Share via


Beveiligingsbeheer: postuur en beheer van beveiligingsproblemen

Houdings- en beveiligingsbeheer richt zich op controles voor het beoordelen en verbeteren van de cloudbeveiligingspostuur, waaronder het scannen van beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden, rapporteren en corrigeren van beveiligingsconfiguraties in cloudresources.

PV-1: Veilige configuraties definiëren en instellen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Beveiligingsprincipe: definieer de beveiligingsconfiguratiebasislijnen voor verschillende resourcetypen in de cloud. U kunt ook hulpprogramma's voor configuratiebeheer gebruiken om de configuratiebasislijn automatisch vóór of tijdens de resource-implementatie tot stand te brengen, zodat de omgeving na de implementatie standaard compatibel kan zijn.


Azure-richtlijnen: gebruik de Microsoft Cloud Security Benchmark en servicebasislijn om uw configuratiebasislijn te definiëren voor elke respectieve Azure-aanbieding of -service. Raadpleeg de Azure-referentiearchitectuur en Cloud Adoption Framework architectuur voor landingszones om inzicht te krijgen in de kritieke beveiligingscontroles en configuraties die mogelijk nodig zijn voor Azure-resources.

Gebruik azure-landingszone (en Blueprints) om de implementatie van de workload te versnellen door configuratie van services en toepassingsomgevingen in te stellen, waaronder Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en Azure Policy.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik de Microsoft Cloud Security Benchmark - richtlijnen voor meerdere clouds voor AWS en andere invoer om uw configuratiebasislijn te definiëren voor elke respectieve AWS-aanbieding of -service. Raadpleeg de beveiligingspijler en andere pijlers in het AWS Well-Architectured Framework om inzicht te krijgen in de kritieke beveiligingscontroles en configuraties die mogelijk nodig zijn voor AWS-resources.

Gebruik AWS CloudFormation-sjablonen en AWS-configuratieregels in de definitie van de AWS-landingszone om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: gebruik de Microsoft Cloud Security Benchmark – richtlijnen voor meerdere clouds voor GCP en andere invoer om uw configuratiebasislijn te definiëren voor elke respectieve GCP-aanbieding of -service. Raadpleeg pijlers in basisblauwdrukken voor Google Cloud-implementaties en het ontwerp van landingszones.

Gebruik Terraform-blauwdrukmodules voor Google Cloud en gebruik systeemeigen Google Cloud Deployment Manager om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

PV-2: Beveiligde configuraties controleren en afdwingen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Beveiligingsprincipe: continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie te implementeren.


Azure-richtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources.

Gebruik Azure Policy regels [weigeren] en [implementeren als deze niet bestaat] om beveiligde configuratie af te dwingen in Azure-resources.

Voor controle en afdwinging van resourceconfiguraties die niet worden ondersteund door Azure Policy, moet u mogelijk aangepaste scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik AWS-configuratieregels om configuraties van uw AWS-resources te controleren. En u kunt ervoor kiezen om de configuratiedrift op te lossen met behulp van AWS Systems Manager Automation die is gekoppeld aan de AWS-configuratieregel. Gebruik Amazon CloudWatch om waarschuwingen te maken wanneer er een configuratiedeviatie wordt gedetecteerd voor de resources.

Voor controle en afdwinging van resourceconfiguraties die niet worden ondersteund door AWS Config, moet u mogelijk aangepaste scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.

U kunt uw configuratiedrift ook centraal bewaken door uw AWS-account te onboarden voor Microsoft Defender for Cloud.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik Google Cloud Security Command Center om GCP te configureren. Gebruik Google Cloud Monitoring in Operations Suite om waarschuwingen te maken wanneer er configuratiedeviatie wordt gedetecteerd op de resources.

Voor het beheren van uw organisaties gebruikt u Organisatiebeleid om de cloudresources van uw organisatie te centraliseren en programmatisch te beheren. Als beheerder van het organisatiebeleid kunt u beperkingen configureren in de hele resourcehiërarchie.

Voor controle en afdwinging van resourceconfiguraties die niet worden ondersteund door organisatiebeleid, moet u mogelijk aangepaste scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

PV-3: veilige configuraties voor rekenresources definiëren en instellen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1 CM-2, CM-6 2.2

Beveiligingsprincipe: definieer de beveiligde configuratiebasislijnen voor uw rekenresources, zoals VM's en containers. Gebruik hulpprogramma's voor configuratiebeheer om de configuratiebasislijn automatisch vóór of tijdens de implementatie van de rekenresource tot stand te brengen, zodat de omgeving na de implementatie standaard compatibel kan zijn. U kunt ook een vooraf geconfigureerde installatiekopieën gebruiken om de gewenste configuratiebasislijn in te bouwen in de sjabloon voor de rekenresource-installatiekopieën.


Azure-richtlijnen: Gebruik door Azure aanbevolen beveiligingsbasislijnen voor besturingssystemen (voor zowel Windows als Linux) als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.

Daarnaast kunt u een aangepaste VM-installatiekopieën (met behulp van Azure Image Builder) of containerinstallatiekopieën gebruiken met Azure Automanage Machine Configuration (voorheen Azure Policy gastconfiguratie genoemd) en Azure Automation State Configuration om de gewenste beveiligingsconfiguratie tot stand te brengen.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik EC2 AWS Machine Images (AMI) van vertrouwde bronnen op Marketplace als benchmark om uw EC2-configuratiebasislijn te definiëren.

Daarnaast kunt u EC2 Image Builder gebruiken om een aangepaste AMI-sjabloon te bouwen met een Systems Manager-agent om de gewenste beveiligingsconfiguratie tot stand te brengen. Opmerking: de AWS Systems Manager-agent is vooraf geïnstalleerd op sommige Amazon Machine Images (AMIs) die door AWS worden geleverd.

Voor workloadtoepassingen die worden uitgevoerd binnen uw EC2-exemplaren, AWS Lambda- of containersomgeving, kunt u AWS System Manager AppConfig gebruiken om de gewenste configuratiebasislijn vast te stellen.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: gebruik door Google Cloud aanbevolen beveiligingsbasislijnen voor besturingssystemen (voor zowel Windows als Linux) als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.

Daarnaast kunt u een aangepaste VM-installatiekopieën gebruiken met Packer Image Builder of een containerinstallatiekopieën met een Google Cloud Build-containerinstallatiekopieën om de gewenste configuratiebasislijn vast te stellen.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

PV-4: Beveiligde configuraties voor rekenresources controleren en afdwingen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1 CM-2, CM-6 2.2

Beveiligingsprincipe: controleer en waarschuw continu wanneer er een afwijking is van de gedefinieerde configuratiebasislijn in uw rekenresources. Dwing de gewenste configuratie af op basis van de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie in rekenresources te implementeren.


Azure-richtlijnen: gebruik Microsoft Defender voor cloud- en Azure Automanage-machineconfiguratie (voorheen Azure Policy gastconfiguratie genoemd) om configuratiedeviaties van uw Azure-rekenresources, waaronder VM's, containers en andere, regelmatig te evalueren en te herstellen. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten. Gebruik Wijzigingen bijhouden en inventaris in Azure Automation om wijzigingen bij te houden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen, zodat u operationele en milieuproblemen kunt vaststellen met software die wordt beheerd door Distribution Package Manager. Installeer de Guest Attestation-agent op virtuele machines om de opstartintegriteit op vertrouwelijke virtuele machines te controleren.

Opmerking: Azure Marketplace VM-installatiekopieën die door Microsoft zijn gepubliceerd, worden beheerd en onderhouden door Microsoft.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik de functie State Manager van AWS System Manager om regelmatig configuratieafwijkingen op uw EC2-exemplaren te beoordelen en te herstellen. Daarnaast kunt u CloudFormation-sjablonen en aangepaste installatiekopieën van besturingssystemen gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. AMI-sjablonen in combinatie met Systems Manager kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.

U kunt ook de afwijking van de configuratie van het besturingssysteem centraal bewaken en beheren via Azure Automation State Configuration en de toepasselijke resources onboarden naar Azure-beveiligingsgovernance met behulp van de volgende methoden:

  • Onboarding van uw AWS-account in Microsoft Defender for Cloud
  • Azure Arc voor servers gebruiken om uw EC2-exemplaren te verbinden met Microsoft Defender for Cloud

Voor workloadtoepassingen die worden uitgevoerd binnen uw EC2-exemplaren, AWS Lambda- of containersomgeving, kunt u AWS System Manager AppConfig gebruiken om de gewenste configuratiebasislijn te controleren en af te dwingen.

Opmerking: URI's die zijn gepubliceerd door Amazon Web Services in AWS Marketplace, worden beheerd en onderhouden door Amazon Web Services.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: gebruik VM Manager en Google Cloud Security Command Center om regelmatig configuratieafwijkingen van uw compute engine-exemplaren, containers en serverloze contracten te beoordelen en te herstellen. Daarnaast kunt u Deployment Manager VM-sjablonen en aangepaste installatiekopieën van besturingssystemen gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Vm-sjablonen van Deployment Manager in combinatie met VM Manager kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.

U kunt ook de afwijking van de configuratie van het besturingssysteem centraal bewaken en beheren via Azure Automation State Configuration en de toepasselijke resources onboarden naar Azure-beveiligingsgovernance met behulp van de volgende methoden:

  • Uw GCP-project onboarden in Microsoft Defender for Cloud
  • Azure Arc voor servers gebruiken om uw GCP VM-exemplaren te verbinden met Microsoft Defender for Cloud

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

PV-5: Evaluaties van beveiligingsproblemen uitvoeren

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Beveiligingsprincipe: voer een evaluatie van beveiligingsproblemen uit voor uw cloudresources in alle lagen in een vast schema of op aanvraag. Volg en vergelijk de scanresultaten om te controleren of de beveiligingsproblemen zijn opgelost. De evaluatie moet alle soorten beveiligingsproblemen omvatten, zoals beveiligingsproblemen in Azure-services, het netwerk, het web, besturingssystemen, onjuiste configuraties, enzovoort.

Houd rekening met de mogelijke risico's die zijn verbonden aan de bevoegde toegang die wordt gebruikt door de scanners voor beveiligingsproblemen. Volg de aanbevolen procedure voor beveiliging van bevoegde toegang om alle beheerdersaccounts te beveiligen die voor het scannen worden gebruikt.


Azure-richtlijnen: volg de aanbevelingen van Microsoft Defender for Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers. Microsoft Defender for Cloud heeft een ingebouwde scanner voor beveiligingsproblemen voor virtuele machines. Een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld webtoepassingen)

Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn opgelost. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die door Microsoft Defender voor Cloud worden voorgesteld, kunt u naar de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.

Gebruik bij het uitvoeren van externe scans niet één permanent beheerdersaccount. Overweeg de JIT-inrichtingsmethodologie (Just-In-Time) voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor het scannen van beveiligingsproblemen.

Opmerking: Microsoft Defender services (waaronder Defender voor servers, containers, App Service, database en DNS) zijn bepaalde mogelijkheden voor evaluatie van beveiligingsproblemen ingesloten. De waarschuwingen die worden gegenereerd vanuit Azure Defender-services moeten worden bewaakt en gecontroleerd, samen met het resultaat van Microsoft Defender voor het scannen van beveiligingsproblemen in de cloud.

Opmerking: zorg ervoor dat u e-mailmeldingen instelt in Microsoft Defender voor Cloud.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: Gebruik Amazon Inspector om uw Amazon EC2-exemplaren en containerinstallatiekopieën in Amazon Elastic Container Registry (Amazon ECR) te scannen op softwareproblemen en onbedoelde netwerkblootstelling. Een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld webtoepassingen)

Raadpleeg control ES-1, 'Use Endpoint Detection and Response (EDR)' om uw AWS-account te onboarden in Microsoft Defender for Cloud en Microsoft Defender te implementeren voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) in uw EC2-exemplaren. Microsoft Defender voor servers biedt een systeemeigen Threat and Vulnerability Management mogelijkheid voor uw VM's. Het scanresultaat voor beveiligingsproblemen wordt geconsolideerd in het dashboard Microsoft Defender for Cloud.

Houd de status van de resultaten van beveiligingsproblemen bij om ervoor te zorgen dat ze correct worden hersteld of onderdrukt als ze als fout-positief worden beschouwd.

Gebruik bij het uitvoeren van externe scans niet één permanent beheerdersaccount. Overweeg het implementeren van een tijdelijke inrichtingsmethodologie voor het scanaccount. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor het scannen van beveiligingsproblemen.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: volg de aanbevelingen van Microsoft Defender voor Cloud of/en Google Cloud Security Command Center voor het uitvoeren van beveiligingsevaluaties op uw Compute Engine-exemplaren. Security Command Center bevat ingebouwde evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld Web Security Scanner)

Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn opgelost. Wanneer u aanbevelingen voor het beheer van beveiligingsproblemen gebruikt die worden voorgesteld door Security Command Center, kunt u naar de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

PV-6: Beveiligingsproblemen snel en automatisch oplossen

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: FOUTHERSTEL 6.1, 6.2, 6.5, 11.2

Beveiligingsprincipe: implementeer snel en automatisch patches en updates om beveiligingsproblemen in uw cloudresources te verhelpen. Gebruik de juiste op risico's gebaseerde benadering om prioriteit te geven aan het herstel van beveiligingsproblemen. Ernstigere beveiligingsproblemen in een asset met een hogere waarde moeten bijvoorbeeld worden aangepakt als een hogere prioriteit.


Azure-richtlijnen: gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates worden geïnstalleerd op uw Windows- en Linux-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en ingesteld op automatisch bijwerken.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of Microsoft System Center Updates Publisher voor Configuration Manager.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik AWS Systems Manager - Patch Manager om ervoor te zorgen dat de meest recente beveiligingsupdates worden geïnstalleerd op uw besturingssystemen en toepassingen. Patchbeheer ondersteunt patchbasislijnen, zodat u een lijst met goedgekeurde en afgekeurde patches voor uw systemen kunt definiëren.

U kunt ook Azure Automation Updatebeheer gebruiken om de patches en updates van uw AWS EC2 Windows- en Linux-exemplaren centraal te beheren.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of Microsoft System Center Updates Publisher voor Configuration Manager.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: gebruik Patchbeheer voor het besturingssysteem van Google Cloud VM Manager of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates worden geïnstalleerd op uw Windows- en Linux-VM's. Zorg ervoor dat Windows Update is ingeschakeld en ingesteld om automatisch bij te werken voor Windows-VM's.

Gebruik voor software van derden een patchbeheeroplossing van derden of Microsoft System Center Updates Publisher voor configuratiebeheer.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):

PV-7: Regelmatige rode teambewerkingen uitvoeren

CIS Controls v8 ID('s) NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Beveiligingsprincipe: simuleer aanvallen in de praktijk om een vollediger beeld te bieden van het beveiligingsprobleem van uw organisatie. Rode teambewerkingen en penetratietests vormen een aanvulling op de traditionele aanpak voor het scannen van beveiligingsproblemen om risico's te detecteren.

Volg de best practices van de branche om dit soort tests te ontwerpen, voor te bereiden en uit te voeren om ervoor te zorgen dat uw omgeving niet wordt beschadigd of verstoord. Dit moet altijd inhouden dat het testbereik en de beperkingen worden besproken met relevante belanghebbenden en resource-eigenaren.


Azure-richtlijnen: voer indien nodig penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Ga te werk volgens de Microsoft Cloud Penetration Testing Rules of Engagement (Regels voor het inzetten van penetratietests voor Microsoft Cloud ) zodat u zeker weet dat uw penetratietests niet conflicteren met Microsoft-beleid. Gebruik de strategie van Microsoft en de uitvoering van Red Teaming-activiteiten, en voer een penetratietest van de live site uit op basis van een infrastructuur, services en toepassingen die door Microsoft worden beheerd.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: voer indien nodig penetratietests of rode teamactiviteiten uit op uw AWS-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg het AWS-klantondersteuningsbeleid voor penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het AWS-beleid.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: voer indien nodig penetratietests of rode teamactiviteiten uit op uw GCP-resource en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg het GCP-klantondersteuningsbeleid voor penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het GCP-beleid.

GCP-implementatie en aanvullende context:


Belanghebbenden bij de beveiliging van klanten (meer informatie):