Best practices voor operationele beveiliging van Azure
Dit artikel bevat een reeks operationele aanbevolen procedures voor het beveiligen van uw gegevens, toepassingen en andere assets in Azure.
De aanbevolen procedures zijn gebaseerd op een consensus van mening en ze werken met de huidige mogelijkheden en functiesets van het Azure-platform. Meningen en technologieën veranderen in de loop van de tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.
Sterke operationele beveiligingsprocedures definiëren en implementeren
Operationele beveiliging van Azure verwijst naar de services, besturingselementen en functies die beschikbaar zijn voor gebruikers voor het beveiligen van hun gegevens, toepassingen en andere assets in Azure. Operationele beveiliging van Azure is gebaseerd op een framework dat de kennis bevat die is opgedaan via mogelijkheden die uniek zijn voor Microsoft, met inbegrip van de SDL (Security Development Lifecycle), het Microsoft Security Response Center-programma en uitgebreide kennis van het landschap van bedreigingen voor cyberbeveiliging.
Meervoudige verificatie afdwingen voor gebruikers
U wordt aangeraden verificatie in twee stappen te vereisen voor al uw gebruikers. Dit omvat beheerders en anderen in uw organisatie die aanzienlijke gevolgen kunnen hebben als hun account is aangetast (bijvoorbeeld financiële medewerkers).
Er zijn meerdere opties voor het vereisen van verificatie in twee stappen. De beste optie voor u is afhankelijk van uw doelen, de Microsoft Entra-editie die u uitvoert en uw licentieprogramma. Zie Verificatie in twee stappen vereisen voor een gebruiker om de beste optie voor u te bepalen. Zie de prijzenpagina's voor Microsoft Entra-id en Microsoft Entra voor meervoudige verificatie voor meer informatie over licenties en prijzen.
Hieronder volgen opties en voordelen voor het inschakelen van verificatie in twee stappen:
Optie 1: Schakel MFA in voor alle gebruikers en aanmeldingsmethoden met Microsoft Entra Security Defaults Benefit: met deze optie kunt u eenvoudig en snel MFA afdwingen voor alle gebruikers in uw omgeving met een strikt beleid om:
- Beheeraccounts en beheeraanmeldingsmechanismen uitdagen
- MFA-uitdaging vereisen via Microsoft Authenticator voor alle gebruikers
- Verouderde verificatieprotocollen beperken.
Deze methode is beschikbaar voor alle licentielagen, maar kan niet worden gecombineerd met bestaand beleid voor voorwaardelijke toegang. Meer informatie vindt u in Microsoft Entra Security Defaults
Optie 2: Meervoudige verificatie inschakelen door de gebruikersstatus te wijzigen.
Voordeel: dit is de traditionele methode voor het vereisen van verificatie in twee stappen. Het werkt met zowel Microsoft Entra-meervoudige verificatie in de cloud als de Azure Multi-Factor Authentication-server. Als u deze methode gebruikt, moeten gebruikers verificatie in twee stappen uitvoeren telkens wanneer ze zich aanmelden en het beleid voor voorwaardelijke toegang overschrijven.
Zie welke versie van Microsoft Entra-meervoudige verificatie geschikt is voor mijn organisatie om te bepalen waar meervoudige verificatie moet worden ingeschakeld.
Optie 3: Meervoudige verificatie met beleid voor voorwaardelijke toegang inschakelen. Voordeel: Met deze optie kunt u vragen om verificatie in twee stappen onder specifieke voorwaarden met behulp van voorwaardelijke toegang. Specifieke voorwaarden kunnen gebruikersaanmelding zijn vanaf verschillende locaties, niet-vertrouwde apparaten of toepassingen die u riskant acht. Als u specifieke voorwaarden definieert waarbij verificatie in twee stappen is vereist, kunt u constant vragen voor uw gebruikers voorkomen. Dit kan een onaangename gebruikerservaring zijn.
Dit is de meest flexibele manier om verificatie in twee stappen mogelijk te maken voor uw gebruikers. Het inschakelen van beleid voor voorwaardelijke toegang werkt alleen voor Meervoudige Verificatie van Microsoft Entra in de cloud en is een premium-functie van Microsoft Entra-id. Meer informatie over deze methode vindt u in Microsoft Entra-verificatie in de cloud implementeren.
Optie 4: Meervoudige verificatie met beleid voor voorwaardelijke toegang inschakelen door beleid op basis van risico's voor voorwaardelijke toegang te evalueren.
Voordeel: Met deze optie kunt u het volgende doen:
- Detecteer potentiële beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie.
- Configureer geautomatiseerde reacties op gedetecteerde verdachte acties die betrekking hebben op de identiteiten van uw organisatie.
- Onderzoek verdachte incidenten en neem de juiste actie om ze op te lossen.
Deze methode maakt gebruik van de risicoanalyse van Microsoft Entra ID Protection om te bepalen of verificatie in twee stappen is vereist op basis van gebruikers- en aanmeldingsrisico's voor alle cloudtoepassingen. Voor deze methode zijn Microsoft Entra ID P2-licenties vereist. Meer informatie over deze methode vindt u in Microsoft Entra ID Protection.
Notitie
Optie 2, waarbij meervoudige verificatie wordt ingeschakeld door de gebruikersstatus te wijzigen, wordt het beleid voor voorwaardelijke toegang overschreven. Omdat opties 3 en 4 beleidsregels voor voorwaardelijke toegang gebruiken, kunt u er geen optie 2 mee gebruiken.
Organisaties die geen extra beveiligingslagen voor identiteiten toevoegen, zoals verificatie in twee stappen, zijn vatbaarder voor diefstal van referenties. Een aanval op diefstal van referenties kan leiden tot inbreuk op gegevens.
Gebruikerswachtwoorden beheren en bewaken
De volgende tabel bevat enkele aanbevolen procedures met betrekking tot het beheren van gebruikerswachtwoorden:
Best practice: Zorg ervoor dat u het juiste wachtwoordbeveiligingsniveau in de cloud hebt.
Details: Volg de richtlijnen in Microsoft Password Guidance, die is afgestemd op gebruikers van de Microsoft-identiteitsplatforms (Microsoft Entra-id, Active Directory en Microsoft-account).
Best practice: Controleren op verdachte acties met betrekking tot uw gebruikersaccounts.
Details: Bewaken voor gebruikers die risico lopen en riskante aanmeldingen met behulp van Microsoft Entra-beveiligingsrapporten.
Best practice: wachtwoorden met een hoog risico automatisch detecteren en herstellen.
Detail: Microsoft Entra ID Protection is een functie van de Microsoft Entra ID P2-editie waarmee u het volgende kunt doen:
- Potentiële beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie
- Geautomatiseerde antwoorden configureren voor gedetecteerde verdachte acties die zijn gerelateerd aan de identiteiten van uw organisatie
- Verdachte incidenten onderzoeken en passende acties ondernemen om deze op te lossen
Incidentmeldingen ontvangen van Microsoft
Zorg ervoor dat uw beveiligingsteam meldingen ontvangt van Azure-incidenten van Microsoft. Met een incidentmelding weet uw beveiligingsteam dat u azure-resources hebt aangetast, zodat ze snel kunnen reageren en potentiële beveiligingsrisico's kunnen oplossen.
In de Azure-inschrijvingsportal kunt u ervoor zorgen dat contactgegevens van de beheerder details bevatten die beveiligingsbewerkingen melden. Contactgegevens zijn een e-mailadres en telefoonnummer.
Azure-abonnementen organiseren in beheergroepen
Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U ordent abonnementen in containers die beheergroepen worden genoemd en u en past uw governancevoorwaarden toe op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast.
U kunt een flexibele structuur van beheergroepen en abonnementen bouwen in een directory. Elke map krijgt één beheergroep op het hoogste niveau, de hoofdbeheergroep. Deze hoofdbeheergroep is zo in de hiërarchie ingebouwd dat alle beheergroepen en abonnementen hierin zijn opgevouwen. Met de hoofdbeheergroep kunnen globale beleidsregels en Azure-roltoewijzingen worden toegepast op directoryniveau.
Hier volgen enkele aanbevolen procedures voor het gebruik van beheergroepen:
Best practice: Zorg ervoor dat nieuwe abonnementen governance-elementen toepassen, zoals beleidsregels en machtigingen wanneer ze worden toegevoegd.
Detail: Gebruik de hoofdbeheergroep om beveiligingselementen voor de hele onderneming toe te wijzen die van toepassing zijn op alle Azure-assets. Beleidsregels en machtigingen zijn voorbeelden van elementen.
Best practice: lijn de hoogste niveaus van beheergroepen uit met segmentatiestrategie om binnen elk segment een punt voor controle en beleidsconsistentie te bieden.
Detail: Maak één beheergroep voor elk segment onder de hoofdbeheergroep. Maak geen andere beheergroepen onder de hoofdmap.
Best practice: Beperk de diepte van beheergroepen om verwarring te voorkomen die zowel bewerkingen als beveiliging belemmert.
Details: Beperk uw hiërarchie tot drie niveaus, inclusief de hoofdmap.
Best practice: Selecteer zorgvuldig welke items u wilt toepassen op de hele onderneming met de hoofdbeheergroep.
Detail: Zorg ervoor dat elementen van de hoofdbeheergroep duidelijk moeten worden toegepast op elke resource en dat deze weinig impact hebben.
Goede kandidaten zijn:
- Wettelijke vereisten die een duidelijke bedrijfsimpact hebben (bijvoorbeeld beperkingen met betrekking tot gegevenssoevereine)
- Vereisten met bijna nul potentieel negatief effect op bewerkingen, zoals beleid met controle-effect of Azure RBAC-machtigingstoewijzingen die zorgvuldig zijn beoordeeld
Best practice: plan en test alle zakelijke wijzigingen in de hoofdbeheergroep zorgvuldig voordat u ze toepast (beleid, Azure RBAC-model, enzovoort).
Detail: Wijzigingen in de hoofdbeheergroep kunnen van invloed zijn op elke resource in Azure. Hoewel ze een krachtige manier bieden om consistentie in de hele onderneming te garanderen, kunnen fouten of onjuist gebruik negatieve gevolgen hebben voor productiebewerkingen. Test alle wijzigingen in de hoofdbeheergroep in een testlab of productiefase.
Het maken van een omgeving stroomlijnen met blauwdrukken
Met de Azure Blueprints-service kunnen cloudarchitecten en centrale informatietechnologiegroepen een herhaalbare set Azure-resources definiëren die voldoet aan de standaarden, patronen en vereisten van een organisatie. Met Azure Blueprints kunnen ontwikkelteams snel nieuwe omgevingen bouwen en opstaan met een set ingebouwde onderdelen en het vertrouwen dat ze deze omgevingen maken binnen de naleving van de organisatie.
Opslagservices controleren op onverwachte wijzigingen in gedrag
Het diagnosticeren en oplossen van problemen in een gedistribueerde toepassing die wordt gehost in een cloudomgeving kan complexer zijn dan in traditionele omgevingen. Toepassingen kunnen worden geïmplementeerd in een PaaS- of IaaS-infrastructuur, on-premises, op een mobiel apparaat of in een combinatie van deze omgevingen. Het netwerkverkeer van uw toepassing kan openbare en persoonlijke netwerken passeren en uw toepassing kan meerdere opslagtechnologieën gebruiken.
U moet continu de opslagservices bewaken die door uw toepassing worden gebruikt voor onverwachte wijzigingen in gedrag (zoals tragere reactietijden). Gebruik logboekregistratie om gedetailleerdere gegevens te verzamelen en een probleem grondig te analyseren. De diagnostische gegevens die u ophaalt bij zowel bewaking als logboekregistratie, helpen u bij het bepalen van de hoofdoorzaak van het probleem dat uw toepassing heeft aangetroffen. Vervolgens kunt u het probleem oplossen en de juiste stappen bepalen om het probleem op te lossen.
Azure Opslaganalyse voert logboekregistratie uit en biedt metrische gegevens voor een Azure-opslagaccount. U wordt aangeraden deze gegevens te gebruiken om aanvragen te traceren, gebruikstrends te analyseren en problemen met uw opslagaccount vast te stellen.
Bedreigingen voorkomen, detecteren en erop reageren
Microsoft Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren door meer inzicht te bieden in de beveiliging van uw Azure-resources (en controle). Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met verschillende beveiligingsoplossingen.
De gratis laag van Defender voor Cloud biedt beperkte beveiliging voor uw resources in Azure, evenals resources met Arc buiten Azure. De beveiligingsfuncties van Enahanced breiden deze mogelijkheden uit tot het beheer van bedreigingen en beveiligingsproblemen, evenals rapportage over naleving van regelgeving. Defender voor Cloud Plannen helpen u beveiligingsproblemen te vinden en op te lossen, toegangs- en toepassingsbesturingselementen toe te passen om schadelijke activiteiten te blokkeren, bedreigingen te detecteren met behulp van analyses en intelligentie en snel te reageren wanneer ze worden aangevallen. U kunt Defender voor Cloud Standard de eerste 30 dagen gratis proberen. U wordt aangeraden verbeterde beveiligingsfuncties in te schakelen voor uw Azure-abonnementen in Defender voor Cloud.
Gebruik Defender voor Cloud om een centraal overzicht te krijgen van de beveiligingsstatus van al uw resources in uw eigen datacenters, Azure en andere clouds. Controleer in één oogopslag of de juiste beveiligingscontroles zijn ingesteld en correct zijn geconfigureerd en identificeer snel alle resources die aandacht nodig hebben.
Defender voor Cloud integreert ook met Microsoft Defender voor Eindpunt, dat uitgebreide mogelijkheden voor eindpuntdetectie en -respons (EDR) biedt. Met Microsoft Defender voor Eindpunt integratie kunt u afwijkingen herkennen en beveiligingsproblemen detecteren. U kunt ook geavanceerde aanvallen detecteren en erop reageren op servereindpunten die worden bewaakt door Defender voor Cloud.
Bijna alle ondernemingen hebben een SIEM-systeem (Security Information and Event Management) om opkomende bedreigingen te identificeren door logboekinformatie van diverse apparaten voor het verzamelen van signaleringen samen te brengen. De logboeken worden vervolgens geanalyseerd door een systeem voor gegevensanalyse om te bepalen wat 'interessant' is van de ruis die onvermijdelijk is in alle oplossingen voor het verzamelen en analyseren van logboeken.
Microsoft Sentinel is een schaalbare, cloudeigen, SIEM-oplossing (Security Information and Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie via detectie van waarschuwingen, zichtbaarheid van bedreigingen, proactieve opsporing en geautomatiseerde reactie op bedreigingen.
Hier volgen enkele aanbevolen procedures voor het voorkomen, detecteren en reageren op bedreigingen:
Best practice: Verhoog de snelheid en schaalbaarheid van uw SIEM-oplossing met behulp van een SIEM in de cloud.
Details: Onderzoek de functies en mogelijkheden van Microsoft Sentinel en vergelijk deze met de mogelijkheden van wat u momenteel on-premises gebruikt. Overweeg microsoft Sentinel te gebruiken als deze voldoet aan de SIEM-vereisten van uw organisatie.
Best practice: zoek de ernstigste beveiligingsproblemen, zodat u prioriteit kunt geven aan onderzoek.
Details: Bekijk uw Azure-beveiligingsscore om de aanbevelingen te bekijken die voortvloeien uit het Azure-beleid en de initiatieven die zijn ingebouwd in Microsoft Defender voor Cloud. Deze aanbevelingen helpen de belangrijkste risico's aan te pakken, zoals beveiligingsupdates, eindpuntbeveiliging, versleuteling, beveiligingsconfiguraties, ontbrekende WAF, met internet verbonden VM's en nog veel meer.
Met de beveiligingsscore, die is gebaseerd op cis-besturingselementen (Center for Internet Security), kunt u de Azure-beveiliging van uw organisatie benchmarken op basis van externe bronnen. Met externe validatie kunt u de beveiligingsstrategie van uw team valideren en verrijken.
Best practice: Bewaak de beveiligingspostuur van machines, netwerken, opslag- en gegevensservices en toepassingen om potentiële beveiligingsproblemen te detecteren en te prioriteren.
Details: Volg de beveiligingsaanaanveling in Defender voor Cloud te beginnen met de items met de hoogste prioriteit.
Best practice: integreer Defender voor Cloud waarschuwingen in uw SIEM-oplossing (Security Information and Event Management).
Detail: De meeste organisaties met een SIEM gebruiken het als een centraal clearinghouse voor beveiligingswaarschuwingen waarvoor een analistreactie is vereist. Verwerkte gebeurtenissen die door Defender voor Cloud worden geproduceerd, worden gepubliceerd in het Azure-activiteitenlogboek, een van de logboeken die beschikbaar zijn via Azure Monitor. Azure Monitor biedt een geconsolideerde pijplijn voor het routeren van uw bewakingsgegevens naar een SIEM-hulpprogramma. Zie Stream-waarschuwingen voor een SIEM-, SOAR- of IT Service Management-oplossing voor instructies. Als u Microsoft Sentinel gebruikt, raadpleegt u Connect Microsoft Defender voor Cloud.
Best practice: Azure-logboeken integreren met uw SIEM.
Details: Azure Monitor gebruiken om gegevens te verzamelen en te exporteren. Deze procedure is essentieel voor het inschakelen van onderzoek naar beveiligingsincidenten en het bewaren van onlinelogboeken is beperkt. Als u Microsoft Sentinel gebruikt, raadpleegt u Verbinding maken met gegevensbronnen.
Best practice: versnel uw onderzoeks- en opsporingsprocessen en verminder fout-positieven door EDR-mogelijkheden (Endpoint Detection and Response) te integreren in uw aanvalsonderzoek.
Details: Schakel de Microsoft Defender voor Eindpunt-integratie in via uw Defender voor Cloud-beveiligingsbeleid. Overweeg om Microsoft Sentinel te gebruiken voor het opsporen van bedreigingen en het reageren op incidenten.
Netwerkbewaking op basis van end-to-endscenario's bewaken
Klanten bouwen een end-to-end-netwerk in Azure door netwerkresources te combineren, zoals een virtueel netwerk, ExpressRoute, Application Gateway en load balancers. Bewaking is beschikbaar op elk van de netwerkbronnen.
Azure Network Watcher is een regionale service. Gebruik de diagnostische hulpprogramma's en visualisatieprogramma's om voorwaarden op netwerkscenarioniveau in, naar en van Azure te bewaken en te diagnosticeren.
Hieronder vindt u aanbevolen procedures voor netwerkbewaking en beschikbare hulpprogramma's.
Best practice: Automatiseer externe netwerkbewaking met pakketopname.
Detail: Netwerkproblemen bewaken en diagnosticeren zonder u aan te melden bij uw VM's met behulp van Network Watcher. Trigger packet capture door waarschuwingen in te stellen en toegang te krijgen tot realtime prestatiegegevens op pakketniveau. Wanneer er een probleem wordt vastgesteld, kunt u dat uitgebreid onderzoeken voor een gedetailleerde diagnose.
Best practice: krijg inzicht in uw netwerkverkeer met behulp van stroomlogboeken.
Detail: Bouw een dieper inzicht in uw netwerkverkeerspatronen met behulp van stroomlogboeken voor netwerkbeveiligingsgroepen. Informatie in stroomlogboeken helpt u bij het verzamelen van gegevens voor naleving, controle en bewaking van uw netwerkbeveiligingsprofiel.
Best practice: Problemen met VPN-connectiviteit vaststellen.
Details: Gebruik Network Watcher om uw meest voorkomende VPN Gateway- en verbindingsproblemen vast te stellen. U kunt niet alleen het probleem identificeren, maar ook gedetailleerde logboeken gebruiken om verder te onderzoeken.
Implementatie beveiligen met behulp van bewezen DevOps-hulpprogramma's
Gebruik de volgende best practices voor DevOps om ervoor te zorgen dat uw onderneming en teams productief en efficiënt zijn.
Best practice: De build en implementatie van services automatiseren.
Detail: Infrastructuur als code is een set technieken en procedures waarmee IT-professionals de last van dagelijkse bouw en het beheer van modulaire infrastructuur kunnen verwijderen. Hiermee kunnen IT-professionals hun moderne serveromgeving bouwen en onderhouden op een manier die vergelijkbaar is met hoe softwareontwikkelaars toepassingscode bouwen en onderhouden.
U kunt Azure Resource Manager gebruiken om uw toepassingen in te richten met behulp van een declaratieve sjabloon. U kunt in één enkele sjabloon meerdere services plus de bijbehorende afhankelijkheden implementeren. U gebruikt dezelfde sjabloon om uw toepassing herhaaldelijk te implementeren in elke fase van de levenscyclus van de toepassing.
Best practice: Automatisch bouwen en implementeren in Azure-web-apps of cloudservices.
Detail: U kunt uw Azure DevOps Projects configureren om automatisch te bouwen en te implementeren in Azure-web-apps of cloudservices. Azure DevOps implementeert automatisch de binaire bestanden na het uitvoeren van een build in Azure na elke codecontrole. Het pakketbuildproces is gelijk aan de opdracht Package in Visual Studio en de publicatiestappen zijn gelijk aan de opdracht Publiceren in Visual Studio.
Best practice: Releasebeheer automatiseren.
Detail: Azure Pipelines is een oplossing voor het automatiseren van implementatie met meerdere fasen en het beheren van het releaseproces. Maak pijplijnen voor beheerde continue implementatie om snel, eenvoudig en vaak vrij te geven. Met Azure Pipelines kunt u uw releaseproces automatiseren en vooraf gedefinieerde goedkeuringswerkstromen hebben. Implementeer on-premises en naar de cloud, breid deze uit en pas deze naar wens aan.
Best practice: Controleer de prestaties van uw app voordat u deze start of updates implementeert in productie.
Details: Voer belastingstests in de cloud uit om:
- Prestatieproblemen in uw app vinden.
- Verbeter de implementatiekwaliteit.
- Zorg ervoor dat uw app altijd beschikbaar is.
- Zorg ervoor dat uw app verkeer kan verwerken voor uw volgende lancerings- of marketingcampagne.
Apache JMeter is een gratis, populair opensource-hulpprogramma met een sterke ondersteuning voor de community.
Best practice: prestaties van toepassingen bewaken.
Detail: Azure-toepassing Insights is een uitbreidbare APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Gebruik Application Insights om uw live webtoepassing te bewaken. Er worden automatisch prestatieafwijkingen gedetecteerd. Het bevat analysehulpprogramma's om u te helpen bij het diagnosticeren van problemen en om te begrijpen wat gebruikers daadwerkelijk met uw app doen. De service is bedoeld om u te helpen de prestaties en bruikbaarheid van uw apps continu te verbeteren.
Beperken en beschermen tegen DDoS
DDoS (Distributed Denial of Service) is een type aanval waarmee toepassingsbronnen worden uitgeput. Het doel is om de beschikbaarheid van de toepassing te beïnvloeden en de mogelijkheid om legitieme aanvragen te verwerken. Deze aanvallen worden steeds geavanceerder en groter in omvang en impact. Ze kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.
Voor het ontwerpen en bouwen van DDoS-tolerantie is planning en ontwerp vereist voor verschillende foutmodi. Hieronder volgen de aanbevolen procedures voor het bouwen van DDoS-tolerante services in Azure.
Best practice: Zorg ervoor dat beveiliging een prioriteit is gedurende de hele levenscyclus van een toepassing, van ontwerp en implementatie tot implementatie en bewerkingen. Toepassingen kunnen fouten hebben waardoor een relatief laag aantal aanvragen veel resources kan gebruiken, wat resulteert in een servicestoring.
Details: Als u een service wilt beveiligen die wordt uitgevoerd op Microsoft Azure, moet u een goed begrip hebben van uw toepassingsarchitectuur en zich richten op de vijf pijlers van softwarekwaliteit. U moet typische verkeersvolumes kennen, het connectiviteitsmodel tussen de toepassing en andere toepassingen en de service-eindpunten die beschikbaar zijn voor het openbare internet.
Het is belangrijk om ervoor te zorgen dat een toepassing flexibel genoeg is om een Denial of Service af te handelen die is gericht op de toepassing zelf. Beveiliging en privacy zijn ingebouwd in het Azure-platform, te beginnen met de SDL (Security Development Lifecycle). De SDL richt zich in elke ontwikkelingsfase op beveiliging en zorgt ervoor dat Azure voortdurend wordt bijgewerkt om deze nog veiliger te maken.
Best practice: Ontwerp uw toepassingen om horizontaal te schalen om te voldoen aan de vraag naar een versterkte belasting, met name in het geval van een DDoS-aanval. Als uw toepassing afhankelijk is van één exemplaar van een service, wordt er één storingspunt gemaakt. Door meerdere exemplaren in te richten, is uw systeem toleranter en schaalbaarder.
Detail: Selecteer voor Azure-app Service een App Service-plan dat meerdere exemplaren biedt.
Configureer voor Azure Cloud Services elk van uw rollen voor het gebruik van meerdere exemplaren.
Voor Virtuele Azure-machines moet u ervoor zorgen dat uw VM-architectuur meer dan één VM bevat en dat elke VM is opgenomen in een beschikbaarheidsset. U wordt aangeraden virtuele-machineschaalsets te gebruiken voor mogelijkheden voor automatisch schalen.
Best practice: Beveiligingsbeveiliging in lagen in een toepassing vermindert de kans op een geslaagde aanval. Implementeer veilige ontwerpen voor uw toepassingen met behulp van de ingebouwde mogelijkheden van het Azure-platform.
Detail: Het risico op aanvallen neemt toe met de grootte (oppervlakte) van de toepassing. U kunt het oppervlakgebied verminderen met behulp van een goedkeuringslijst om de beschikbare IP-adresruimte te sluiten en poorten te beluisteren die niet nodig zijn voor de load balancers (Azure Load Balancer en Azure-toepassing Gateway).
Netwerkbeveiligingsgroepen zijn een andere manier om de kwetsbaarheid voor aanvallen te verminderen. U kunt servicetags en toepassingsbeveiligingsgroepen gebruiken om de complexiteit voor het maken van beveiligingsregels te minimaliseren en netwerkbeveiliging te configureren als een natuurlijke uitbreiding van de structuur van een toepassing.
U moet Waar mogelijk Azure-services implementeren in een virtueel netwerk . Met deze procedure kunnen servicebronnen communiceren via privé-IP-adressen. Azure-serviceverkeer van een virtueel netwerk maakt standaard gebruik van openbare IP-adressen als bron-IP-adressen.
Met behulp van service-eindpunten schakelt u serviceverkeer om privéadressen van een virtueel netwerk te gebruiken als de bron-IP-adressen wanneer ze toegang hebben tot de Azure-service vanuit een virtueel netwerk.
De on-premises resources van klanten worden vaak samen met hun resources in Azure aangevallen. Als u een on-premises omgeving verbindt met Azure, minimaliseert u de blootstelling van on-premises resources aan het openbare internet.
Azure heeft twee DDoS-serviceaanbiedingen die bescherming bieden tegen netwerkaanvallen:
- Basisbeveiliging is standaard geïntegreerd in Azure zonder extra kosten. De schaal en capaciteit van het wereldwijd geïmplementeerde Azure-netwerk bieden bescherming tegen veelvoorkomende netwerklaagaanvallen door gebruik te maken van continue verkeersbewaking en risicobeperking in realtime. Basic vereist geen wijzigingen in de gebruikersconfiguratie of toepassing en beschermt alle Azure-services, waaronder PaaS-services zoals Azure DNS.
- Standaardbeveiliging biedt geavanceerde DDoS-risicobeperkingsmogelijkheden tegen netwerkaanvallen. Het wordt automatisch afgestemd om uw specifieke Azure-resources te beveiligen. Beveiliging is eenvoudig in te schakelen tijdens het maken van virtuele netwerken. Het kan ook worden gedaan na het maken en vereist geen wijzigingen in de toepassing of resource.
Azure Policy inschakelen
Azure Policy is een service in Azure die u gebruikt om beleid te maken, toe te wijzen en te beheren. Met dit beleid worden regels en effecten afgedwongen voor uw resources, zodat deze resources voldoen aan uw bedrijfsstandaarden en serviceovereenkomsten. Azure Policy voorziet in deze behoefte door uw resources met toegewezen beleid te controleren op niet-naleving.
Schakel Azure Policy in om het geschreven beleid van uw organisatie te bewaken en af te dwingen. Dit zorgt voor naleving van de beveiligingsvereisten van uw bedrijf of regelgeving door het beveiligingsbeleid centraal te beheren voor uw hybride cloudworkloads. Meer informatie over het maken en beheren van beleidsregels om naleving af te dwingen. Zie de definitiestructuur van Azure Policy voor een overzicht van de elementen van een beleid.
Hier volgen enkele aanbevolen beveiligingsprocedures nadat u Azure Policy hebt aangenomen:
Best practice: Beleid ondersteunt verschillende soorten effecten. U kunt hierover lezen in de definitiestructuur van Azure Policy. Bedrijfsactiviteiten kunnen negatief worden beïnvloed door het weigeringseffect en het hersteleffect , dus begin met het controle-effect om het risico van negatieve gevolgen van beleid te beperken.
Detail: Start beleidsimplementaties in de controlemodus en ga later verder om te weigeren of te herstellen. Test en controleer de resultaten van het controle-effect voordat u overstapt op weigeren of herstellen.
Zie Beleid maken en beheren om naleving af te dwingen voor meer informatie.
Best practice: Identificeer de rollen die verantwoordelijk zijn voor het controleren van beleidsschendingen en zorg ervoor dat de juiste herstelactie snel wordt uitgevoerd.
Detail: Zorg ervoor dat de toegewezen rolmonitor naleving via Azure Portal of via de opdrachtregel.
Best practice: Azure Policy is een technische weergave van het geschreven beleid van een organisatie. Wijs alle Azure Policy-definities toe aan organisatiebeleid om verwarring te verminderen en consistentie te vergroten.
Detail: Documenttoewijzing in de documentatie van uw organisatie of in de Azure Policy-definitie zelf door een verwijzing toe te voegen naar het organisatiebeleid in de beleidsdefinitie of de beschrijving van de initiatiefdefinitie .
Microsoft Entra-risicorapporten bewaken
De overgrote meerderheid van beveiligingsschendingen vindt plaats wanneer aanvallers toegang krijgen tot een omgeving door de identiteit van een gebruiker te stelen. Het detecteren van gecompromitteerde identiteiten is geen eenvoudige taak. Microsoft Entra ID maakt gebruik van adaptieve machine learning-algoritmen en heuristieken om verdachte acties te detecteren die zijn gerelateerd aan uw gebruikersaccounts. Elke gedetecteerde verdachte actie wordt opgeslagen in een record die een risicodetectie wordt genoemd. Risicodetecties worden vastgelegd in beveiligingsrapporten van Microsoft Entra. Lees voor meer informatie over het beveiligingsrapport voor gebruikers met risico's en het beveiligingsrapport riskante aanmeldingen.
Volgende stappen
Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.
De volgende resources zijn beschikbaar voor algemene informatie over Azure-beveiliging en gerelateerde Microsoft-services:
- Azure Security Team-blog : voor actuele informatie over de nieuwste versie van Azure Security
- Microsoft Security Response Center : waar Beveiligingsproblemen van Microsoft, inclusief problemen met Azure, kunnen worden gerapporteerd of via e-mail naar secure@microsoft.com