Ontwerpgebied: Beveiliging
In dit ontwerpgebied wordt een basis gemaakt voor beveiliging in uw Azure-, hybride en multicloudomgevingen. U kunt deze basis later verbeteren met beveiligingsrichtlijnen die worden beschreven in de veilige methodologie van het Cloud Adoption Framework.
Ontwerpgebiedbeoordeling
Betrokken rollen of functies: dit ontwerpgebied wordt geleid door cloudbeveiliging, met name de beveiligingsarchitecten binnen dat team. Het cloudplatform en het cloudcentrum van uitmuntendheid zijn vereist om netwerk- en identiteitsbeslissingen te beoordelen. De collectieve rollen kunnen vereist zijn om de technische vereisten die afkomstig zijn van deze oefening te definiëren en te implementeren. Meer geavanceerde beveiligingsbeveiligingsrails hebben mogelijk ook ondersteuning nodig van cloudgovernance.
Bereik: Het doel van deze oefening is om inzicht te hebben in de beveiligingsvereisten en deze consistent te implementeren voor alle workloads in uw cloudplatform. Het primaire bereik van deze oefening is gericht op hulpprogramma's voor beveiligingsbewerkingen en toegangsbeheer. Dit bereik omvat Zero Trust en geavanceerde netwerkbeveiliging.
Buiten het bereik: Deze oefening is gericht op de basis voor een modern security operations center in de cloud. Om het gesprek te stroomlijnen, gaat deze oefening niet in op een aantal disciplines in de CAF Secure-methodologie. Beveiligingsbewerkingen, assetbeveiliging en innovatiebeveiliging bouwen voort op de implementatie van uw Azure-landingszone. Ze vallen echter buiten het bereik van deze ontwerpgebieddiscussie.
Overzicht van ontwerpgebied
Beveiliging is een belangrijke overweging voor alle klanten, in elke omgeving. Bij het ontwerpen en implementeren van een Azure-landingszone moet de beveiliging een overweging zijn tijdens het hele proces.
Het ontwerpgebied voor beveiliging richt zich op overwegingen en aanbevelingen voor beslissingen over landingszones. De veilige methodologie van het Cloud Adoption Framework biedt ook uitgebreidere richtlijnen voor holistische beveiligingsprocessen en -hulpprogramma's.
Nieuwe (greenfield)-cloudomgeving: Als u uw cloudtraject wilt starten met een kleine set abonnementen, raadpleegt u Uw eerste Azure-abonnementen maken. Overweeg ook het gebruik van Bicep-implementatiesjablonen bij het bouwen van uw Azure-landingszones. Zie Azure Landing Zones Bicep - Implementatiestroom voor meer informatie.
Bestaande (brownfield) cloudomgeving: Overweeg het gebruik van de volgende Microsoft Entra-identiteits - en toegangsservices als u geïnteresseerd bent in het toepassen van de principes van het ontwerpgebied voor beveiliging op bestaande Azure-omgevingen:
- Implementeer Microsoft Entra Connect-cloudsynchronisatie om uw lokale gebruikers van Active Directory-domein Services (AD DS) te voorzien van beveiligde eenmalige aanmelding (SSO) voor uw door Microsoft Entra ID ondersteunde toepassingen. Een extra voordeel van het configureren van hybride identiteiten is dat u Microsoft Entra multifactor authentication (MFA) en Microsoft Entra Password Protection kunt afdwingen om deze identiteiten verder te beveiligen
- Overweeg voorwaardelijke toegang van Microsoft Entra voor beveiligde verificatie voor uw cloud-apps en Azure-resources.
- Implementeer Microsoft Entra Privileged Identity Management om toegang tot minimale bevoegdheden en uitgebreide rapportage in uw hele Azure-omgeving te garanderen. Teams moeten terugkerende toegangsbeoordelingen starten om ervoor te zorgen dat de juiste personen en serviceprincipes actuele en juiste autorisatieniveaus hebben.
- Maak gebruik van de aanbevelingen, waarschuwingen en herstelmogelijkheden van Microsoft Defender voor Cloud. Uw beveiligingsteam kan ook Microsoft Defender voor Cloud integreren in Microsoft Sentinel als ze een robuustere, centraal beheerde, centraal beheerde SIEM-oplossing (Security Information Event Management)/SOAR (Security Orchestration and Response) nodig hebben.
De Azure Landing Zones Bicep - Implementatiestroomopslagplaats bevat een aantal Bicep-implementatiesjablonen waarmee uw implementaties van greenfield en brownfield azure-landingszones kunnen worden versneld. Deze sjablonen hebben al bewezen beveiligingsrichtlijnen van Microsoft geïntegreerd.
Zie overwegingen voor brownfield-omgevingen voor meer informatie over het werken in brownfield-cloudomgevingen.
Microsoft-benchmark voor cloudbeveiliging
De Microsoft-cloudbeveiligingsbenchmark bevat aanbevelingen voor beveiligingsproblemen die van grote invloed zijn op het beveiligen van de meeste services die u in Azure gebruikt. U kunt deze aanbevelingen beschouwen als algemeen of organisatie, omdat ze van toepassing zijn op de meeste Azure-services. De aanbevelingen voor microsoft-cloudbeveiligingsbenchmarks worden vervolgens aangepast voor elke Azure-service. Deze aangepaste richtlijnen vindt u in artikelen met aanbevelingen voor services.
De documentatie van de Microsoft Cloud Security-benchmark bevat beveiligingscontroles en serviceaanbeveling.
- Beveiligingscontroles: De aanbevelingen voor microsoft-cloudbeveiligingsbenchmarks worden gecategoriseerd op basis van beveiligingscontroles. Beveiligingscontroles vertegenwoordigen hoge leveranciersagnostische beveiligingsvereisten, zoals netwerkbeveiliging en gegevensbescherming. Elk beveiligingsbeheer heeft een set beveiligingsaanaanvelings- en instructies waarmee u deze aanbevelingen kunt implementeren.
- Aanbevelingen voor services: wanneer deze beschikbaar zijn, bevatten benchmarkaankopen voor Azure-services aanbevelingen voor Microsoft-cloudbeveiligingsbenchmarks die specifiek zijn afgestemd op die service.
Azure Attestation
Azure Attestation is een hulpprogramma waarmee u de beveiliging en integriteit van uw platform en binaire bestanden kunt garanderen die erin worden uitgevoerd. Het is vooral handig voor bedrijven die zeer schaalbare rekenresources nodig hebben en een onherstelbare vertrouwensrelatie met de externe attestation-functie vereisen.
Overwegingen voor beveiligingsontwerp
Een organisatie moet inzicht hebben in wat er gebeurt binnen hun technische cloudomgeving. Beveiligingsbewaking en auditlogboekregistratie van Azure-platformservices is een belangrijk onderdeel van een schaalbaar framework.
Overwegingen bij het ontwerpen van beveiligingsbewerkingen
Bereik | Context |
---|---|
Beveiligingswaarschuwingen | - Welke teams vereisen meldingen voor beveiligingswaarschuwingen? - Zijn er groepen services waarvoor waarschuwingen routering naar verschillende teams vereisen? - Zakelijke vereisten voor realtime bewaking en waarschuwingen. - Integratie van beveiligingsinformatie en gebeurtenisbeheer met Microsoft Defender voor Cloud en Microsoft Sentinel. |
Beveiligingslogboeken | - Bewaarperioden voor gegevens voor controlegegevens. Microsoft Entra ID P1- of P2-rapporten hebben een bewaarperiode van 30 dagen. - Langetermijnarchivering van logboeken zoals Azure-activiteitenlogboeken, VM-logboeken (virtuele machines) en PaaS-logboeken (Platform as a Service). |
Besturingselementen voor beveiliging | - Basislijnbeveiligingsconfiguratie via azure in-guest VM-beleid. - Denk na over hoe uw beveiligingscontroles zijn afgestemd op governancebeveiligingsrails. |
Beheer van beveiligingsproblemen | - Noodpatches voor kritieke beveiligingsproblemen. - Patchen voor virtuele machines die gedurende langere tijd offline zijn. - Evaluatie van beveiligingsproblemen van VM's. |
Gedeelde verantwoordelijkheid | - Waar zijn de handoffs voor teamverantwoordelijkheden? Deze verantwoordelijkheden moeten worden overwogen bij het bewaken of reageren op beveiligingsevenementen. - Houd rekening met de richtlijnen in de secure-methodologie voor beveiligingsbewerkingen. |
Versleuteling en sleutels | - Wie heeft toegang tot sleutels in de omgeving nodig? - Wie is er verantwoordelijk voor het beheren van de sleutels? - Versleuteling en sleutels verder verkennen. |
Attest | - Gebruikt u Trusted Launch voor uw VM's en hebt u een attestatie nodig van de integriteit van de volledige opstartketen van uw VM (UEFI, BESTURINGSSYSTEEM, systeem en stuurprogramma's)? - Wilt u profiteren van vertrouwelijke schijfversleuteling voor uw vertrouwelijke VM's? - Vereisen uw workloads attestation dat ze worden uitgevoerd in een vertrouwde omgeving? |
Aanbevelingen voor het ontwerpen van beveiligingsbewerkingen
Gebruik rapportagemogelijkheden van Microsoft Entra ID om controlerapporten voor toegangsbeheer te genereren.
Azure-activiteitenlogboeken exporteren naar Azure Monitor-logboeken voor langetermijnretentie van gegevens. Exporteer indien nodig naar Azure Storage voor langetermijnopslag na twee jaar.
Schakel Defender voor Cloud standaard in voor alle abonnementen en gebruik Azure Policy om naleving te garanderen.
Bewaak de patchingdrift van het basisbesturingssysteem via Azure Monitor-logboeken en Microsoft Defender voor Cloud.
Gebruik Azure-beleid om softwareconfiguraties automatisch te implementeren via VM-extensies en een compatibele basislijn-VM-configuratie af te dwingen.
Bewaak vm-beveiligingsconfiguratiedrift via Azure Policy.
Standaardresourceconfiguraties verbinden met een gecentraliseerde Azure Monitor Log Analytics-werkruimte.
Gebruik een Azure Event Grid-oplossing voor logboekgeoriënteerde, realtime waarschuwingen.
Azure Attestation gebruiken voor attestation van:
- De integriteit van de volledige opstartketen van uw VIRTUELE machine. Zie het overzicht van bewaking van opstartintegriteit voor meer informatie.
- Veilige release van vertrouwelijke schijfversleutelingssleutels voor een vertrouwelijke VM. Zie Vertrouwelijke besturingssysteemschijfversleuteling voor meer informatie.
- Verschillende typen vertrouwde uitvoeringsomgevingen voor workloads. Zie Use cases voor meer informatie.
Ontwerpoverwegingen voor toegangsbeheer
Moderne beveiligingsgrenzen zijn complexer dan grenzen in een traditioneel datacenter. De vier muren van het datacenter bevatten uw assets niet meer. Gebruikers buiten het beveiligde netwerk houden is niet langer voldoende om de toegang te beheren. In de cloud bestaat uw perimeter uit twee onderdelen: netwerkbeveiligingsbeheer en Zero Trust-toegangsbeheer.
Geavanceerde netwerkbeveiliging
Bereik | Context |
---|---|
Plannen voor binnenkomende en uitgaande internetverbinding | Beschrijft aanbevolen connectiviteitsmodellen voor binnenkomende en uitgaande connectiviteit van en naar het openbare internet. |
Plan voor netwerksegmentatie van landingszone | Verkent belangrijke aanbevelingen voor het leveren van zeer veilige interne netwerksegmentatie binnen een landingszone. Deze aanbevelingen stimuleren de implementatie van netwerk nulvertrouwen. |
Vereisten voor netwerkversleuteling definiëren | Verkent belangrijke aanbevelingen voor het bereiken van netwerkversleuteling tussen on-premises en Azure en tussen Azure-regio's. |
Verkeersinspectie plannen | Verkent belangrijke overwegingen en aanbevolen benaderingen voor spiegelen of tikken op verkeer in Azure Virtual Network. |
Zero Trust
Voor Zero Trust-toegang met identiteiten moet u het volgende overwegen:
- Welke teams of personen hebben toegang nodig tot services binnen de landingszone? Welke rollen doen ze?
- Wie moet de toegangsaanvragen autoriseren?
- Wie moet de meldingen ontvangen wanneer bevoorrechte rollen worden geactiveerd?
- Wie moet toegang hebben tot de controlegeschiedenis?
Zie Microsoft Entra Privileged Identity Management voor meer informatie.
Het implementeren van Zero Trust kan verder gaan dan alleen identiteits- en toegangsbeheer. U moet overwegen of uw organisatie Zero Trust-procedures moet implementeren op meerdere pijlers, zoals infrastructuur, gegevens en netwerken. Zie Zero Trust-procedures opnemen in uw landingszone voor meer informatie
Ontwerpaanaanvelingen voor toegangsbeheer
Voer in de context van uw onderliggende vereisten een gezamenlijk onderzoek uit van elke vereiste dienst. Als u uw eigen sleutels wilt gebruiken, wordt deze mogelijk niet ondersteund voor alle services die als geheel worden beschouwd. Implementeer relevante risicobeperking zodat inconsistenties geen gevolgen hebben voor de gewenste resultaten. Kies de juiste regioparen en regio's voor herstel na noodgevallen die latentie minimaliseren.
Ontwikkel een plan voor de acceptatielijst voor beveiliging om services te evalueren, zoals beveiligingsconfiguratie, bewaking en waarschuwingen. Maak vervolgens een plan om ze te integreren met bestaande systemen.
Bepaal het plan voor reactie op incidenten voor Azure-services voordat u het naar productie verplaatst.
Stem uw beveiligingsvereisten af met azure-platformschema's om op de hoogte te blijven van nieuw uitgebrachte beveiligingscontroles.
Implementeer waar nodig een zero-trust-benadering voor toegang tot het Azure-platform.
Beveiliging in de Azure-landingszoneversneller
Beveiliging vormt de kern van de Azure-landingszoneversneller. Als onderdeel van de implementatie worden veel hulpprogramma's en besturingselementen geïmplementeerd om organisaties te helpen snel een beveiligingsbasislijn te bereiken.
De volgende zijn bijvoorbeeld opgenomen:
Gereedschap:
- Microsoft Defender voor Cloud, standard of gratis laag
- Microsoft Sentinel
- Azure DDoS Network Protection (optioneel)
- Azure Firewall
- Web Application Firewall (WAF)
- PIM (Privileged Identity Management)
Beleid voor online- en bedrijfsgebonden landingszones:
- Veilige toegang, zoals HTTPS, afdwingen voor opslagaccounts
- Controle afdwingen voor Azure SQL Database
- Versleuteling afdwingen voor Azure SQL Database
- Doorsturen via IP voorkomen
- Voorkomen dat binnenkomende RDP van internet is
- Zorg ervoor dat subnetten zijn gekoppeld aan NSG
Volgende stappen
Meer informatie over het beveiligen van bevoegde toegang voor hybride implementaties en cloudimplementaties in Microsoft Entra ID.