Controlelijst voor operationele beveiliging van Azure

Het implementeren van een cloudtoepassing in Azure is snel, eenvoudig en rendabel. Voordat u een toepassing implementeert, is het handig om een controlelijst te hebben. Een controlelijst kan u helpen bij het evalueren van uw toepassing op basis van een lijst met essentiële en aanbevolen beveiligingsacties.

Inleiding

Azure biedt een reeks infrastructuurservices die u kunt gebruiken om uw toepassingen te implementeren. Azure Operational Security verwijst naar de services, besturingselementen en functies die beschikbaar zijn voor gebruikers voor het beveiligen van hun gegevens, toepassingen en andere assets in Microsoft Azure.

Om het maximale voordeel uit het cloudplatform te halen, raden we u aan Azure-services te gebruiken en de controlelijst te volgen. Organisaties die tijd en middelen investeren in het beoordelen van de operationele gereedheid van hun toepassingen voordat ze worden gestart, hebben een hoger tevredenheidspercentage dan organisaties die dat niet doen. Bij het uitvoeren van dit werk kunnen controlelijsten een waardevol mechanisme zijn om ervoor te zorgen dat toepassingen consistent en holistisch worden geëvalueerd.

Checklijst

Deze controlelijst is bedoeld om ondernemingen te helpen bij het bedenken van verschillende operationele beveiligingsoverwegingen bij het implementeren van geavanceerde bedrijfstoepassingen in Azure. Het kan ook worden gebruikt om u te helpen bij het bouwen van een veilige strategie voor cloudmigratie en -bewerking voor uw organisatie.

Controlelijstcategorie	Beschrijving
Beveiligingsrollen en toegangsbeheer	Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om gebruikersspecifieke machtigingen toe te wijzen aan gebruikers, groepen en toepassingen binnen een bepaald bereik.
Gegevensbescherming en -opslag	Gebruik Management Plane Security om uw opslagaccount te beveiligen met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Beveiliging van gegevensvlak voor het beveiligen van de toegang tot uw gegevens met shared access Signatures (SAS) en opgeslagen toegangsbeleid. Gebruik Versleuteling op transportniveau: https en de versleuteling die wordt gebruikt door SMB (server message block protocols) 3.0 voor Azure-bestandsshares. Gebruik versleuteling aan de clientzijde om gegevens die u naar opslagaccounts verzendt te beveiligen wanneer u alleen controle over versleutelingssleutels nodig hebt. Gebruik Storage Service Encryption (SSE) om gegevens automatisch te versleutelen in Azure Storage en Azure Disk Encryption voor Linux-VM's en Azure Disk Encryption voor Windows-VM's om schijfbestanden van virtuele machines voor het besturingssysteem en gegevensschijven te versleutelen. Gebruik Azure Opslaganalyse om het autorisatietype te bewaken. Net als bij Blob Storage kunt u zien of gebruikers een Shared Access Signature of de sleutels van het opslagaccount hebben gebruikt. Gebruik CORS (Cross-Origin Resource Sharing) voor toegang tot opslagresources uit verschillende domeinen.
Beveiligingsbeleid en aanbevelingen	Gebruik Microsoft Defender voor Cloud om eindpuntoplossingen te implementeren. Voeg een WAF (Web Application Firewall) toe om webtoepassingen te beveiligen. Gebruik Azure Firewall om uw beveiligingsbeveiliging te verbeteren. Pas contactgegevens voor beveiliging toe voor uw Azure-abonnement. Het Microsoft Security Response Center (MSRC) neemt contact met u op als wordt vastgesteld dat uw klantgegevens zijn geopend door een onrechtmatige of niet-geautoriseerde partij.
Identiteits- en toegangsbeheer	Synchroniseer uw on-premises adreslijst met uw cloudmap met behulp van Microsoft Entra-id. Gebruik eenmalige aanmelding om gebruikers toegang te geven tot hun SaaS-toepassingen op basis van hun organisatieaccount in Azure AD. Gebruik het rapport Registratieactiviteit voor het opnieuw instellen van wachtwoorden om de gebruikers te controleren die zich registreren. Meervoudige verificatie (MFA) inschakelen voor gebruikers. Ontwikkelaars kunnen veilige identiteitsmogelijkheden gebruiken voor apps zoals Microsoft Security Development Lifecycle (SDL). Houd actief toezicht op verdachte activiteiten met behulp van Microsoft Entra ID P1- of P2-anomalierapporten en microsoft Entra ID Protection-mogelijkheid.
Doorlopende beveiligingsbewaking	Gebruik logboeken van de Oplossing malware-evaluatie in Azure Monitor om te rapporteren over de status van antimalwarebeveiliging in uw infrastructuur. Gebruik Updatebeheer om de algehele blootstelling aan potentiële beveiligingsproblemen te bepalen en of of deze updates essentieel zijn voor uw omgeving. Het Microsoft Entra-beheercentrum biedt inzicht in de integriteit en beveiliging van de adreslijst van uw organisatie.
detectiemogelijkheden voor Microsoft Defender voor Cloud	Gebruik CsPM (Cloud Security Posture Management) voor beveiligingsrichtlijnen waarmee u uw beveiliging efficiënt en effectief kunt verbeteren. Gebruik waarschuwingen om te worden gewaarschuwd wanneer bedreigingen worden geïdentificeerd in uw cloud-, hybride of on-premises omgeving. Gebruik beveiligingsbeleid, initiatieven en aanbevelingen om uw beveiligingspostuur te verbeteren.

Conclusie

Veel organisaties hebben hun cloudtoepassingen geïmplementeerd en uitgevoerd in Azure. De controlelijsten hebben verschillende controlelijsten gemarkeerd die essentieel zijn en helpen u om de kans op succesvolle implementaties en frustratievrije bewerkingen te vergroten. We raden deze operationele en strategische overwegingen ten zeerste aan voor uw bestaande en nieuwe toepassingsimplementaties in Azure.

Volgende stappen

Raadpleeg de volgende artikelen voor meer informatie over beveiliging in Azure:

• Gedeelde verantwoordelijkheid in de cloud.
• End-to-endbeveiliging in Azure.
• Ransomwarebeveiliging in Azure