Bewerken

Delen via

De eerste beveiligingslaag bouwen met Azure Security-services

Azure
Microsoft Entra ID

Oplossingsideeën

In dit artikel wordt een oplossingsidee beschreven. Uw cloudarchitect kan deze richtlijnen gebruiken om de belangrijkste onderdelen te visualiseren voor een typische implementatie van deze architectuur. Gebruik dit artikel als uitgangspunt om een goed ontworpen oplossing te ontwerpen die overeenkomt met de specifieke vereisten van uw workload.

U kunt een aantal Azure-services gebruiken om een volledige IT-infrastructuur voor uw organisatie te maken. Azure biedt ook beveiligingsservices waarmee u uw infrastructuur kunt beveiligen. Met behulp van Azure-beveiligingsoplossingen kunt u het beveiligingspostuur van uw IT-omgeving verbeteren, beveiligingsproblemen beperken en beschermen tegen schendingen via een goed ontworpen oplossing die is gebaseerd op best practices van Microsoft.

Hoewel sommige beveiligingsservices kosten met zich meebrengen, zijn er veel gratis beschikbaar. Gratis services zijn netwerkbeveiligingsgroepen (NSG's), opslagversleuteling, TLS/SSL, shared access signature tokens en meer. Dit artikel is gericht op deze gratis services.

Dit artikel is de derde in een reeks van vijf. Als u de vorige twee artikelen in deze reeks wilt bekijken, inclusief de inleiding en een overzicht van hoe u bedreigingen kunt toewijzen aan een IT-omgeving, raadpleegt u de volgende artikelen:

Potentiële gebruikscases

Dit artikel organiseert Azure-beveiligingsservices per Azure-resource, zodat u zich kunt richten op specifieke bedreigingen die zijn gericht op resources zoals virtuele machines (VM's), besturingssystemen, Azure-netwerken of toepassingen, naast aanvallen die gebruikers en wachtwoorden kunnen aanvallen. In het volgende diagram kunt u de Azure-beveiligingsservices identificeren waarmee u resources en gebruikersidentiteiten kunt beveiligen tegen deze typen bedreigingen.

Architectuur

Een diagram van on-premises resources, services van Microsoft 365 en Azure en 16 typen bedreigingen, zoals geclassificeerd door de MITRE ATTACK-matrix.

Een Visio-bestand van deze architectuur downloaden.

©2021 De MITRE Corporation. Dit werk wordt gereproduceerd en gedistribueerd met de machtiging van The MITRE Corporation.

De Azure-beveiligingslaag in dit diagram is gebaseerd op Azure Security Benchmark (ASB) v3. Dit is een set beveiligingsregels die worden geïmplementeerd via Azure-beleid. ASB is gebaseerd op een combinatie van regels van CIS Center for Internet Security en National Institute of Standards and Technology. Zie Overzicht van Azure Security Benchmark v3 voor meer informatie over ASB.

Het diagram bevat niet elke beschikbare Azure-beveiligingsservice, maar markeert wel de services die het meest worden gebruikt. Alle beveiligingsservices die in het architectuurdiagram worden weergegeven, kunnen worden gecombineerd en geconfigureerd om samen te werken met uw IT-omgeving en de specifieke beveiligingsbehoeften van uw organisatie.

Workflow

In deze sectie worden de onderdelen en services beschreven die in het diagram worden weergegeven. Veel van deze worden gelabeld met hun ASB-besturingscodes, naast hun afgekorte labels. De besturingscodes komen overeen met de besturingsdomeinen die worden vermeld in Besturingselementen.

  1. Azure Security-benchmark

    Elk beveiligingsbeheer verwijst naar een of meer specifieke Azure-beveiligingsservices. De architectuurreferentie in dit artikel bevat enkele van deze en hun controlenummers volgens de ASB-documentatie. De besturingselementen zijn onder andere:

    • Netwerkbeveiliging
    • Identiteitsbeheer
    • Bevoegde toegang
    • Gegevensbescherming
    • Asset-management
    • Logboekregistratie en bedreidingsdetectie
    • Reageren op incidenten
    • Postuur en beheer van beveiligingsproblemen
    • Eindpuntbeveiliging
    • Back-up en herstel
    • DevOps-beveiliging
    • Governance en strategie

    Zie Overzicht van de Azure Security Benchmark (v3) voor meer informatie over beveiligingscontroles.

  2. Netwerk

    In de volgende tabel worden de netwerkservices in het diagram beschreven.

    Etiket Beschrijving Documentatie
    NSG Een gratis service die u aan een netwerkinterface of subnet koppelt. Met een NSG kunt u TCP- of UDP-protocolverkeer filteren met behulp van IP-adresbereiken en poorten voor binnenkomende en uitgaande verbindingen. Netwerkbeveiligingsgroepen
    VPN (Vendor Part Number) Een VPN-gateway (Virtual Private Network) die een tunnel met IPSEC-beveiliging (IKE v1/v2) levert. VPN Gateway
    Azure Firewall Een PaaS (Platform as a Service) die beveiliging in laag 4 biedt en is gekoppeld aan een volledig virtueel netwerk. Wat is Azure Firewall?
    App GW + WAF Azure-toepassing Gateway met Web Application Firewall (WAF). Application Gateway is een load balancer voor webverkeer dat in laag 7 werkt en WAF toevoegt om toepassingen te beveiligen die gebruikmaken van HTTP en HTTPS. Wat is Azure-toepassing Gateway?
    NVA Virtueel netwerkapparaat (NVA). Een virtuele beveiligingsservice van de marketplace die is ingericht op VM's in Azure. Virtuele netwerkapparaten
    DDOS DDoS-beveiliging die is geïmplementeerd in het virtuele netwerk, zodat u verschillende soorten DDoS-aanvallen kunt beperken. Overzicht van Azure DDoS Network Protection
    TLS/SSL TLS/SSL levert versleuteling tijdens overdracht voor de meeste Azure-services die informatie uitwisselen, zoals Azure Storage en Web Apps. End-to-end TLS configureren met Application Gateway met PowerShell
    Private Link Service waarmee u een privénetwerk kunt maken voor een Azure-service die in eerste instantie beschikbaar is voor internet. Wat is Azure Private Link?
    Privé-eindpunt Hiermee maakt u een netwerkinterface en koppelt u deze aan de Azure-service. Privé-eindpunt maakt deel uit van Private Link. Met deze configuratie kan de service, met behulp van een privé-eindpunt, deel uitmaken van uw virtuele netwerk. Wat is een privé-eindpunt?

  3. Infrastructuur en eindpunten

    In de volgende tabel worden infrastructuur- en eindpuntservices beschreven die worden weergegeven in het diagram.

    Etiket Beschrijving Documentatie
    Bastion Bastion biedt jumpserverfunctionaliteit. Met deze service hebt u toegang tot uw VM's via RDP (Remote Desktop Protocol) of SSH zonder uw VM's beschikbaar te maken op internet. Wat is Azure Bastion?
    Antimalware Microsoft Defender biedt een antimalwareservice en maakt deel uit van Windows 10, Windows 11, Windows Server 2016 en Windows Server 2019. Microsoft Defender Antivirus in Windows
    Schijf versleutelen Met schijfversleuteling kunt u de schijf van een virtuele machine versleutelen. Azure Disk Encryption voor virtuele Windows-machines
    Sleutelkluis Key Vault, een service voor het opslaan van sleutels, geheimen en certificaten met FIPS 140-2 Level 2 of 3. Basisconcepten van Azure Key Vault
    RDP Short Azure Virtual Desktop RDP Shortpath. Met deze functie kunnen externe gebruikers verbinding maken met de Virtual Desktop-service vanuit een particulier netwerk. Azure Virtual Desktop RDP-shortpath voor beheerde netwerken
    Omgekeerde verbinding Een ingebouwde beveiligingsfunctie van Azure Virtual Desktop. Omgekeerde verbinding garandeert dat externe gebruikers alleen pixelstreams ontvangen en de host-VM's niet bereiken. Informatie over Azure Virtual Desktop-netwerkconnectiviteit

  4. Toepassing en gegevens

    In de volgende tabel worden toepassings- en gegevensservices beschreven die in het diagram worden weergegeven.

    Etiket Beschrijving Documentatie
    Frontdoor + WAF Een NETWERK voor contentlevering (CDN). Front Door combineert meerdere aanwezigheidspunten om een betere verbinding te bieden voor gebruikers die toegang hebben tot de service en WAF toevoegen. Wat is Azure Front Door?
    API Management Een service die beveiliging biedt voor API-aanroepen en API's beheert in verschillende omgevingen. Meer informatie over API Management
    PenTest Een set aanbevolen procedures voor het uitvoeren van een penetratietest in uw omgeving, inclusief Azure-resources. Indringingstests
    SAS-token voor opslag Een gedeeld toegangstoken waarmee anderen toegang hebben tot uw Azure-opslagaccount. Beperkte toegang verlenen tot Azure Storage-resources door middel van een SAS
    Privé-eindpunt Maak een netwerkinterface en koppel deze aan uw opslagaccount om deze te configureren in een privénetwerk in Azure. Privé-eindpunten gebruiken voor Azure Storage
    Opslagfirewall Firewall waarmee u een bereik van IP-adressen kunt instellen die toegang hebben tot uw opslagaccount. Azure Storage-firewalls en virtuele netwerken configureren
    Versleuteling
    (Azure Storage)    		 Beveiligt uw opslagaccount met versleuteling-at-rest. Azure Storage-versleuteling voor inactieve gegevens
    SQL-controle Houdt databasegebeurtenissen bij en schrijft ze naar een auditlogboek in uw Azure-opslagaccount. Controles uitvoeren voor Azure SQL Database en Azure Synapse Analytics
    Beoordeling van beveiligingslekken Service waarmee u potentiële beveiligingsproblemen in de database kunt detecteren, bijhouden en oplossen. Evaluatie van SQL-beveiligingsproblemen helpt u bij het identificeren van beveiligingsproblemen in databases
    Versleuteling
    (Azure SQL)    		 Transparent Data Encryption (TDE) helpt Azure SQL-databaseservices te beveiligen door data-at-rest te versleutelen. Transparant Data Encryption voor SQL Database, SQL Managed Instance en Azure Synapse Analytics

  5. Identiteit

    In de volgende tabel worden identiteitsservices beschreven die worden weergegeven in het diagram.

    Etiket Beschrijving Documentatie
    RBAC Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u de toegang tot Azure-services beheren met behulp van gedetailleerde machtigingen die zijn gebaseerd op de Microsoft Entra-referenties van gebruikers. Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
    MFA Meervoudige verificatie biedt aanvullende typen verificatie dan gebruikersnamen en wachtwoorden. Hoe het werkt: Meervoudige verificatie van Microsoft Entra
    Id-beveiliging Identity Protection, een beveiligingsservice van Microsoft Entra ID, analyseert biljoenen signalen per dag om gebruikers te identificeren en te beschermen tegen bedreigingen. Wat is Identity Protection?
    PIM Privileged Identity Management (PIM), een beveiligingsservice van Microsoft Entra ID. Hiermee kunt u tijdelijk supergebruikersbevoegdheden opgeven voor Microsoft Entra-id (bijvoorbeeld gebruikersbeheerder) en Azure-abonnementen (bijvoorbeeld op rollen gebaseerd toegangsbeheer of Key Vault-beheerder). Wat is Microsoft Entra Privileged Identity Management?
    Cond Acc Voorwaardelijke toegang is een intelligente beveiligingsservice die gebruikmaakt van beleid dat u definieert voor verschillende voorwaarden voor het blokkeren of verlenen van toegang tot gebruikers. Wat is voorwaardelijke toegang?

Onderdelen

In de voorbeeldarchitectuur in dit artikel worden de volgende Azure-onderdelen gebruikt:

  • Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer. Microsoft Entra ID helpt uw gebruikers toegang te krijgen tot externe resources, zoals Microsoft 365, Azure Portal en duizenden andere SaaS-toepassingen. Het helpt ze ook om toegang te krijgen tot interne resources, zoals apps in uw bedrijfsintranetnetwerk.

  • Azure Virtual Network is de fundamentele bouwsteen voor uw privénetwerk in Azure. Met Virtual Network kunnen veel soorten Azure-resources veilig met elkaar, internet en on-premises netwerken communiceren. Virtual Network biedt een virtueel netwerk dat profiteert van de infrastructuur van Azure, zoals schaal, beschikbaarheid en isolatie.

  • Azure Load Balancer is een high-performance laag 4-taakverdelingsservice (inkomend en uitgaand) voor alle UDP- en TCP-protocollen. Het is gebouwd om miljoenen aanvragen per seconde af te handelen en ervoor te zorgen dat uw oplossing maximaal beschikbaar is. Azure Load Balancer is zone-redundant en zorgt voor hoge beschikbaarheid in Beschikbaarheidszones.

  • Virtuele machines zijn een van de verschillende typen on-demand, schaalbare computingresources die Azure biedt. Een virtuele Azure-machine (VM) biedt u de flexibiliteit van virtualisatie zonder dat u de fysieke hardware hoeft te kopen en te onderhouden waarop deze wordt uitgevoerd.

  • Azure Kubernetes Service (AKS) is een volledig beheerde Kubernetes-service voor het implementeren en beheren van toepassingen in containers. AKS biedt serverloze Kubernetes, continue integratie/continue levering (CI/CD) en beveiliging en governance op bedrijfsniveau.

  • Azure Virtual Desktop is een desktop- en app-virtualisatieservice die wordt uitgevoerd in de cloud om bureaubladen te bieden voor externe gebruikers.

  • App Service Web Apps is een HTTP-service voor het hosten van webtoepassingen, REST API's en mobiele back-ends. U kunt zich in uw favoriete taal ontwikkelen en toepassingen eenvoudig uitvoeren en schalen in zowel Windows- als Linux-omgevingen.

  • Azure Storage is maximaal beschikbaar, zeer schaalbaar, duurzaam en veilig opslag voor verschillende gegevensobjecten in de cloud, waaronder object, blob, bestand, schijf, wachtrij en tabelopslag. Alle gegevens die naar een Azure-opslagaccount worden geschreven, worden versleuteld door de service. Azure Storage biedt u gedetailleerde controle over wie toegang tot uw gegevens heeft.

  • Azure SQL Database is een volledig beheerde PaaS-database-engine die de meeste databasebeheerfuncties verwerkt, zoals upgraden, patchen, back-ups en bewaking. Het biedt deze functies zonder tussenkomst van de gebruiker. SQL Database biedt een reeks ingebouwde beveiligings- en nalevingsfuncties om uw toepassing te helpen voldoen aan de beveiligings- en nalevingsvereisten.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Andere Inzenders:

Volgende stappen

Microsoft heeft meer documentatie die u kan helpen uw IT-omgeving te beveiligen en de volgende artikelen kunnen met name nuttig zijn:

  • Beveiliging in het Microsoft Cloud Adoption Framework voor Azure. Het Cloud Adoption Framework biedt beveiligingsrichtlijnen voor uw cloudtraject door de processen, best practices, modellen en ervaring te verduidelijken.
  • Microsoft Azure Well-Architected Framework. Het Azure Well-Architected Framework is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Het framework is gebaseerd op vijf pijlers: betrouwbaarheid, beveiliging, kostenoptimalisatie, operationele uitmuntendheid en prestatie-efficiëntie.
  • Aanbevolen procedures voor Microsoft-beveiliging. Microsoft Security Best Practices (voorheen bekend als het Azure Security Compass of Microsoft Security Compass) is een verzameling aanbevolen procedures die duidelijke, bruikbare richtlijnen bieden voor beslissingen met betrekking tot beveiliging.
  • Microsoft Cybersecurity Reference Architectures (MCRA). MCRA is een compilatie van verschillende Microsoft-beveiligingsreferentiearchitecturen.

In de volgende bronnen vindt u meer informatie over de services, technologieën en terminologie die in dit artikel worden vermeld:

Zie de andere artikelen in deze reeks voor meer informatie over deze referentiearchitectuur: