Infrastructuur beveiligen met Zero Trust

Infrastructuur vertegenwoordigt een kritieke bedreigingsvector. IT-infrastructuur, zowel on-premises als multicloud, wordt gedefinieerd als alle hardware (fysiek, virtueel, gecontaineriseerd), software (open source, eerste en derde partij, PaaS, SaaS), microservices (functies, API's), netwerkinfrastructuur, faciliteiten, enzovoort, die nodig is voor het ontwikkelen, testen, leveren, bewaken, beheren of ondersteunen van IT-services. Het is een gebied waar Microsoft enorme resources heeft geïnvesteerd om een uitgebreide set mogelijkheden te ontwikkelen om uw toekomstige cloud- en on-premises infrastructuur te beveiligen.

Moderne beveiliging met een end-to-end Zero Trust-strategie maakt het voor u gemakkelijker om:

  • Beoordelen op versie.
  • Configuratiebeheer uitvoeren.
  • Maak gebruik van Just-In-Time- en Just-Enough-Access-beheerdersbevoegdheden (JIT/JEA) om verdediging te beperken.
  • Gebruik telemetrie om aanvallen en afwijkingen te detecteren.
  • Automatisch riskant gedrag blokkeren en markeren en beschermende acties uitvoeren.

Net zo belangrijk zorgen Microsoft Azure Blueprints en gerelateerde mogelijkheden ervoor dat resources worden ontworpen, geïmplementeerd en ondersteund op manieren die voldoen aan het beleid, de standaarden en vereisten van een organisatie.

Azure Blueprints, Azure Policies, Microsoft Defender voor Cloud, Microsoft Sentinel en Azure Sphere kunnen aanzienlijk bijdragen aan het verbeteren van de beveiliging van uw geïmplementeerde infrastructuur. Samen maken ze een andere benadering mogelijk voor het definiëren, ontwerpen, inrichten, implementeren en bewaken van uw infrastructuur.

A repeating circular diagram of five elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

Implementatiedoelstellingen van Infrastructuur Zero Trust

Fooi

Voordat de meeste organisaties het Zero Trust-traject starten, wordt hun benadering van infrastructuurbeveiliging gekenmerkt door het volgende:

  • Machtigingen worden handmatig beheerd in omgevingen.
  • Configuratiebeheer van VM's en servers waarop workloads worden uitgevoerd.

Wanneer u een end-to-end Zero Trust-framework implementeert voor het beheren en bewaken van uw infrastructuur, raden we u aan om u eerst te richten op deze eerste implementatiedoelstellingen:

List icon with one checkmark.

I.Workloads worden bewaakt en gewaarschuwd voor abnormaal gedrag.

II.Aan elke workload wordt een app-identiteit toegewezen en consistent geconfigureerd en geïmplementeerd.

III.Voor menselijke toegang tot resources is Just-In-Time vereist.

Nadat de initiële doelstellingen zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:

List icon with two checkmarks.

IV.Niet-geautoriseerde implementaties worden geblokkeerd en er wordt een waarschuwing geactiveerd.

V.Granular zichtbaarheid en toegangsbeheer zijn beschikbaar voor workloads.

VI.Gebruikers- en resourcetoegang gesegmenteerd voor elke workload.

Implementatiehandleiding voor Infrastructure Zero Trust

In deze handleiding wordt u begeleid bij de stappen die nodig zijn om uw infrastructuur te beveiligen volgens de principes van een Zero Trust-beveiligingsframework.

Voordat u aan de slag gaat, moet u ervoor zorgen dat u aan deze doelstellingen voor de implementatie van de basisinfrastructuur voldoet.

De Basislijn voor Microsoft Tenant instellen

Er moet een basislijn met prioriteit worden ingesteld voor de wijze waarop uw infrastructuur wordt beheerd. Door brancherichtlijnen zoals NIST 800-53 toe te passen, kunt u een reeks vereisten afleiden voor het beheren van uw infrastructuur. Bij Microsoft hebben we een minimale basislijn ingesteld op de volgende lijst met vereisten:

  • Toegang tot gegevens, netwerken, services, hulpprogramma's, hulpprogramma's en toepassingen moet worden beheerd door verificatie- en autorisatiemechanismen.

  • Gegevens moeten worden versleuteld tijdens overdracht en at-rest.

  • Netwerkverkeersstromen beperken.

  • Het beveiligingsteam heeft inzicht in alle assets.

  • Bewaking en controle moeten worden ingeschakeld en correct geconfigureerd volgens de voorgeschreven richtlijnen van de organisatie.

  • Antimalware moet up-to-date zijn en actief zijn.

  • Er moeten beveiligingsscans worden uitgevoerd en beveiligingsproblemen worden hersteld volgens de voorgeschreven richtlijnen van de organisatie.

Om naleving van deze minimale of uitgebreide basislijn te meten en te stimuleren, beginnen we met het verkrijgen van zichtbaarheid op tenantniveau en in uw on-premises omgevingen door een beveiligingslezerrol toe te passen in de Azure-tenant. Met de rol Beveiligingslezer kan deze meer zichtbaarheid krijgen via Microsoft Defender voor Cloud en Azure-beleid dat kan worden gebruikt om industriebasislijnen toe te passen (bijvoorbeeld Azure CIS, PCI, ISO 27001) of een aangepaste basislijn die uw organisatie heeft gedefinieerd.

Machtigingen worden handmatig beheerd in omgevingen

Vanaf tenantniveau tot aan de afzonderlijke resources binnen elk ad-abonnement van de resourcegroep moeten de juiste op rollen gebaseerde toegangsbeheer worden toegepast.

Configuratiebeheer van VMS en servers waarop workloads worden uitgevoerd

Net zoals we onze on-premises datacenteromgeving hebben beheerd, moeten we er ook voor zorgen dat we onze cloudresources effectief beheren. Het voordeel van het gebruik van Azure is de mogelijkheid om al uw VM's van één platform te beheren met behulp van Azure Arc (preview). Met Behulp van Azure Arc kunt u uw beveiligingsbasislijnen uitbreiden vanuit Azure Policy, uw Microsoft Defender voor Cloud-beleid en evaluaties van beveiligingsscores, evenals logboekregistratie en bewaking van al uw resources op één plaats. Hieronder ziet u enkele acties om aan de slag te gaan.

Azure Arc implementeren (preview)

Met Azure Arc kunnen organisaties de vertrouwde beveiligingscontroles van Azure uitbreiden naar on-premises en de rand van de infrastructuur van de organisatie. Beheer istrators hebben verschillende opties voor het verbinden van on-premises resources met Azure Arc. Dit zijn onder andere Azure Portal, PowerShell en Windows-installatie met service-principalscripts.

Meer informatie over deze technieken.

Beveiligingsbasislijnen toepassen via Azure Policy, inclusief toepassing van in-gastbeleid

Door Defender voor Cloud in te schakelen, kunt u een set basislijnbesturingselementen opnemen via de ingebouwde beleidsdefinities van Azure Policy voor Microsoft Defender voor Cloud. De set basislijnbeleidsregels wordt weerspiegeld in de Defender voor Cloud beveiligingsscore, waar u uw naleving van dit beleid kunt meten.

U kunt de dekking van beleidsregels uitbreiden buiten de Defender voor Cloud set en aangepaste beleidsregels maken als er geen ingebouwde beleidsregels beschikbaar zijn. U kunt ook beleidsregels voor gastconfiguratie opnemen, waarmee de naleving binnen uw gast-VM's binnen uw abonnementen wordt gemeten.

Besturingselementen voor Defender voor Cloud Endpoint Protection en Beheer van beveiligingsproblemen toepassen

Endpoint Protection is essentieel om ervoor te zorgen dat de infrastructuur veilig en beschikbaar blijft. Als onderdeel van een strategie voor eindpuntbeveiliging en beveiligingsproblemenbeheer kunt u de naleving centraal meten om ervoor te zorgen dat malwarebeveiliging is ingeschakeld en geconfigureerd via de Endpoint Protection-evaluatie en aanbevelingen in Microsoft Defender voor Cloud.

Gecentraliseerde zichtbaarheid van uw basislijn voor meerdere abonnementen

Door het tenantlezerpakket toe te passen, kunt u inzicht krijgen in uw tenant van de status van elk van de beleidsregels die worden geëvalueerd als onderdeel van de Defender voor Cloud beveiligingsscore, Azure Policy en gastconfiguratiebeleid. U sluist dit naar uw dashboard voor naleving van uw organisatie voor centrale rapportage van de status van uw tenant.

Daarnaast kunt u, als onderdeel van Defender voor Servers, het beleid de ingebouwde oplossing voor evaluatie van beveiligingsproblemen inschakelen op virtuele machines (mogelijk gemaakt door Qualys) gebruiken om uw VM's te scannen op beveiligingsproblemen en deze rechtstreeks in Defender voor Cloud laten zien. Als u al een oplossing voor het scannen van beveiligingsproblemen in uw bedrijf hebt geïmplementeerd, kunt u de alternatieve oplossing voor evaluatie van beveiligingsproblemen van beleid gebruiken. Deze oplossing moet worden geïnstalleerd op uw virtuele machines voor het implementeren van een oplossing voor het scannen van beveiligingsproblemen van partners.




Checklist icon with one checkmark.

Initiële implementatiedoelstellingen

Zodra u voldoet aan de doelstellingen van de basisinfrastructuur, kunt u zich richten op het implementeren van een moderne infrastructuur met een end-to-end Zero Trust-strategie.

i. Workloads worden bewaakt en gewaarschuwd voor abnormaal gedrag

Wanneer u een nieuwe infrastructuur maakt, moet u ervoor zorgen dat u ook regels voor het bewaken en genereren van waarschuwingen tot stand brengt. Dit is belangrijk voor het identificeren wanneer een resource onverwacht gedrag weergeeft.

U wordt aangeraden Microsoft Defender voor Cloud en de bijbehorende plannen in te schakelen voor het beveiligen van de ondersteunde resourcetypen, waaronder Defender voor Servers, Defender for Storage, Defender voor Containers, Defender voor SQL, enzovoort.

Voor het bewaken van identiteiten raden we u aan Microsoft Defender for Identity en Advanced Threat Analytics in te schakelen om signaalverzameling in te schakelen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties die zijn gericht op uw organisatie.

Door deze signalen van Defender voor Cloud, Defender for Identity, Advanced Threat Analytics en andere bewakings- en controlesystemen te integreren met Microsoft Sentinel, een cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR (Security Orchestration Automated Response), kan uw Security Operations Center (SOC) werken vanuit één glasvenster om beveiligingsgebeurtenissen in uw hele bedrijf te bewaken.

II. Aan elke workload wordt een app-identiteit toegewezen en consistent geconfigureerd en geïmplementeerd

U wordt aangeraden een beleid te gebruiken dat wordt toegewezen en afgedwongen bij het maken van resources/workloads. Beleidsregels kunnen vereisen dat tags worden toegepast op een resource bij het maken, het toewijzen van resourcegroepen verplicht stellen en technische kenmerken beperken/direct, zoals toegestane regio's, VM-specificaties (bijvoorbeeld VM-type, schijven, netwerkbeleid toegepast).

III. Voor menselijke toegang tot resources is Just-In-Time vereist

Personeel moet administratieve toegang spaarzaam gebruiken. Wanneer beheerfuncties vereist zijn, moeten gebruikers tijdelijke beheerderstoegang krijgen.

Organisaties moeten een Beheer istrator-programma beveiligen. Kenmerken van deze programma's zijn:

  • Gerichte vermindering van het aantal gebruikers met beheerdersmachtigingen.
  • Accounts en rollen met verhoogde machtigingen controleren.
  • Speciale HVA-infrastructuurzones (High-Value Asset) maken om het oppervlak te verminderen.
  • Beheerders speciale Secure Beheer Workstations (SAW's) geven om de kans op diefstal van referenties te verminderen.

Al deze items helpen een organisatie meer bewust te worden van hoe beheermachtigingen worden gebruikt, waar deze machtigingen nog steeds nodig zijn en een routekaart bieden voor het veilig werken.




Checklist icon with two checkmarks.

Aanvullende implementatiedoelstellingen

Zodra u uw eerste drie doelstellingen hebt bereikt, kunt u zich richten op aanvullende doelstellingen, zoals het blokkeren van niet-geautoriseerde implementaties.

IV. Niet-geautoriseerde implementaties worden geblokkeerd en er wordt een waarschuwing geactiveerd

Wanneer organisaties overstappen naar de cloud, zijn de mogelijkheden onbeperkt. Dat is niet altijd een goede zaak. Om verschillende redenen moeten organisaties niet-geautoriseerde implementaties kunnen blokkeren en waarschuwingen kunnen activeren om leiders en managers op de hoogte te stellen van de problemen.

Microsoft Azure biedt Azure Blueprints om te bepalen hoe resources worden geïmplementeerd, zodat alleen goedgekeurde resources (bijvoorbeeld ARM-sjablonen) kunnen worden geïmplementeerd. Blauwdrukken kunnen ervoor zorgen dat resources die niet voldoen aan het beleid van de blauwdruk of andere regels, niet kunnen worden geïmplementeerd. Een daadwerkelijke of geprobeerde blauwdrukschending kan waar nodig waarschuwingen genereren en meldingen maken, webhooks of automation-runbooks activeren of zelfs servicebeheertickets maken.

V. Gedetailleerde zichtbaarheid en toegangsbeheer zijn beschikbaar voor workloads

Microsoft Azure biedt verschillende methoden voor het verkrijgen van zichtbaarheid van resources. Vanuit de Azure-portal kunnen resource-eigenaren veel mogelijkheden voor metrische gegevens en logboekverzameling en -analyse instellen. Deze zichtbaarheid kan niet alleen worden gebruikt om beveiligingsbewerkingen te voeren, maar kan ook worden gebruikt om de efficiëntie en organisatiedoelstellingen van computing te ondersteunen. Dit zijn onder andere mogelijkheden zoals Virtuele-machineschaalsets, waarmee u veilig en efficiënt kunt uitschalen en resources kunt inschalen op basis van metrische gegevens.

Aan de kant van toegangsbeheer kan op rollen gebaseerd toegangsbeheer (RBAC) worden gebruikt om machtigingen toe te wijzen aan resources. Hierdoor kunnen machtigingen uniform worden toegewezen en ingetrokken op het niveau van afzonderlijke en groepen met behulp van verschillende ingebouwde of aangepaste rollen.

VI. Gebruikers- en resourcetoegang gesegmenteerd voor elke workload

Microsoft Azure biedt veel manieren om workloads te segmenteren om gebruikers- en resourcetoegang te beheren. Netwerksegmentatie is de algehele benadering en binnen Azure kunnen resources worden geïsoleerd op abonnementsniveau met virtuele netwerken (VNets), VNet-peeringregels, netwerkbeveiligingsgroepen (NSG's), toepassingsbeveiligingsgroepen (ASG's) en Azure Firewalls. Er zijn verschillende ontwerppatronen om de beste benadering voor het segmenteren van workloads te bepalen.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender voor Cloud

Microsoft Sentinel

ARM-sjablonen (Azure Resource Manager)

Conclusie

Infrastructuur is centraal in een succesvolle Zero Trust-strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw customer success-team of lees verder door de andere hoofdstukken van deze handleiding, die alle Zero Trust-pijlers omvat.



De reeks Zero Trust-implementatiehandleidingen

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration