Inleiding tot referentiearchitectuur voor Microsoft-cyberbeveiliging en benchmark voor cloudbeveiliging
Deze module bevat aanbevolen procedures voor cyberbeveiligingsmogelijkheden en -controles, die essentieel zijn om het risico van aanvallers te verminderen.
Leerdoelen
In deze module leert u het volgende:
- Gebruik Microsoft Cybersecurity Reference Architecture (MCRA) om veiligere oplossingen te ontwerpen.
- Gebruik Microsoft Cloud Security Benchmark (MCSB) om veiligere oplossingen te ontwerpen.
De inhoud in de module helpt u bij het voorbereiden van het certificeringsexamen SC-100: Microsoft Cybersecurity Architect.
Vereisten
- Conceptuele kennis van beveiligingsbeleid, vereisten, architectuur zonder vertrouwen en beheer van hybride omgevingen
- Werkervaring met zero trust-strategieën, het toepassen van beveiligingsbeleid en het ontwikkelen van beveiligingsvereisten op basis van bedrijfsdoelen
Overzicht van MCRA
De Microsoft Cybersecurity Reference Architectures (MCRA) zijn een set technische diagrammen waarin de mogelijkheden voor cyberbeveiliging van Microsoft worden beschreven. In de diagrammen wordt beschreven hoe de beveiligingsmogelijkheden van Microsoft kunnen worden geïntegreerd met het volgende:
- Microsoft-platforms zoals Microsoft 365 en Microsoft Azure
- Apps van derden, zoals ServiceNow en Salesforce
- Platformen van derden, zoals Amazon Web Services (AWS) en Google Cloud Platform (GCP)
De MCRA bevat diagrammen over de volgende onderwerpen:
- Mogelijkheden voor cyberbeveiliging van Microsoft
- Zero Trust en een Zero Trust-plan voor snelle modernisering (RaMP)
- Zero Trust-gebruikerstoegang
- Beveiligingsbewerkingen
- Operationele technologie (OT)
- Multicloud- en platformoverschrijdende mogelijkheden
- Dekking van aanvalsketen
- Systeemeigen beveiligingsmaatregelen van Azure
- Functies van beveiligingsorganisatorische organisaties
Overzicht van MCSB
Nieuwe services en functies worden dagelijks uitgebracht in Azure en andere cloudplatforms. Ontwikkelaars publiceren snel nieuwe cloudtoepassingen die op deze services zijn gebouwd en aanvallers zoeken voortdurend naar nieuwe manieren om onjuist geconfigureerde resources te exploiteren. De cloud wordt snel verplaatst, ontwikkelaars gaan snel en aanvallers gaan ook snel. Hoe blijft u bij en zorgt u ervoor dat uw cloudimplementaties veilig zijn? Hoe verschillen beveiligingsprocedures voor cloudsystemen van on-premises systemen en verschillen tussen cloudserviceproviders? Hoe bewaakt u uw workload voor consistentie op meerdere cloudplatforms?
Microsoft heeft vastgesteld dat het gebruik van beveiligingsbenchmarks u kan helpen bij het snel beveiligen van cloudimplementaties. Een uitgebreid framework voor aanbevolen beveiligingsprocedures van cloudserviceproviders kan u een startpunt bieden voor het selecteren van specifieke beveiligingsconfiguratie-instellingen in uw cloudomgeving, voor meerdere serviceproviders en u kunt deze configuraties bewaken met één deelvenster glas.
Besturingselementen voor beveiliging
Een besturingselement is een beschrijving op hoog niveau van een aanbevolen functie of activiteit die moet worden aangepakt. Besturingselementen zijn niet specifiek voor een technologie of implementatie. Aanbevelingen voor beveiligingsbeheer zijn van toepassing op meerdere cloudworkloads. Elk besturingselement wordt genummerd en de aanbevelingen van het besturingselement identificeren een lijst met belanghebbenden die doorgaans betrokken zijn bij het plannen, goedkeuren of implementeren van de benchmark.
MCSB-beheerdomeinen/controlefamilies
In de MCSB-besturingselementen worden gegroepeerd in 'families' of 'domeinen'. De volgende tabel bevat een overzicht van de beveiligingsbeheerdomeinen in MCSB:
| Beheerdomeinen | Beschrijving |
|---|---|
| Netwerkbeveiliging (NS) | Netwerkbeveiliging omvat besturingselementen voor het beveiligen en beveiligen van netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS. |
| Identiteitsbeheer (IM) | Identiteitsbeheer omvat besturingselementen voor het tot stand brengen van een veilige identiteit en toegangsbeheer met behulp van identiteits- en toegangsbeheersystemen, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen. |
| Bevoegde toegang (PA) | Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw tenant en resources, waaronder een reeks besturingselementen voor het beveiligen van uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations tegen opzettelijk en onbedoeld risico. |
| Gegevensbescherming (DP) | Gegevensbescherming omvat het beheer van data protection-at-rest, in transit en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutelbeheer en certificaatbeheer. |
| Asset Management (AM) | Asset Management heeft betrekking op besturingselementen om de zichtbaarheid en governance van de beveiliging van uw resources te waarborgen. Dit omvat aanbevelingen voor machtigingen voor beveiligingspersoneel, beveiligingstoegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en corrigeren). |
| Logboekregistratie en detectie van bedreigingen (LT) | Logboekregistratie en detectie van bedreigingen omvat controles voor het detecteren van bedreigingen in de cloud en het inschakelen, verzamelen en opslaan van auditlogboeken voor cloudservices, waaronder het inschakelen van detectie-, onderzoeks- en herstelprocessen met controles voor het genereren van waarschuwingen van hoge kwaliteit met systeemeigen detectie van bedreigingen in cloudservices; het omvat ook het verzamelen van logboeken met een cloudbewakingsservice, het centraliseren van beveiligingsanalyse met een SIEM, tijdsynchronisatie en logboekretentie. |
| Reactie op incidenten (IR) | Incidentrespons omvat controles in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en incidentactiviteiten, waaronder het gebruik van Azure-services (zoals Microsoft Defender voor Cloud en Sentinel) en/of andere cloudservices om het incidentresponsproces te automatiseren. |
| Postuur- en beveiligingsproblemenbeheer (HW) | Postuur- en beveiligingsproblemenbeheer richt zich op controles voor het beoordelen en verbeteren van de houding van cloudbeveiliging, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden van beveiligingsconfiguraties, rapportage en correctie in cloudresources. |
| Eindpuntbeveiliging (ES) | Endpoint Security omvat besturingselementen in eindpuntdetectie en -respons, waaronder het gebruik van eindpuntdetectie en -respons (EDR) en antimalwareservice voor eindpunten in cloudomgevingen. |
| Back-up en herstel (BR) | Back-up- en herstelopties om ervoor te zorgen dat gegevens- en configuratieback-ups op de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd. |
| DevOps Security (DS) | DevOps Security omvat de controles met betrekking tot de beveiligingstechniek en -bewerkingen in de DevOps-processen, waaronder de implementatie van kritieke beveiligingscontroles (zoals statische toepassingsbeveiligingstests, beveiligingsbeheer) voorafgaand aan de implementatiefase om de beveiliging tijdens het DevOps-proces te garanderen; het bevat ook algemene onderwerpen zoals threat modeling en beveiliging van softwarelevering. |
| Governance en strategie (GS) | Governance en strategie bieden richtlijnen voor het garanderen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiliging te begeleiden en te ondersteunen, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden. |
Servicebasislijnen
Beveiligingsbasislijnen zijn gestandaardiseerde documenten voor Azure-productaanbiedingen, waarin de beschikbare beveiligingsmogelijkheden en de optimale beveiligingsconfiguraties worden beschreven, zodat u de beveiliging kunt verbeteren door verbeterde hulpprogramma's, tracering en beveiligingsfuncties. Er zijn momenteel alleen servicebasislijnen beschikbaar voor Azure.
Beveiligingsbasislijnen voor Azure richten zich op cloudgerichte controlegebieden in Azure-omgevingen. Deze controles zijn consistent met bekende industriestandaarden zoals: Center for Internet Security (CIS) of National Institute for Standards in Technology (NIST). Onze basislijnen bieden richtlijnen voor de besturingsgebieden die worden vermeld in de Microsoft Cloud Security Benchmark v1.
Elke basislijn bestaat uit de volgende onderdelen:
- Hoe gedraagt een service zich?
- Welke beveiligingsfuncties zijn beschikbaar?
- Welke configuraties worden aanbevolen om de service te beveiligen?
Microsoft Cloud Security Benchmark implementeren
- Plan uw MCSB-implementatie door de documentatie voor de bedrijfscontroles en servicespecifieke basislijnen te raadplegen om uw controleframework te plannen en hoe deze wordt toegewezen aan richtlijnen zoals Controles voor Internet Security (CIS), National Institute of Standards and Technology (NIST) en het PCI-DSS-framework (Payment Card Industry Data Security Standard).
- Bewaak uw naleving met MCSB-status (en andere controlesets) met behulp van het Microsoft Defender voor Cloud - Dashboard Naleving van regelgeving voor uw omgeving met meerdere clouds.
- Stel kaders in om beveiligde configuraties te automatiseren en naleving van MCSB (en andere vereisten in uw organisatie) af te dwingen met behulp van functies zoals Azure Blueprints, Azure Policy of de equivalente technologieën van andere cloudplatforms.
Veelvoorkomende toepassingen
Microsoft Cloud Security Benchmark kan vaak worden gebruikt om veelvoorkomende uitdagingen aan te pakken voor klanten of servicepartners die:
- Nieuw bij Azure (en andere belangrijke cloudplatforms, zoals AWS) en op zoek naar aanbevolen beveiligingsprocedures om een veilige implementatie van cloudservices en uw eigen toepassingsworkload te garanderen.
- Op zoek naar een betere beveiligingsstatus van bestaande cloudimplementaties om prioriteit te geven aan de belangrijkste risico's en oplossingen.
- Het gebruik van omgevingen met meerdere clouds (zoals Azure en AWS) en uitdagingen bij het afstemmen van de bewaking en evaluatie van beveiligingsbeheer met één deelvenster glas.
- Evaluatie van de beveiligingsfuncties/mogelijkheden van Azure (en andere belangrijke cloudplatforms, zoals AWS) voordat u een of meer services in de cloudservicecatalogus onboardt/goedkeurt.
- Moeten voldoen aan nalevingsvereisten in sterk gereglementeerde branches, zoals overheid, financiën en gezondheidszorg. Deze klanten moeten ervoor zorgen dat hun serviceconfiguraties van Azure en andere clouds voldoen aan de beveiligingsspecificatie die is gedefinieerd in framework, zoals CIS, NIST of PCI. MCSB biedt een efficiënte benadering met de controles die al zijn voorafgegaan aan deze industriebenchmarks.
Terminologie
De termen 'controle' en 'basislijn' worden vaak gebruikt in de microsoft-documentatie voor cloudbeveiligingsbenchmarks. Het is belangrijk om te begrijpen hoe MCSB deze voorwaarden gebruikt.
| Termijn | Omschrijving | Voorbeeld |
|---|---|---|
| Control | Een besturingselement is een beschrijving op hoog niveau van een functie of activiteit die moet worden aangepakt en die niet specifiek is voor een technologie of implementatie. | Gegevensbescherming is een van de beveiligingscontrolefamilies. Gegevensbescherming bevat specifieke acties die moeten worden aangepakt om ervoor te zorgen dat gegevens worden beveiligd. |
| Basislijn | Een basislijn is de implementatie van de controle op de afzonderlijke Azure-services. Elke organisatie bepaalt een benchmarkaanbeveling en bijbehorende configuraties zijn nodig in Azure. Opmerking: momenteel zijn er alleen servicebasislijnen beschikbaar voor Azure. | Het Contoso-bedrijf zoekt ernaar om Azure SQL-beveiligingsfuncties in te schakelen door de configuratie te volgen die wordt aanbevolen in de Azure SQL-beveiligingsbasislijn. |