Infrastructuur beveiligen met Zero Trust

Infrastructuur vertegenwoordigt een kritieke bedreigingsvector. IT-infrastructuur, on-premises of multicloud, wordt gedefinieerd als alle hardware (fysiek, virtueel, in containers), software (open source, eerste en derde partij, PaaS, SaaS), microservices (functies, API's), netwerkinfrastructuur, faciliteiten, enzovoort die nodig zijn om IT-services te ontwikkelen, testen, leveren, bewaken, beheren of ondersteunen. Het is een gebied waar Microsoft enorm veel resources heeft geïnvesteerd om een uitgebreide set mogelijkheden te ontwikkelen om uw toekomstige cloud- en on-premises infrastructuur te beveiligen.

Moderne beveiliging met een end-to-end Zero Trust-strategie maakt het eenvoudiger voor u om:

  • Evalueren op versie.
  • Configuratiebeheer uitvoeren.
  • Gebruik Just-In-Time- en Just-Enough-Access-beheerdersbevoegdheden (JIT/JEA) om de beveiliging te beperken.
  • Gebruik telemetrie om aanvallen en afwijkingen te detecteren.
  • Blokkeer en markeer risicogedrag automatisch en onderneem beschermende maatregelen.

Net zo belangrijk is dat Microsoft Azure Blueprints en gerelateerde mogelijkheden ervoor zorgen dat resources worden ontworpen, geïmplementeerd en onderhouden op manieren die voldoen aan het beleid, de standaarden en de vereisten van een organisatie.

Azure Blueprints, Azure Policies, Microsoft Defender voor Cloud, Microsoft Sentinel en Azure Sphere kunnen aanzienlijk bijdragen aan het verbeteren van de beveiliging van uw geïmplementeerde infrastructuur en een andere benadering mogelijk maken voor het definiëren, ontwerpen, inrichten, implementeren en bewaken van uw infrastructuur.

A repeating circular diagram of 5 elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

Doelstellingen voor de implementatie van infrastructuur Zero Trust

Tip

Voordat de meeste organisaties het Zero Trust traject starten, wordt hun benadering van infrastructuurbeveiliging gekenmerkt door het volgende:

  • Machtigingen worden handmatig beheerd in verschillende omgevingen.
  • Configuratiebeheer van VM's en servers waarop workloads worden uitgevoerd.

Bij het implementeren van een end-to-end Zero Trust framework voor het beheren en bewaken van uw infrastructuur, raden we u aan om u eerst te richten op deze initiële implementatiedoelstellingen:

List icon with one checkmark.

I.Workloads worden bewaakt en gewaarschuwd voor abnormaal gedrag.

II.Aan elke workload wordt een app-identiteit toegewezen en deze wordt consistent geconfigureerd en geïmplementeerd.

III.Voor menselijke toegang tot resources is Just-In-Time vereist.

Nadat deze zijn voltooid, richt u zich op deze aanvullende implementatiedoelstellingen:

List icon with two checkmarks.

IV.Niet-geautoriseerde implementaties worden geblokkeerd en er wordt een waarschuwing geactiveerd.

V.Granularzichtbaarheid en toegangsbeheer zijn beschikbaar voor alle workloads.

VI.Gebruikers- en resourcetoegang gesegmenteerd voor elke workload.

Implementatiehandleiding voor infrastructuur Zero Trust

Deze handleiding begeleidt u bij de stappen die nodig zijn om uw infrastructuur te beveiligen volgens de principes van een Zero Trust beveiligingsframework.

Voordat u aan de slag gaat, moet u ervoor zorgen dat u aan deze basislijninfrastructuurimplementatiedoelstellingen hebt voldaan.

De Microsoft-tenantbasislijn instellen

Er moet een prioriteitsbasislijn worden ingesteld voor de wijze waarop uw infrastructuur wordt beheerd. Door gebruik te maken van richtlijnen voor de branche, zoals NIST 800-53, kunt u een set vereisten afleiden voor het beheren van uw infrastructuur. Bij Microsoft hebben we een minimale basislijn ingesteld op de volgende lijst met vereisten:

  • Toegang tot gegevens, netwerken, services, hulpprogramma's, hulpprogramma's en toepassingen moet worden beheerd door verificatie- en autorisatiemechanismen.

  • Gegevens moeten tijdens de overdracht en in rust worden versleuteld.

  • Netwerkverkeersstromen beperken.

  • Zichtbaarheid van beveiligingsteam in alle assets.

  • Bewaking en controle moeten zijn ingeschakeld en correct zijn geconfigureerd volgens de voorgeschreven richtlijnen van de organisatie.

  • Antimalware moet up-to-date zijn en actief zijn.

  • Scans van beveiligingsproblemen moeten worden uitgevoerd en beveiligingsproblemen moeten worden hersteld volgens de voorgeschreven richtlijnen van de organisatie.

Om de naleving van deze minimale of uitgebreide basislijn te meten en te stimuleren, beginnen we met het verkrijgen van zichtbaarheid op tenantniveau en in uw on-premises omgevingen door een beveiligingslezerrol toe te passen in de Azure-tenant. Nu de rol Beveiligingslezer is geïmplementeerd, kan deze extra zichtbaarheid krijgen via Microsoft Defender voor Cloud en Azure-beleid dat kan worden gebruikt voor het toepassen van industriebasislijnen (bijvoorbeeld Azure CIS, PCI, ISO 27001) of een aangepaste basislijn die uw organisatie heeft gedefinieerd.

Machtigingen worden handmatig beheerd in verschillende omgevingen

Vanaf tenantniveau tot de afzonderlijke resources binnen elk ad-abonnement voor resourcegroepen moeten de juiste op rollen gebaseerde toegangsbeheeropties worden toegepast.

Configuratiebeheer van VMS en servers waarop workloads worden uitgevoerd

Net zoals we onze on-premises datacenteromgeving hebben beheerd, moeten we er ook voor zorgen dat we onze cloudresources effectief beheren. Het voordeel van het gebruik van Azure is de mogelijkheid om al uw VM's vanaf één platform te beheren met behulp van Azure Arc (preview). Met Azure Arc kunt u uw beveiligingsbasislijnen uitbreiden van Azure Policy, uw beleid voor Microsoft Defender voor Cloud (Defender voor Cloud) en evaluaties van beveiligingsscores, en al uw resources op één plaats registreren en bewaken. Hieronder vindt u enkele acties om aan de slag te gaan.

Azure Arc implementeren (preview)

Met Azure Arc kunnen organisaties de vertrouwde beveiligingscontroles van Azure uitbreiden naar on-premises en de rand van de infrastructuur van de organisatie. Beheerders hebben verschillende opties voor het verbinden van on-premises resources met Azure Arc. Deze omvatten Azure Portal, PowerShell en Windows-installatie met service-principalscripts.

Meer informatie over deze technieken.

Beveiligingsbasislijnen toepassen via Azure Policy, inclusief toepassing van in-guest-beleid

Als u Defender voor Cloud Standard inschakelt, kunt u een set basislijnbesturingselementen opnemen via Azure Policy door de Azure Policy ingebouwde beleidsdefinities voor Microsoft Defender voor Cloud op te nemen. De set basislijnbeleidsregels wordt weergegeven in de Defender voor Cloud beveiligingsscore, waar u uw naleving van deze beleidsregels kunt meten.

U kunt uw dekking van beleidsregels uitbreiden tot buiten de Defender voor Cloud set en aangepaste beleidsregels maken als er geen ingebouwde versie beschikbaar is. U en kunt ook beleidsregels voor gastconfiguratie opnemen waarmee de naleving binnen uw gast-VM's binnen uw abonnementen wordt gemeten.

Besturingselementen voor Defender voor Cloud Endpoint Protection en beveiligingsproblemen toepassen

Endpoint Protection is essentieel om ervoor te zorgen dat de infrastructuur veilig en beschikbaar blijft. Als onderdeel van een endpoint protection- en vulnerability management-strategie kunt u de naleving centraal meten om ervoor te zorgen dat malwarebeveiliging wordt ingeschakeld en geconfigureerd via de endpoint protection-evaluatie en aanbevelingen in Microsoft Defender voor Cloud.

Gecentraliseerde zichtbaarheid van uw basislijn voor meerdere abonnementen

Door het rolletje voor tenantlezers toe te passen, kunt u in uw tenant inzicht krijgen in de status van elk van de beleidsregels die worden geëvalueerd als onderdeel van de Defender voor Cloud beveiligingsscore, Azure Policy en gastconfiguratiebeleid. U kunt dit doorsluizen naar het nalevingsdashboard van uw organisatie voor centrale rapportage van de status van uw tenant.

Daarnaast kunt u, als onderdeel van Defender voor Cloud Standard, het beleid Enable the built-in vulnerability assessment solution on virtual machines (powered by Qualys) gebruiken om uw VM's te scannen op beveiligingsproblemen en deze rechtstreeks in Defender voor Cloud weer te geven. Als u al een oplossing voor het scannen van beveiligingsproblemen hebt geïmplementeerd in uw bedrijf, kunt u de alternatieve oplossing voor de evaluatie van beveiligingsproblemen van het beleid gebruiken. Deze moet worden geïnstalleerd op uw virtuele machines voor het implementeren van een oplossing voor het scannen van beveiligingsproblemen van partners.




Checklist icon with one checkmark.

Initiële implementatiedoelstellingen

Zodra u de doelstellingen van de basisinfrastructuur hebt bereikt, kunt u zich richten op het implementeren van een moderne infrastructuur met een end-to-end Zero Trust-strategie.

I. Workloads worden bewaakt en gewaarschuwd voor abnormaal gedrag

Wanneer u een nieuwe infrastructuur maakt, moet u ervoor zorgen dat u ook regels voor het bewaken en genereren van waarschuwingen opricht. Dit is essentieel voor het identificeren wanneer een resource onverwacht gedrag weergeeft.

Het inschakelen van Microsoft Defender voor Cloud met de Standard-laag (Defender voor Cloud), inclusief de relevante bundels voor uw verschillende resources (bijvoorbeeld Container Registry, Kubernetes, IoT, Virtual Machines, enzovoort) wordt ten zeerste aanbevolen.

Voor het bewaken van identiteiten raden we u aan om Microsoft Defender for Identity en Advanced Threat Analytics in te schakelen om signaalverzameling in te schakelen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, verdachte identiteiten en schadelijke insideracties die zijn gericht op uw organisatie.

Door deze signalen van Defender voor Cloud, Defender for Identity, Advanced Threat Analytics en andere bewakings- en controlesystemen te integreren met Microsoft Sentinel, een cloudeigen SIEM-oplossing (Security Information Event Management) en een SOAR-oplossing (Security Orchestration Automated Response), kan uw Security Operations Center (SOC) vanuit één deelvenster werken om beveiligingsgebeurtenissen in uw hele onderneming te bewaken.

II. Aan elke workload wordt een app-identiteit toegewezen en deze is consistent geconfigureerd en geïmplementeerd

Microsoft raadt klanten aan een beleid te gebruiken dat wordt toegewezen en afgedwongen bij het maken van resources/workloads. Beleid kan vereisen dat tags worden toegepast op een resource bij het maken, toewijzing van resourcegroepen verplicht stellen, evenals beperkingen/directe technische kenmerken, zoals toegestane regio's, VM-specificaties (bijvoorbeeld VM-type, schijven, toegepaste netwerkbeleidsregels).

III. Voor menselijke toegang tot resources is Just-In-Time vereist

Personeel moet spaarzaam gebruik maken van beheerderstoegang. Wanneer beheerfuncties vereist zijn, moeten gebruikers tijdelijke beheerderstoegang krijgen.

Organisaties moeten een programma voor het beveiligen van de beheerder instellen. Kenmerken van deze programma's zijn:

  • Gerichte vermindering van het aantal gebruikers met beheerdersmachtigingen.
  • Accounts en rollen met verhoogde machtigingen controleren.
  • Speciale infrastructuurzones voor High-Value Asset (HVA) maken om de oppervlakte te verkleinen.
  • Beheerders speciale Secure Admin Workstations (SAW's) geven om de kans op referentiediefstal te verminderen.

Al deze items helpen een organisatie zich bewuster te worden van hoe beheerdersmachtigingen worden gebruikt, waar deze machtigingen nog steeds nodig zijn, en bieden een routekaart voor het veiliger werken.




Checklist icon with two checkmarks.

Aanvullende implementatiedoelstellingen

Zodra u de eerste drie doelstellingen hebt bereikt, kunt u zich richten op aanvullende doelstellingen, zoals het blokkeren van niet-geautoriseerde implementaties.

IV. Niet-geautoriseerde implementaties worden geblokkeerd en er wordt een waarschuwing geactiveerd

Wanneer organisaties overstappen naar de cloud, zijn de mogelijkheden onbeperkt. Dat is niet altijd goed. Om verschillende redenen moeten organisaties niet-geautoriseerde implementaties kunnen blokkeren en waarschuwingen kunnen activeren om leiders en managers op de hoogte te stellen van de problemen.

Microsoft Azure biedt Azure Blueprints om te bepalen hoe resources worden geïmplementeerd, zodat alleen goedgekeurde resources (bijvoorbeeld ARM-sjablonen) kunnen worden geïmplementeerd. Blauwdrukken kunnen ervoor zorgen dat resources die niet voldoen aan het beleid van de blauwdruk of andere regels, worden geblokkeerd voor implementatie. Werkelijke of poging tot schending van blauwdruk kan indien nodig waarschuwingen genereren en meldingen maken, webhooks of automation-runbooks activeren of zelfs servicebeheertickets maken.

V. Gedetailleerde zichtbaarheid en toegangsbeheer zijn beschikbaar voor alle workloads

Microsoft Azure biedt verschillende methoden om zichtbaarheid van resources te bereiken. Vanuit Azure Portal kunnen resource-eigenaren veel mogelijkheden voor metrische gegevens en logboekverzameling en analyse instellen. Deze zichtbaarheid kan niet alleen worden gebruikt om beveiligingsbewerkingen te voeden, maar kan ook worden gebruikt ter ondersteuning van computingefficiëntie en organisatiedoelstellingen. Deze omvatten mogelijkheden zoals VM-schaalsets, waarmee resources veilig en efficiënt kunnen worden uitgeschaald en geschaald op basis van metrische gegevens.

Aan de kant van toegangsbeheer kan op rollen gebaseerd Access Control (RBAC) worden gebruikt om machtigingen aan resources toe te wijzen. Hierdoor kunnen machtigingen uniform worden toegewezen en ingetrokken op afzonderlijke en groepsniveaus met behulp van verschillende ingebouwde of aangepaste rollen.

VI. Gebruikers- en resourcetoegang gesegmenteerd voor elke workload

Microsoft Azure biedt veel manieren om workloads te segmenteert voor het beheren van gebruikers- en resourcetoegang. Netwerksegmentatie is de algemene benadering en binnen Azure kunnen resources op abonnementsniveau worden geïsoleerd met virtuele netwerken (VNets), VNet-peeringregels, netwerkbeveiligingsgroepen (NSG's), toepassingsbeveiligingsgroepen (ASG's) en Azure Firewalls. Er zijn verschillende ontwerppatronen om de beste benadering voor het segmenteren van workloads te bepalen.

Producten die in deze handleiding worden behandeld

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender voor Cloud

Microsoft Sentinel

Arm-sjablonen (Azure Resource Manager)

Conclusie

Infrastructuur staat centraal in een succesvolle Zero Trust strategie. Neem voor meer informatie of hulp bij de implementatie contact op met uw klantsuccesteam of lees verder in de andere hoofdstukken van deze handleiding, die alle Zero Trust pijlers beslaat.



De reeks Zero Trust-implementatiehandleiding

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration