risico's te beoordelen en om te bepalen of organisatiebeleid en toepasselijke wettelijke vereisten worden gevolgd.

Zorg ervoor dat alle Azure-omgevingen die verbinding maken met uw productieomgeving/netwerk, het beleid en it-beheer van uw organisatie toepassen op beveiliging. U kunt bestaande verbonden tenants detecteren met behulp van een hulpprogramma van Microsoft. Richtlijnen voor machtigingen die u aan beveiliging kunt toewijzen, bevinden zich in de sectie Machtigingen toewijzen voor het beheren van de omgeving .

Duidelijke verantwoordelijkheidslijnen

De partijen aanwijzen die verantwoordelijk zijn voor specifieke functies in Azure

Het duidelijk documenteren en delen van de contactpersonen die verantwoordelijk zijn voor elk van deze functies, zorgt voor consistentie en faciliteert communicatie. Op basis van onze ervaring met veel cloudimplementatieprojecten voorkomt dit verwarring die kan leiden tot menselijke en automatiseringsfouten die beveiligingsrisico's veroorzaken.

Groepen (of afzonderlijke rollen) aanwijzen die verantwoordelijk zijn voor deze belangrijke functies:

Groep of afzonderlijke rol Verantwoordelijkheid
Netwerkbeveiliging Doorgaans bestaand netwerkbeveiligingsteam. Configuratie en onderhoud van Azure Firewall, virtuele netwerkapparaten (en bijbehorende routering), WAF's, NSG's, ASG's, enzovoort.
Netwerkbeheer Doorgaans bestaand netwerkbewerkingsteam. Toewijzing van virtueel netwerk en subnet voor de hele onderneming.
Servereindpuntbeveiliging Meestal it-bewerkingen, beveiliging of gezamenlijk. Bewaak en herstel serverbeveiliging (patching, configuratie, eindpuntbeveiliging, enzovoort).
Incidentbewaking en -reactie Doorgaans het beveiligingsteam. Beveiligingsincidenten onderzoeken en oplossen in SIEM (Security Information and Event Management) of bronconsole.
Beleidsbeheer Meestal GRC-team en -architectuur. Richting instellen voor het gebruik van op rollen gebaseerd toegangsbeheer (RBAC), Microsoft Defender voor cloud, beveiligingsstrategie voor beheerders en Azure Policy om Azure-resources te beheren.
Identiteitsbeveiliging en -standaarden Doorgaans worden beveiligingsteam en identiteitsteam gezamenlijk gebruikt. Richting instellen voor Azure AD-directory's, PIM/PAM-gebruik, MFA, configuratie voor wachtwoord/synchronisatie, Toepassingsidentiteitsstandaarden.

Strategie voor segmentatie van ondernemingen

Identificeer groepen resources die kunnen worden geïsoleerd van andere onderdelen van de onderneming om kwaadwillende bewegingen binnen uw onderneming te bevatten (en te detecteren). Met deze geïntegreerde enterprise-segmentatiestrategie worden alle technische teams begeleid bij het consistent segmenteren van toegang met behulp van netwerken, toepassingen, identiteit en andere besturingselementen voor toegang.

Een duidelijke en eenvoudige segmentatiestrategie helpt risico's te bevatten terwijl productiviteit en bedrijfsactiviteiten mogelijk zijn.

Een bedrijfssegmentatiestrategie wordt hoger gedefinieerd dan een traditionele beveiligingsstrategie voor netwerksegmentatie . Traditionele segmentatiemethoden voor on-premises omgevingen konden vaak hun doelen niet bereiken omdat ze 'bottom-up' zijn ontwikkeld door verschillende technische teams en niet goed zijn afgestemd op zakelijke use cases en toepassingsworkloads. Dit heeft geleid tot een overweldigende complexiteit die ondersteuningsproblemen genereert en het oorspronkelijke doel vaak ondermijnt met brede uitzonderingen voor de netwerkfirewall.

Het maken van een uniforme enterprise segmentatiestrategie maakt het mogelijk om alle belanghebbenden van technische teams (IT, Beveiliging, Toepassingen, enzovoort) te begeleiden. Bedrijfseenheden die zijn gebouwd rond de bedrijfsrisico's en behoeften, zullen de afstemming op en het begrijpen en ondersteunen van de beloftes voor beveiligingsbeveiliging vergroten en ondersteunen. Deze duidelijkheid en afstemming verminderen ook het risico op menselijke fouten en automatiseringsfouten die kunnen leiden tot beveiligingsproblemen, operationele downtime of beide.

Hoewel netwerkmicrosegmentatie ook belofte biedt om risico's te verminderen (meer besproken in de sectie Netwerkbeveiliging en -insluiting ), is het niet nodig om technische teams uit te lijnen. Microsegmentatie moet worden overwogen na en plannen om ervoor te zorgen dat technische teams worden afgestemd, zodat u een terugkeerpatroon kunt voorkomen van de interne conflicten die de segmentatiestrategieën voor de on-premises netwerkgeneratie hebben geplaagd en verwarring veroorzaken.

Hier volgen de aanbevelingen van Microsoft voor het prioriteren van initiatieven op het gebied van insluiting en segmentatie (op basis van Zero Trust-principes). Deze aanbevelingen worden op volgorde van prioriteit weergegeven op hoogste prioriteit.

  • Zorg ervoor dat technische teams worden afgestemd op één segmentatiestrategie voor ondernemingen.

  • Investeer in het uitbreiden van insluiting door een moderne perimeter tot stand te brengen op basis van nul vertrouwensprincipes gericht op identiteit, apparaat, toepassingen en andere signalen (om de beperking van netwerkcontroles te overwinnen om nieuwe resources en aanvalstypen te beschermen).

  • Vergroting van netwerkbesturingselementen voor verouderde toepassingen door microsegmentatiestrategieën te verkennen.

Een goede strategie voor enterprise-segmentatie voldoet aan deze criteria:

  • Maakt bewerkingen mogelijk : minimaliseert de wrijving van de bewerking door af te stemmen op bedrijfspraktijken en -toepassingen

  • Bevat risico' s : voegt kosten en wrijving toe aan aanvallers door

    • Gevoelige workloads isoleren van inbreuk op andere assets

    • Hoge blootstellingssystemen isoleren van gebruik als draaipunt voor andere systemen

  • Bewaakt : beveiligingsbewerkingen moeten controleren op mogelijke schendingen van de integriteit van de segmenten (accountgebruik, onverwacht verkeer, enzovoort)

Cell phone Description automatically generated

Zichtbaarheid van beveiligingsteam

Beveiligingsteams alleen-lezentoegang bieden tot de beveiligingsaspecten van alle technische resources in hun eigen beheerweergave

Beveiligingsorganisaties moeten inzicht krijgen in de technische omgeving om hun taken uit te voeren voor het beoordelen en rapporteren van organisatierisico's. Zonder deze zichtbaarheid moet de beveiliging vertrouwen op informatie van groepen die de omgeving bedienen die een mogelijk belangenconflict hebben (en andere prioriteiten).

Beveiligingsteams kunnen afzonderlijk extra bevoegdheden krijgen als ze operationele verantwoordelijkheden hebben of een vereiste om naleving van Azure-resources af te dwingen.

Wijs in Azure bijvoorbeeld beveiligingsteams toe aan de machtiging Beveiligingslezers die toegang biedt om het beveiligingsrisico te meten (zonder toegang te verlenen tot de gegevens zelf)

Voor bedrijfsbeveiligingsgroepen met brede verantwoordelijkheid voor beveiliging van Azure kunt u deze machtiging toewijzen met behulp van:

  • Hoofdbeheergroep : voor teams die verantwoordelijk zijn voor het beoordelen en rapporteren van risico's voor alle resources

  • Segmentbeheergroep(en) – voor teams met beperkte verantwoordelijkheid (meestal vereist vanwege organisatiegrenzen of wettelijke vereisten)

Omdat beveiliging brede toegang heeft tot de omgeving (en inzicht in mogelijk misbruikbare beveiligingsproblemen), moet u rekening houden met kritieke impactaccounts en dezelfde beveiligingen toepassen als beheerders. In de sectie Beheer worden deze besturingselementen voor Azure beschreven.

Bevoegdheden toewijzen voor het beheren van de omgeving

Verdeel rollen met operationele verantwoordelijkheden in Azure de juiste machtigingen op basis van een duidelijk gedocumenteerde strategie die is gebouwd op basis van het principe van minimale bevoegdheden en uw operationele behoeften.

Door duidelijke richtlijnen te bieden die volgen op een referentiemodel, vermindert u het risico, omdat uw technische teams deze machtigingen duidelijker kunnen implementeren. Deze duidelijkheid maakt het gemakkelijker om menselijke fouten, zoals overpermissie, te detecteren en te corrigeren, waardoor uw algehele risico wordt verminderd.

Microsoft raadt aan te beginnen met deze Microsoft-referentiemodellen en zich aan te passen aan uw organisatie.

Diagram of the Core Services Reference Permissions, showing enterprise and resource role permissions.

Referentiemachtigingen voor Core Services

Dit segment host gedeelde services die in de hele organisatie worden gebruikt. Deze gedeelde services omvatten doorgaans Active Directory Domain Services, DNS/DHCP, Systeembeheerprogramma's die worden gehost op virtuele Machines van Azure Infrastructure as a Service (IaaS).

Zichtbaarheid van beveiliging voor alle resources : voor beveiligingsteams verleent u alleen-lezentoegang tot beveiligingskenmerken voor alle technische omgevingen. Dit toegangsniveau is nodig om risicofactoren te beoordelen, mogelijke oplossingen te identificeren en belanghebbenden van de organisatie te adviseren die het risico accepteren. Zie Zichtbaarheid van beveiligingsteam voor meer informatie.

Beleidsbeheer voor sommige of alle resources : als u naleving van externe (of interne) regelgeving, standaarden en beveiligingsbeleid wilt bewaken en afdwingen, wijst u de juiste machtiging toe aan deze rollen. De rollen en machtigingen die u kiest, zijn afhankelijk van de organisatiecultuur en verwachtingen van het beleidsprogramma. Zie Microsoft Cloud Adoption Framework voor Azure.

Centrale IT-bewerkingen voor alle resources : ververleent machtigingen aan de centrale IT-afdeling (vaak het infrastructuurteam) om resources zoals virtuele machines en opslag te maken, te wijzigen en te verwijderen.

Centrale netwerkgroep over netwerkresources : wijs netwerkresourceverantwoordelijkheden toe aan één centrale netwerkorganisatie om consistentie te garanderen en technische conflicten te voorkomen. Deze resources moeten virtuele netwerken, subnetten, netwerkbeveiligingsgroepen (NSG) en de virtuele machines bevatten die als host fungeren voor virtuele netwerkapparaten. Zie Centralize Network Management and Security (Centralize Network Management And Security ) voor meer informatie

Resourcerolmachtigingen : voor de meeste kernservices worden beheerdersbevoegdheden die nodig zijn om deze te beheren, verleend via de toepassing zelf (Active Directory, DNS/DHCP, Systeembeheerprogramma's, enzovoort), dus er zijn geen aanvullende Azure-resourcemachtigingen vereist. Als voor uw organisatiemodel deze teams hun eigen VM's, opslag of andere Azure-resources moeten beheren, kunt u deze machtigingen toewijzen aan deze rollen.

Servicebeheerder (Break Glass Account): gebruik de rol van servicebeheerder alleen voor noodgevallen (en initiële installatie indien nodig). Gebruik deze rol niet voor dagelijkse taken. Zie Toegang voor noodgevallen ('Break Glass' Accounts) voor meer informatie.

Diagram of the reference permissions, showing the relationship between the Enterprise Role Permissions and Subscriptions.

Segmentreferentiemachtigingen

Dit ontwerp voor segmentmachtigingen biedt consistentie en biedt flexibiliteit om het bereik van organisatiemodellen van één gecentraliseerde IT-groep te voorzien in voornamelijk onafhankelijke IT- en DevOps-teams.

Zichtbaarheid van beveiliging voor alle resources : voor beveiligingsteams verleent u alleen-lezentoegang tot beveiligingskenmerken voor alle technische omgevingen. Dit toegangsniveau is nodig om risicofactoren te beoordelen, mogelijke oplossingen te identificeren en belanghebbenden van de organisatie te adviseren die het risico accepteren. Bekijk zichtbaarheid van beveiligingsteam.

Beleidsbeheer voor sommige of alle resources : om naleving van externe (of interne) regelgeving, standaarden en beveiligingsbeleid te controleren en af te dwingen, wijst u de juiste machtigingen toe aan deze rollen. De rollen en machtigingen die u kiest, zijn afhankelijk van de organisatiecultuur en verwachtingen van het beleidsprogramma. Zie Microsoft Cloud Adoption Framework voor Azure.

IT-bewerkingen voor alle resources : machtigingen verlenen om resources te maken, te wijzigen en te verwijderen. Het doel van het segment (en de resulterende machtigingen) is afhankelijk van uw organisatiestructuur.

  • Segmenten met resources die worden beheerd door een gecentraliseerde IT-organisatie kunnen de centrale IT-afdeling (vaak het infrastructuurteam) toestemming geven om deze resources te wijzigen.

  • Segmenten die worden beheerd door onafhankelijke bedrijfseenheden of functies (zoals een HR IT-team) kunnen deze teams toestemming verlenen aan alle resources in het segment.

  • Segmenten met autonome DevOps-teams hoeven geen machtigingen te verlenen voor alle resources, omdat de resourcerol (hieronder) machtigingen verleent aan toepassingsteams. Gebruik voor noodgevallen het servicebeheerdersaccount (break-glass account).

Centrale netwerkgroep over netwerkresources : wijs netwerkresourceverantwoordelijkheden toe aan één centrale netwerkorganisatie om consistentie te garanderen en technische conflicten te voorkomen. Deze resources moeten virtuele netwerken, subnetten, netwerkbeveiligingsgroepen (NSG) en de virtuele machines bevatten die als host fungeren voor virtuele netwerkapparaten. Zie Netwerkbeheer en -beveiliging centraliseren.

Machtigingen voor resourcerollen: segmenten met autonome DevOps-teams beheren de resources die aan elke toepassing zijn gekoppeld. De werkelijke rollen en hun machtigingen zijn afhankelijk van de grootte en complexiteit van de toepassing, de grootte en complexiteit van het toepassingsteam en de cultuur van het organisatie- en toepassingsteam.

Servicebeheerder (Break Glass Account): gebruik de rol van servicebeheerder alleen voor noodgevallen (en de eerste installatie indien nodig). Gebruik deze rol niet voor dagelijkse taken. Zie Toegang voor noodgevallen ('Break Glass' Accounts) voor meer informatie.

Richtlijnen en tips voor machtigingen

  • Om consistentie te stimuleren en ervoor te zorgen dat toepassingen voor toekomstige abonnementen worden gebruikt, moeten machtigingen worden toegewezen aan de beheergroep voor het segment in plaats van aan de afzonderlijke abonnementen. Zie Gedetailleerde en aangepaste machtigingen vermijden voor meer informatie.

  • Controleer eerst de ingebouwde rollen om te zien of deze van toepassing is voordat u een aangepaste rol maakt om de juiste machtigingen te verlenen aan VM's en andere objecten. Zie Ingebouwde rollen gebruiken voor meer informatie

  • Groepslidmaatschap van beveiligingsmanagers kan geschikt zijn voor kleinere teams/organisaties waar beveiligingsteams uitgebreide operationele verantwoordelijkheden hebben.

Segmentatie met beheergroepen tot stand brengen

Structuurbeheergroepen in een eenvoudig ontwerp dat het ondernemingssegmentatiemodel begeleidt.

Beheergroepen bieden de mogelijkheid om resources consistent en efficiënt te beheren (inclusief meerdere abonnementen indien nodig). Vanwege hun flexibiliteit is het echter mogelijk om een te complex ontwerp te maken. Complexiteit veroorzaakt verwarring en heeft negatieve gevolgen voor zowel bewerkingen als beveiliging (zoals geïllustreerd door te complexe organisatie-eenheid (OE) en GPO-ontwerpen (Group Policy Object) voor Active Directory).

Microsoft raadt aan om het hoogste niveau van beheergroepen (MG's) uit te lijnen op een eenvoudige enterprise segmentatiestrategie die beperkt is tot 1 of 2 niveaus.

Hoofdbeheergroep zorgvuldig gebruiken

Gebruik de hoofdbeheergroep (MG) voor bedrijfsconsistentie, maar test wijzigingen zorgvuldig om het risico op operationele onderbrekingen te minimaliseren.

Met de hoofdbeheergroep kunt u consistentie binnen de onderneming garanderen door beleidsregels, machtigingen en tags toe te passen voor alle abonnementen. Er moet rekening worden gehouden met het plannen en implementeren van toewijzingen aan de hoofdbeheergroep, omdat dit van invloed kan zijn op elke resource in Azure en mogelijk downtime of andere negatieve gevolgen heeft voor de productiviteit in het geval van fouten of onverwachte effecten.

Richtlijnen voor hoofdbeheergroepen:

  • Plan zorgvuldig : selecteer bedrijfsbrede elementen voor de hoofdbeheergroep waarvoor een duidelijke vereiste moet worden toegepast voor elke resource en/of lage impact.

    Goede kandidaten zijn onder andere:

    • Wettelijke vereisten met duidelijke bedrijfsrisico's/impact (bijvoorbeeld beperkingen met betrekking tot gegevenssoevereine).

    • Bijna nul potentiële negatieve gevolgen voor bewerkingen zoals beleid met controle-effect, Tagtoewijzing, RBAC-machtigingentoewijzingen die zorgvuldig zijn beoordeeld.

  • Test eerst - Test zorgvuldig alle bedrijfsbrede wijzigingen in de hoofdbeheergroep voordat u dit toepast (beleid, tags, RBAC-model, enzovoort) met behulp van een

    • Testlab - Representatieve labtenant of labsegment in productietenant.

    • Productiefase - Segment MG of aangewezen subset in abonnement(en) / MG.

  • Valideer wijzigingen om ervoor te zorgen dat ze het gewenste effect hebben.

Beveiligingsupdates en sterke wachtwoorden voor virtuele machines (VM' s)

Zorg ervoor dat beleid en processen snelle toepassing van beveiligingsupdates op virtuele machines mogelijk maken (en vereisen).

Aanvallers scannen voortdurend IP-adresbereiken in de openbare cloud voor open beheerpoorten en proberen 'eenvoudige' aanvallen zoals veelvoorkomende wachtwoorden en niet-gepatchte beveiligingsproblemen.

Schakel Microsoft Defender voor Cloud in om ontbrekende beveiligingsupdates & toe te passen.

Lokale beheerwachtwoordoplossing (LAPS) of een bevoegde toegangsbeheer van derden kan sterke lokale beheerderswachtwoorden en just-in-time-toegang tot deze wachtwoorden instellen.

Directe internetverbinding van virtuele machine (VM) verwijderen

Zorg ervoor dat beleid en processen directe internetverbinding beperken en bewaken door virtuele machines

Aanvallers scannen voortdurend IP-bereiken in de openbare cloud voor open beheerpoorten en proberen 'eenvoudige' aanvallen zoals veelvoorkomende wachtwoorden en bekende niet-gepatchte beveiligingsproblemen

Dit kan worden bereikt met een of meer methoden in Azure:

  • Preventie in de hele onderneming: voorkom onbedoelde blootstelling met een bedrijfsnetwerk en machtigingsmodel, zoals het referentiemodel dat in deze richtlijnen wordt beschreven. Dit vermindert het risico van onbedoelde blootstelling aan VM-internet door

    • Ervoor zorgen dat netwerkverkeer standaard wordt gerouteerd via goedgekeurde uitgaande punten

    • Uitzonderingen (bijvoorbeeld een openbaar IP-adres toevoegen aan een resource) moeten een gecentraliseerde groep doorlopen (waarmee uitzonderingsaanvragen zorgvuldig kunnen worden geëvalueerd om ervoor te zorgen dat de juiste besturingselementen worden toegepast)

  • Identificeer en herstel blootgestelde VM's met behulp van de visualisatie van het Microsoft Defender for Cloud-netwerk om snel resources te identificeren die beschikbaar zijn op internet.

  • Beheerpoorten (RDP, SSH) beperken met Just-In-Time-toegang in Microsoft Defender voor Cloud.

Contactpersoon voor incidentmeldingen toewijzen

Zorg ervoor dat een beveiligingscontactpersoon azure-incidentmeldingen van Microsoft ontvangt, meestal een melding dat uw resource wordt aangetast en/of dat een andere klant wordt aangevallen.

Hierdoor kan uw beveiligingsteam snel reageren op mogelijke beveiligingsrisico's en deze herstellen.

Zorg ervoor dat de contactgegevens van de beheerder in de Azure-inschrijvingsportal contactgegevens bevatten die beveiligingsbewerkingen melden (rechtstreeks of snel via een intern proces)

Regelmatig kritieke toegang controleren

Controleer regelmatig rollen waaraan bevoegdheden zijn toegewezen met een bedrijfskritieke impact.

Stel een terugkerend controlepatroon in om ervoor te zorgen dat accounts worden verwijderd uit machtigingen als rollen veranderen. U kunt de beoordeling handmatig of via een geautomatiseerd proces uitvoeren met behulp van hulpprogramma's zoals Azure AD-toegangsbeoordelingen.

Veelvoorkomende risico's detecteren en oplossen

Identiteit bekende risico's voor uw Azure-tenants, herstel deze risico's en volg uw voortgang met behulp van Secure Score.

Het identificeren en oplossen van veelvoorkomende beveiligingscontroles vermindert het algehele risico voor uw organisatie aanzienlijk door de kosten voor aanvallers te verhogen. Wanneer u goedkope en gevestigde aanvalsvectoren verwijdert, worden aanvallers gedwongen geavanceerde of niet-geteste aanvalsmethoden te verkrijgen en te gebruiken.

Azure Secure Score in Microsoft Defender for Cloud bewaakt de beveiligingspostuur van machines, netwerken, opslag- en gegevensservices en toepassingen om potentiële beveiligingsproblemen te detecteren (met internet verbonden VM's of ontbrekende beveiligingsupdates, ontbrekende eindpuntbeveiliging of versleuteling, afwijkingen van basisbeveiligingsconfiguraties, ontbrekende WaF (Web Application Firewall) en meer). U moet deze mogelijkheid inschakelen (geen extra kosten), de bevindingen bekijken en de opgenomen aanbevelingen volgen om technische herstelbewerkingen te plannen en uit te voeren, te beginnen met de items met de hoogste prioriteit.

Bij het aanpakken van risico's houdt u de voortgang bij en geeft u prioriteit aan lopende investeringen in uw governance- en risicoreductieprogramma's.

Automatisering verhogen met Azure Blueprints

Gebruik de systeemeigen automatiseringsmogelijkheden van Azure om de consistentie, naleving en implementatiesnelheid voor workloads te verhogen.

Automatisering van implementatie- en onderhoudstaken vermindert het beveiligings- en nalevingsrisico door de kans te beperken om menselijke fouten te introduceren tijdens handmatige taken. Hierdoor kunnen zowel IT Operations-teams als beveiligingsteams hun focus verplaatsen van herhaalde handmatige taken naar taken met een hogere waarde, zoals het inschakelen van ontwikkelaars en bedrijfsinitiatieven, het beveiligen van informatie, enzovoort.

Gebruik de Azure Blueprint-service om snel en consistent toepassingsomgevingen te implementeren die voldoen aan het beleid en de externe regelgeving van uw organisatie. Azure Blueprint Service automatiseert de implementatie van omgevingen, waaronder RBAC-rollen, beleid, resources (VM/Net/Storage/enzovoort) en meer. Azure Blueprints bouwt voort op de aanzienlijke investering van Microsoft in Azure Resource Manager om resource-implementatie in Azure te standaardiseren en resource-implementatie en governance mogelijk te maken op basis van een gewenste statusbenadering. U kunt ingebouwde configuraties gebruiken in Azure Blueprint, uw eigen maken of gewoon Resource Manager-scripts gebruiken voor een kleiner bereik.

Er zijn verschillende voorbeelden van blauwdrukken voor beveiliging en naleving beschikbaar voor gebruik als beginsjabloon.

Beveiliging evalueren met behulp van benchmarks

Gebruik een industriestandaardbenchmark om uw organisatie de huidige beveiligingspostuur te evalueren.

Met benchmarking kunt u uw beveiligingsprogramma verbeteren door te leren van externe organisaties. Met benchmarking kunt u zien hoe uw huidige beveiligingsstatus zich verhoudt tot die van andere organisaties, waardoor zowel externe validatie wordt geboden voor geslaagde elementen van uw huidige systeem als het identificeren van hiaten die fungeren als mogelijkheden om de algehele beveiligingsstrategie van uw team te verrijken. Zelfs als uw beveiligingsprogramma niet is gekoppeld aan een specifieke benchmark- of regelgevingsstandaard, profiteert u van het begrijpen van de gedocumenteerde ideale statussen door degenen buiten en binnen uw branche.

  • Als voorbeeld heeft het Center for Internet Security (CIS) beveiligingsbenchmarks voor Azure gemaakt die zijn toegewezen aan het CIS Control Framework. Een ander referentievoorbeeld is het MITRE ATT&CK-framework™ dat de verschillende tactieken en technieken definieert op basis van echte waarnemingen. Deze externe verwijzingen bepalen toewijzingen helpen u inzicht te krijgen in eventuele hiaten tussen uw huidige strategie wat u hebt en welke andere experts in de branche.

Naleving van beleid controleren en afdwingen

Zorg ervoor dat het beveiligingsteam de omgeving controleert om te rapporteren over naleving van het beveiligingsbeleid van de organisatie. Beveiligingsteams kunnen ook naleving van dit beleid afdwingen.

Organisaties van alle grootten hebben beveiligingsnalevingsvereisten. Branche-, overheids- en intern beveiligingsbeleid voor bedrijven moeten allemaal worden gecontroleerd en afgedwongen. Beleidsbewaking is essentieel om te controleren of de initiële configuraties juist zijn en dat deze na verloop van tijd nog steeds compatibel blijft.

In Azure kunt u gebruikmaken van Azure Policy om beleidsregels te maken en beheren die naleving afdwingen. Net als Azure Blueprints zijn Azure-beleid gebaseerd op de onderliggende Mogelijkheden van Azure Resource Manager in het Azure-platform (en Azure Policy kan ook worden toegewezen via Azure Blueprints).

Raadpleeg de zelfstudie: Beleidsregels maken en beheren om naleving af te dwingen voor meer informatie in Azure.

Identiteitsrisico bewaken

Bewaak identiteitsgerelateerde risicogebeurtenissen voor waarschuwingen over mogelijk aangetaste identiteiten en herstel deze risico's.

De meeste beveiligingsincidenten vinden plaats nadat een aanvaller in eerste instantie toegang krijgt met behulp van een gestolen identiteit. Deze identiteiten kunnen vaak beginnen met lage bevoegdheden, maar de aanvallers gebruiken die identiteit vervolgens om lateraal te doorlopen en toegang te krijgen tot meer bevoegde identiteiten. Dit wordt zo nodig herhaald totdat de aanvaller de toegang tot de ultieme doelgegevens of systemen beheert.

Azure Active Directory maakt gebruik van adaptieve machine learning-algoritmen, heuristieken en bekende gecompromitteerde referenties (gebruikersnaam/wachtwoordparen) om verdachte acties te detecteren die zijn gerelateerd aan uw gebruikersaccounts. Deze gebruikersnaam-/wachtwoordparen zijn afkomstig van het bewaken van openbare en donkere websites (waarbij aanvallers vaak gecompromitteerde wachtwoorden dumpen) en door te werken met beveiligingsonderzoekers, wetshandhavingsteams, beveiligingsteams bij Microsoft en andere.

Er zijn twee plaatsen waar u gerapporteerde risico-gebeurtenissen bekijkt:

Daarnaast kunt u de API voor identiteitsbeveiligingsrisicogebeurtenissen gebruiken om programmatische toegang te krijgen tot beveiligingsdetecties met behulp van Microsoft Graph.

Herstel deze risico's door elk gerapporteerd account handmatig aan te pakken of door een beleid voor gebruikersrisico's in te stellen om een wachtwoordwijziging te vereisen voor deze gebeurtenissen met een hoog risico.

Penetratietesten

Gebruik Penetratietests om beveiligingsbeveiliging te valideren.

Validatie van beveiligingsbeveiliging is essentieel om uw verdedigingsstrategie en -implementatie te valideren. Dit kan worden bereikt door een penetratietest (simuleert een eenmalige aanval) of een rood teamprogramma (simuleert een persistente bedreigingsacteur die gericht is op uw omgeving).

Volg de richtlijnen die door Microsoft zijn gepubliceerd voor het plannen en uitvoeren van gesimuleerde aanvallen.

Onveilige & protocollen detecteren

Ontdek en schakel het gebruik van verouderde onveilige protocollen SMBv1, LM/NTLMv1, wDigest, Unsigned LDAP Binds en Zwakke coderingen in Kerberos uit.

Verificatieprotocollen vormen een essentiële basis voor bijna alle beveiligingsgaranties. Deze oudere versies kunnen worden misbruikt door aanvallers met toegang tot uw netwerk en worden vaak uitgebreid gebruikt op verouderde systemen op IaaS (Infrastructure as a Service).

Hier volgen manieren om uw risico te verminderen:

  • Protocolgebruik detecteren door logboeken te controleren met het Insecure Protocol Dashboard van Microsoft Sentinel of hulpprogramma's van derden

  • Gebruik van deze protocollen beperken of uitschakelen door de richtlijnen voor SMB, NTLM, WDigest te volgen

U wordt aangeraden wijzigingen te implementeren met behulp van een testmethode of een andere testmethode om het risico op operationele onderbrekingen te beperken.

Uitgebreide beveiligingsmogelijkheden

Overweeg of u gespecialiseerde beveiligingsmogelijkheden in uw bedrijfsarchitectuur wilt gebruiken.

Deze maatregelen hebben het potentieel om de beveiliging te verbeteren en te voldoen aan wettelijke vereisten, maar kunnen complexiteit veroorzaken die uw activiteiten en efficiëntie negatief kunnen beïnvloeden.

We raden u aan zorgvuldige overwegingen en zorgvuldig gebruik te maken van deze beveiligingsmaatregelen, indien nodig:

Volgende stappen

Zie de microsoft-beveiligingsdocumentatie voor aanvullende beveiligingsrichtlijnen van Microsoft.