Azure Local en ISO/IEC 27001:2022

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt beschreven hoe organisaties met Azure Local voldoen aan de vereisten voor beveiligingscontrole van ISO/IEC 27001:2022, zowel in de cloud als on-premises. Meer informatie over lokale en andere beveiligingsstandaarden in Azure Local en beveiligingsstandaarden.

ISO/IEC 27001:2022

ISO/IEC 27001 is een wereldwijde beveiligingsstandaard die vereisten aangeeft voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van een Information Security Management System (ISMS). Certificering aan ISO/IEC 27001:2022 helpt organisaties hun beveiligingspostuur te verbeteren, vertrouwen met hun klanten te bouwen en kan helpen voldoen aan verschillende wettelijke en wettelijke verplichtingen die betrekking hebben op informatiebeveiliging, zoals PCI DSS, HIPAA, HITRUST en FedRAMP. Meer informatie over de standaard op ISO/IEC 27001.

Azure Local

Azure Local is een hybride oplossing die naadloze integratie biedt tussen de on-premises infrastructuur van organisaties en Azure-cloudservices, waardoor gevirtualiseerde workloads en containers worden geconsolideerd en cloudefficiënties worden bereikt wanneer gegevens om juridische of privacyredenen on-premises moeten blijven. Organisaties die op zoek zijn naar ISO/IEC 27001:2022-certificering voor hun oplossingen, moeten rekening houden met zowel hun cloud- als on-premises omgevingen.

Verbonden cloudservices

Azure Local biedt uitgebreide integratie met verschillende Azure-services, zoals Azure Monitor, Azure Backup en Azure Site Recovery, om nieuwe mogelijkheden te leveren aan de hybride omgeving. Deze cloudservices ondergaan regelmatig onafhankelijke controles van derden voor ISO/IEC 27001:2022-naleving. U kunt het Azure ISO/IEC 27001:2022-certificaat en auditrapport bekijken in Azure-nalevingsaanbiedingen : ISO/IEC 27001:2022.

Belangrijk

De nalevingsstatus van Azure verleent geen ISO/IEC 27001-accreditatie voor de services die een organisatie bouwt of host op het Azure-platform. Organisaties zijn verantwoordelijk voor de naleving van hun activiteiten met ISO/IEC 27001:2022-vereisten.

Lokale oplossingen

On-premises biedt Azure Local een reeks functies waarmee organisaties kunnen voldoen aan de beveiligingsvereisten van ISO/IEC 27001:2022. De volgende secties bevatten meer informatie.

Lokale Mogelijkheden van Azure die relevant zijn voor ISO/IEC 27001:2022

In deze sectie wordt beschreven hoe organisaties azure Local-functionaliteit kunnen gebruiken om te voldoen aan de beveiligingscontroles in bijlage A van ISO/IEC 27001:2022. De volgende informatie omvat alleen technische vereisten. Vereisten met betrekking tot beveiligingsbewerkingen vallen buiten het bereik, omdat Azure Local deze niet kan beïnvloeden. De richtsnoeren zijn ingedeeld in de negen domeinen van bijlage A:

• Netwerkbeveiliging
• Identiteits- en toegangsbeheer
• Gegevensbeveiliging
• Logboekregistratie
• Monitoring
• Beveiligde configuratie
• Bedreigingsbeveiliging
• Back-up en herstel
• Schaalbaarheid en beschikbaarheid

In de richtlijnen in dit artikel wordt beschreven hoe lokale mogelijkheden van Azure kunnen worden gebruikt om te voldoen aan de vereisten van elk domein. Het is belangrijk te weten dat niet alle besturingselementen verplicht zijn. Organisaties moeten hun omgeving analyseren en risicoanalyse uitvoeren om te bepalen welke controles nodig zijn. Zie ISO/IEC 27001 voor meer informatie over de vereisten.

Netwerkbeveiliging

De netwerkbeveiligingsfunctionaliteit die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.20 – Netwerkbeveiliging
• 8.21 – Beveiliging van netwerkservices
• 8.22 – Scheiding van netwerken
• 8.23 – Webfiltering

Met Azure Local kunt u netwerkbeveiligingscontroles toepassen om uw platform en de werkbelastingen die erop worden uitgevoerd, te beschermen tegen netwerkbedreigingen buiten en binnen. Azure Local garandeert ook eerlijke netwerktoewijzing op een host en verbetert de workloadprestaties en beschikbaarheid met mogelijkheden voor taakverdeling. Zie de volgende artikelen voor meer informatie over netwerkbeveiliging in Azure Local.

• Overzicht van Datacenter Firewall
• Software Load Balancer (SLB) voor Software Define Network (SDN)
• RAS-gateway (Remote Access Service) voor SDN
• Quality of Service-beleid voor uw workloads die worden gehost op Azure Local

Identiteits- en toegangsbeheer

De functionaliteit voor identiteits- en toegangsbeheer die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.2 – Bevoegde toegangsrechten
• 8.3 – Toegangsbeperkingen voor informatie
• 8.5 - Beveiligde verificatie

Azure Local biedt volledige en directe toegang tot het onderliggende systeem dat wordt uitgevoerd op computers via meerdere interfaces, zoals Azure Arc en Windows PowerShell. U kunt conventionele Windows-hulpprogramma's gebruiken in lokale omgevingen of cloudoplossingen zoals Microsoft Entra ID (voorheen Azure Active Directory) om identiteit en toegang tot het platform te beheren. In beide gevallen kunt u profiteren van ingebouwde beveiligingsfuncties, zoals meervoudige verificatie (MFA), voorwaardelijke toegang, op rollen gebaseerd toegangsbeheer (RBAC) en PIM (Privileged Identity Management) om ervoor te zorgen dat uw omgeving veilig en compatibel is.

Meer informatie over lokaal identiteits- en toegangsbeheer in Microsoft Identity Manager en Privileged Access Management voor Active Directory-domein Services. Meer informatie over identiteits- en toegangsbeheer in de cloud vindt u in Microsoft Entra ID.

Gegevensbescherming

De functionaliteit voor gegevensbescherming die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.5 - Beveiligde verificatie
• 8.20 – Netwerkbeveiliging
• 8.21 - Beveiliging van netwerkservices
• 8.24 – Gebruik van cryptografie

Gegevens versleutelen met BitLocker

Op lokale Azure-instanties kunnen alle gegevens in rust worden versleuteld via BitLocker XTS-AES 256-bits versleuteling. Standaard wordt u aangeraden BitLocker in te schakelen voor het versleutelen van alle besturingssysteemvolumes en gedeelde clustervolumes (CSV) in uw lokale Azure-implementatie. Voor nieuwe opslagvolumes die na de implementatie zijn toegevoegd, moet u BitLocker handmatig inschakelen om het nieuwe opslagvolume te versleutelen. Door BitLocker te gebruiken om gegevens te beveiligen, kunnen organisaties voldoen aan ISO/IEC 27001. Meer informatie vindt u op Met BitLocker werken met gedeelde clustervolumes (CSV).

Extern netwerkverkeer beveiligen met TLS/DTLS

Standaard worden alle hostcommunicatie naar lokale en externe eindpunten versleuteld met TLS1.2, TLS1.3 en DTLS 1.2. Het platform schakelt het gebruik van oudere protocollen/hashes, zoals TLS/DTLS 1.1 SMB1, uit. Azure Local biedt ook ondersteuning voor sterke coderingssuites, zoals SDL-compatibele elliptische curven die beperkt zijn tot alleen NIST-curven P-256 en P-384.

Intern netwerkverkeer beveiligen met Server Message Block (SMB)

SMB-ondertekening is standaard ingeschakeld voor clientverbindingen in lokale Azure-exemplaren. Voor verkeer tussen clusters is SMB-versleuteling een optie die organisaties mogelijk maken tijdens of na de implementatie om gegevens in transit tussen systemen te beveiligen. Cryptografische AES-256-GCM- en AES-256-CCM-suites worden nu ondersteund door het SMB 3.1.1-protocol dat wordt gebruikt door client-serverbestandsverkeer en de gegevensinfrastructuur binnen het cluster. Het protocol blijft ook ondersteuning bieden voor de breder compatibele AES-128-suite. Meer informatie over SMB-beveiligingsverbeteringen.

Loggen

De functionaliteit voor logboekregistratie die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.15 – Logboekregistratie
• 8.17 – Kloksynchronisatie

Lokale systeemlogboeken

Standaard worden alle bewerkingen die worden uitgevoerd binnen het lokale Azure-exemplaar vastgelegd, zodat u kunt bijhouden wie wat heeft gedaan, wanneer en waar op het platform. Logboeken en waarschuwingen die door Windows Defender zijn gemaakt, worden ook opgenomen om u te helpen bij het voorkomen, detecteren en minimaliseren van de kans en impact van een inbreuk op gegevens. Omdat het systeemlogboek echter vaak een grote hoeveelheid informatie bevat, veel van het overbodige aan gegevensbeveiligingsbewaking, moet u bepalen welke gebeurtenissen relevant zijn om te worden verzameld en gebruikt voor beveiligingsbewakingsdoeleinden. Azure-bewakingsmogelijkheden helpen bij het verzamelen, opslaan, waarschuwen en analyseren van deze logboeken. Raadpleeg de beveiligingsbasislijn voor Azure Local voor meer informatie.

Lokale activiteitenlogboeken

Met Azure Local Lifecycle Manager worden activiteitenlogboeken gemaakt en opgeslagen voor elk uitgevoerd actieplan. Deze logboeken ondersteunen dieper onderzoek en bewaking.

Activiteitenlogboeken van de cloud

Door uw systemen bij Azure te registreren, kunt u Azure Monitor-activiteitenlogboeken gebruiken om bewerkingen op elke resource op de abonnementslaag vast te leggen. Hiermee kunt u bepalen wat, wie en wanneer voor alle schrijfbewerkingen (put, post of delete) die op de resources in uw abonnement zijn uitgevoerd.

Cloudidentiteitslogboeken

Als u Microsoft Entra-id gebruikt om identiteit en toegang tot het platform te beheren, kunt u logboeken in Azure AD-rapportage bekijken of integreren met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerde gebruiksscenario's voor bewaking en analyse. Als u on-premises Active Directory gebruikt, gebruikt u de Microsoft Defender for Identity-oplossing om uw on-premises Active Directory-signalen te gebruiken om geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties te identificeren, te detecteren en te onderzoeken die zijn gericht op uw organisatie.

Integratie van SIEM

Microsoft Defender voor Cloud en Microsoft Sentinel is systeemeigen geïntegreerd met lokale Azure-machines met Arc. U kunt uw logs inschakelen en naar Microsoft Sentinel overzetten, dat mogelijkheden biedt voor SIEM (Security Information Event Management) en SOAR (Security Orchestration Automated Response). Microsoft Sentinel, net als andere Azure-cloudservices, voldoet ook aan veel bekende beveiligingsstandaarden, zoals ISO/IEC 27001, die u kunnen helpen bij uw certificeringsproces. Daarnaast biedt Azure Local een systeemeigen syslog-gebeurtenisstuurserver voor het verzenden van de systeem gebeurtenissen naar de SIEM-oplossingen van derden.

Controleren

De bewakingsfunctionaliteit die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.15 – Logboekregistratie

Inzichten voor Azure Local

Met Inzichten voor Azure Local kunt u status-, prestatie- en gebruiksgegevens bewaken voor systemen die zijn verbonden met Azure en zijn ingeschreven bij bewaking. Tijdens de configuratie van Insights wordt een regel voor gegevensverzameling gemaakt, waarmee de gegevens worden opgegeven die moeten worden verzameld. Deze gegevens worden opgeslagen in een Log Analytics-werkruimte, die vervolgens wordt geaggregeerd, gefilterd en geanalyseerd om vooraf gemaakte bewakingsdashboards te bieden met behulp van Azure-werkmappen. U kunt de bewakingsgegevens voor zowel één knooppunt als systemen met meerdere knooppunten bekijken vanaf uw lokale Azure-resourcepagina of Azure Monitor. Meer informatie vindt u in Monitor Azure Local met Insights.

Metrische gegevens voor Lokaal in Azure

Metrische gegevens voor Azure Local slaan numerieke gegevens van bewaakte resources op in een tijdreeksdatabase. U kunt Azure Monitor Metrics Explorer gebruiken om de gegevens in uw metrische database interactief te analyseren en de waarden van meerdere metrische gegevens in de loop van de tijd in kaart te brengen. Met metrische gegevens kunt u grafieken maken op basis van metrische waarden en trends visueel correleren.

Logboekwaarschuwingen

Als u problemen in realtime wilt aangeven, stelt u waarschuwingen in voor Azure Local, met behulp van bestaande voorbeeldlogboekquery's zoals gemiddelde server-CPU, beschikbaar geheugen, beschikbare volumecapaciteit en meer. Meer informatie over het instellen van waarschuwingen voor lokale Azure-systemen.

Waarschuwingen voor metrische gegevens

Een waarschuwingsregel voor metrische gegevens bewaakt een resource door met regelmatige tussenpozen voorwaarden voor de metrische gegevens van de resource te evalueren. Als aan deze voorwaarden wordt voldaan, wordt er een waarschuwing geactiveerd. Een metrische tijdreeks is een reeks metrische waarden die gedurende een bepaalde periode zijn vastgelegd. U kunt deze metrische gegevens gebruiken om waarschuwingsregels te maken. Meer informatie over het maken van metrische waarschuwingen bij metrische waarschuwingen.

Service- en apparaatwaarschuwingen

Azure Local biedt op services gebaseerde waarschuwingen voor connectiviteit, updates van het besturingssysteem, Azure-configuratie en meer. Op apparaten gebaseerde waarschuwingen voor clusterstatusfouten zijn ook beschikbaar. U kunt ook lokale Azure-exemplaren en hun onderliggende onderdelen bewaken met behulp van PowerShell of Health Service.

Veilige configuratie

De beveiligde configuratiefunctionaliteit die in deze sectie wordt beschreven, kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.8 – Beheer van technische beveiligingsproblemen
• 8.9 – Configuratiebeheer

Beveiligd als standaard

Azure Local is standaard veilig geconfigureerd met beveiligingshulpprogramma's en -technologieën die bescherming bieden tegen moderne bedreigingen en die zijn afgestemd op de Azure Compute Security-basislijnen. Meer informatie over het beheren van de standaardinstellingen voor beveiliging voor Azure Local.

Driftbeveiliging

De standaardbeveiligingsconfiguratie en beveiligde kerninstellingen van het platform worden beveiligd tijdens zowel implementatie als runtime met driftbesturingsbeveiliging . Wanneer driftbeschermingscontrole is ingeschakeld, worden de beveiligingsinstellingen regelmatig elke 90 minuten vernieuwd om ervoor te zorgen dat veranderingen van de opgegeven staat worden gecorrigeerd. Dankzij deze continue bewaking en automatisch herstel kunt u gedurende de gehele levenscyclus van het apparaat een consistente en betrouwbare beveiligingsconfiguratie hebben. U kunt de driftbeveiliging uitschakelen tijdens de implementatie wanneer u de beveiligingsinstellingen configureert.

Beveiligingsbasislijn voor werkbelasting

Voor workloads die worden uitgevoerd in Azure Local, kunt u de door Azure aanbevolen basislijn voor besturingssystemen (voor Windows en Linux) gebruiken als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.

Platform update

Alle onderdelen van Azure Local, inclusief het besturingssysteem, de kernagenten en -services en de oplossingsextensie, kunnen eenvoudig worden onderhouden met levenscyclusbeheer. Met deze functie kunt u verschillende onderdelen bundelen in een updaterelease en de combinatie van versies valideren om interoperabiliteit te garanderen. Meer informatie vindt u in Lifecycle Manager voor updates van lokale Azure-oplossingen.

Workloads van klanten worden niet gedekt door deze updateoplossing.

Bedreigingsbeveiliging

De functionaliteit voor bedreigingsbeveiliging in deze sectie kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.7 – Bescherming tegen malware

Windows Defender Antivirus

Windows Defender Antivirus is een hulpprogrammatoepassing die de mogelijkheid biedt om realtime systeemscans en periodieke scans af te dwingen om platformen en workloads te beschermen tegen virussen, malware, spyware en andere bedreigingen. Microsoft Defender Antivirus is standaard ingeschakeld op Azure Local. Microsoft raadt aan Om Microsoft Defender Antivirus te gebruiken met Azure Local in plaats van software en services voor het detecteren van malware van derden, omdat dit van invloed kan zijn op de mogelijkheid van het besturingssysteem om updates te ontvangen. Meer informatie vindt u in Microsoft Defender Antivirus op Windows Server.

Windows Defender Application Control (WDAC)

Windows Defender Application Control (WDAC) is standaard ingeschakeld op Azure Local om te bepalen welke stuurprogramma's en toepassingen rechtstreeks op elke computer mogen worden uitgevoerd, zodat malware geen toegang heeft tot de systemen. Meer informatie over basisbeleid dat is opgenomen in Azure Local en hoe u aanvullende beleidsregels maakt in Windows Defender Application Control voor Azure Local.

Microsoft Defender for Cloud

Microsoft Defender voor Cloud met Endpoint Protection (ingeschakeld via het Defender for Servers-plan) biedt een oplossing voor beveiligingsbeheer met geavanceerde mogelijkheden voor beveiliging tegen bedreigingen. Het biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw infrastructuur, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen. Het voert al deze services met hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services. Meer informatie vindt u op Microsoft Defender voor Cloud.

Back-up en herstel

De back-up- en herstelfunctionaliteit die in deze sectie wordt beschreven, kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.7 – Bescherming tegen malware
• 8.13 – Back-up van gegevens
• 8.14 – Redundantie van informatie

Uitgerekte cluster

Azure Local biedt ingebouwde ondersteuning voor herstel na noodgevallen van gevirtualiseerde workloads via stretched clustering. Door een stretched Azure Local-exemplaar te implementeren, kunt u de gevirtualiseerde workloads synchroon repliceren op twee afzonderlijke on-premises locaties en er automatisch een failover tussen uitvoeren. Geplande sitefailovers kunnen plaatsvinden zonder uitvaltijd met behulp van Hyper-V-livemigratie.

Kubernetes-clusterknooppunten

Als u Azure Local gebruikt voor het hosten van implementaties op basis van containers, helpt het platform u de flexibiliteit en tolerantie te verbeteren die inherent zijn aan Azure Kubernetes-implementaties. Azure Local beheert automatische failover van VM's die fungeren als Kubernetes-clusterknooppunten als er een gelokaliseerde fout opgetreden is in de onderliggende fysieke onderdelen. Deze configuratie vormt een aanvulling op de hoge beschikbaarheid die is ingebouwd in Kubernetes, waardoor mislukte containers automatisch opnieuw worden opgestart op dezelfde of een andere VIRTUELE machine.

Azure Site Recovery

Met deze service kunt u workloads repliceren die worden uitgevoerd op uw lokale Azure-VM's naar de cloud, zodat uw informatiesysteem kan worden hersteld als er sprake is van een incident, storing of verlies van opslagmedia. Net als andere Azure-cloudservices heeft Azure Site Recovery een lange trackrecord met beveiligingscertificaten, waaronder HITRUST, die u kunt gebruiken om uw accreditatieproces te ondersteunen. Meer informatie over VM-workloads beveiligen met Azure Site Recovery op Azure Local.

Microsoft Azure Backup Server (MABS)

Met deze service kunt u een back-up maken van virtuele Azure-machines, waarbij u een gewenste frequentie en bewaarperiode opgeeft. U kunt MABS gebruiken om een back-up te maken van de meeste resources in de hele omgeving, waaronder:

• Systeemstatus/Bare-Metal Recovery (BMR) van lokale Azure-host
• Gast-VM's in een systeem met lokale of rechtstreeks gekoppelde opslag
• Gast-VM's in lokale Azure-exemplaren met CSV-opslag
• VM verplaatsen binnen een cluster

Meer informatie vindt u in Back-up van lokale virtuele Azure-machines met Azure Backup Server.

Schaalbaarheid en beschikbaarheid

De schaalbaarheids- en beschikbaarheidsfunctionaliteit die in deze sectie wordt beschreven, kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.6 – Capaciteitsbeheer
• 8.14 – Redundantie van informatie

Hypergeconvergeerde modellen

Azure Local maakt gebruik van hypergeconvergeerde modellen van Opslagruimten Direct om workloads te implementeren. Met dit implementatiemodel kunt u eenvoudig schalen door nieuwe knooppunten toe te voegen die automatisch rekenkracht en opslag op hetzelfde moment uitbreiden met geen downtime.

Failoverclusters

Lokale Azure-exemplaren zijn failoverclusters. Als een server die deel uitmaakt van Azure Local mislukt of niet meer beschikbaar is, neemt een andere server in hetzelfde failovercluster de taak over van het leveren van de services die worden aangeboden door het mislukte knooppunt. U maakt een failovercluster door Opslagruimten direct in te schakelen op meerdere computers waarop Azure Local wordt uitgevoerd.