Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden aanbevolen beveiligingsprocedures voor VM's en besturingssystemen beschreven.
De best practices zijn afkomstig van een consensus over mening en ze werken met de huidige Azure platformmogelijkheden en functiesets. Omdat meningen en technologieën na verloop van tijd kunnen veranderen, wordt dit artikel bijgewerkt om deze wijzigingen weer te geven.
In de meeste IaaS-scenario's (Infrastructure as a Service) zijn Azure virtual machines (VM's) de belangrijkste workload voor organisaties die gebruikmaken van cloud-computing. Dit is duidelijk in hybride scenario's waarin organisaties workloads langzaam willen migreren naar de cloud. In dergelijke scenario's volgt u de algemene beveiligingsoverwegingen voor IaaS en past u aanbevolen beveiligingsprocedures toe op al uw VM's.
VM's beveiligen met behulp van verificatie en access control
Om uw VM's te beveiligen, moet u ervoor zorgen dat alleen geautoriseerde gebruikers nieuwe VM's mogen opzetten en toegang hebben tot bestaande VM's.
Note
Om de beveiliging van Linux-VM's op Azure te verbeteren, kunt u integreren met Microsoft Entra-verificatie. Wanneer u Microsoft Entra-verificatie voor Linux-VM's gebruikt, controleert en implementeert u centraal beleidsregels die toegang tot de VM's toestaan of weigeren.
Best practice: VM-access beheren. Detail: gebruik Azure-beleid om conventies voor resources in uw organisatie vast te stellen en aangepast beleid te maken. Pas dit beleid toe op resources, zoals resourcegroepen. VM's die deel uitmaken van een resourcegroep nemen het beleid over.
Als uw organisatie veel abonnementen heeft, hebt u mogelijk een manier nodig om access, beleidsregels en naleving voor deze abonnementen efficiënt te beheren. Azure beheergroepen een niveau van bereik bieden boven abonnementen. U organiseert abonnementen in beheergroepen (containers) en past uw governancevoorwaarden toe op deze groepen. Alle abonnementen binnen een beheergroep nemen automatisch de voorwaarden over die zijn toegepast op de groep. Beheergroepen bieden u beheer van bedrijfskwaliteit op grote schaal, ongeacht de typen abonnementen die u hebt.
Best practice: verminder de variabiliteit in uw installatie en implementatie van VM's. Detail: Gebruik sjablonen voor Azure Resource Manager om uw implementatiekeuzen te versterken en de VM's in uw omgeving beter te begrijpen en te inventariseren.
Best practice: Beveilig bevoegde toegang. Detail: Gebruik een benadering met minimaal benodigde rechten en ingebouwde Azure-rollen om gebruikers in staat te stellen vm's te benaderen en configureren.
- Virtual Machine Contributor: Kan VM's beheren, maar niet het virtual network- of storage-account waarmee ze zijn verbonden.
- Classic Virtual Machine Contributor: Kan VM's beheren die zijn gemaakt met het klassieke implementatiemodel, maar niet het virtual network- of storage-account waarmee de VIRTUELE machines zijn verbonden.
- Security Admin: Alleen in Defender for Cloud: kan beveiligingsbeleid weergeven, beveiligingsstatussen bekijken, beveiligingsbeleid bewerken, waarschuwingen en aanbevelingen bekijken, waarschuwingen en aanbevelingen negeren.
- DevTest Labs User: Kan alles bekijken en verbinding maken, starten, opnieuw opstarten en VM's afsluiten.
Abonnementsbeheerders en coadmins kunnen deze instelling wijzigen, waardoor ze beheerders zijn van alle VM's in een abonnement. Vertrouw al uw abonnementsbeheerders en coadmins om zich aan te melden bij al uw computers.
Note
Voeg VM's met dezelfde levenscyclus samen in dezelfde resourcegroep. Met behulp van resourcegroepen kunt u factureringskosten voor uw resources implementeren, bewaken en samenvouwen.
Organisaties die VM-toegang en -installatie beheren, verbeteren hun algehele VM-beveiliging.
Gebruik Virtual Machine Scale Sets voor hoge beschikbaarheid
Gebruik Virtual Machine Scale Sets als uw VIRTUELE machine kritieke toepassingen uitvoert waarvoor hoge beschikbaarheid is vereist.
Virtual Machine Scale Sets kunt u een groep vm's met gelijke taakverdeling maken en beheren. Het aantal VM-exemplaren kan automatisch toenemen of afnemen in reactie op vraag of een ingesteld schema. Schaalsets bieden hoge beschikbaarheid voor uw toepassingen en u kunt veel VM's centraal beheren, configureren en bijwerken. Er zijn geen kosten voor de schaalset zelf, u betaalt alleen voor elk VM-exemplaar dat u maakt.
U kunt virtual machines in een schaalset implementeren in meerdere availability zones, één beschikbaarheidszone of regionaal.
Beveiliging tegen malware
Installeer antimalwarebeveiliging om virussen, spyware en andere schadelijke software te identificeren en te verwijderen. U kunt Microsoft Antimalware of de eindpuntbeveiligingsoplossing van een Microsoft-partner installeren (Trend Micro, Broadcom, McAfee, Windows Defender en System Center Endpoint Protection).
Microsoft Antimalware bevat functies zoals realtime-beveiliging, gepland scannen, malwareherstel, handtekeningupdates, engine-updates, voorbeeldenrapportage en het verzamelen van uitsluitingsgebeurtenissen. Voor omgevingen die afzonderlijk van uw productieomgeving worden gehost, gebruikt u een antimalware-extensie om uw VM's en cloud services te beschermen.
U kunt Microsoft Antimalware en partneroplossingen integreren met Microsoft Defender for Cloud voor eenvoudige implementatie en ingebouwde detecties (waarschuwingen en incidenten).
Best practice: Installeer een antimalwareoplossing om te beschermen tegen malware.
Details: Een Microsoft-partneroplossing of Microsoft Antimalware installeren
Best practice: Integreer uw antimalwareoplossing met Defender for Cloud om de status van uw beveiliging te bewaken.
Details: Problemen met Endpoint Protection beheren met Defender for Cloud
Uw VM-updates beheren
Azure VM's, zoals alle on-premises VM's, zijn bedoeld om door de gebruiker te worden beheerd. Azure verstuurt geen Windows-updates naar hen. U moet uw VM-updates beheren.
Best practice: houd uw VM's actueel.
Detail: Gebruik de oplossing Update Management in Azure Automation om updates van besturingssystemen te beheren voor uw Windows- en Linux-computers die zijn geïmplementeerd in Azure, in on-premises omgevingen of in andere cloudproviders. U kunt snel de status van de beschikbare updates op alle agentcomputers beoordelen en de procedure voor het installeren van vereiste updates voor servers beheren.
Computers die worden beheerd door Updatebeheer gebruiken de volgende configuraties voor het uitvoeren van evaluatie- en update-implementaties:
- Microsoft Monitoring Agent (MMA) voor Windows of Linux
- PowerShell Desired State Configuration (DSC) voor Linux
- Geautomatiseerde Hybride Runbook Werker
- Microsoft Update of Windows Server Update Services (WSUS) voor Windows-computers
Als u Windows Update gebruikt, laat u de instelling voor automatische Windows Update ingeschakeld.
Best practice: Zorg ervoor dat installatiekopieën die u hebt gemaakt, de meest recente ronde windows-updates bevatten.
Details: Controleer en installeer alle Windows-updates als eerste stap van elke implementatie. Deze maatregel is vooral belangrijk om toe te passen wanneer u images implementeert die afkomstig zijn van uzelf of uw bibliotheek. Hoewel installatiekopieën van de Azure Marketplace standaard automatisch worden bijgewerkt, kan er een vertragingstijd (maximaal enkele weken) na een openbare release zijn.
Best practice: implementeer uw VM's periodiek opnieuw om een nieuwe versie van het besturingssysteem af te dwingen.
Detail: Definieer uw VIRTUELE machine met een sjabloon Azure Resource Manager zodat u deze eenvoudig opnieuw kunt implementeren. Als u een sjabloon gebruikt, krijgt u een gepatchte en beveiligde VM wanneer u deze nodig hebt.
Best practice: Pas snel beveiligingsupdates toe op VM's.
Detail: schakel Microsoft Defender for Cloud (gratis laag of Standard-laag) in om ontbrekende beveiligingsupdates te identificeren en toe te passen.
Best practice: installeer de meest recente beveiligingsupdates.
Detail: Sommige van de eerste workloads die klanten naar Azure verplaatsen, zijn labs en externe systemen. Als uw Azure-VM's toepassingen of services hosten die toegankelijk moeten zijn voor internet, wees voorzichtig met patchen. Patch buiten het besturingssysteem. Niet-gepatchte beveiligingsproblemen in partnertoepassingen kunnen ook leiden tot problemen die kunnen worden vermeden als er sprake is van goed patchbeheer.
Best practice: Een back-upoplossing implementeren en testen.
Detail: Een back-up moet op dezelfde manier worden verwerkt als voor elke andere bewerking. Deze verwerking geldt voor systemen die deel uitmaken van uw productieomgeving die zich uitbreiden naar de cloud.
Test- en ontwikkelsystemen moeten back-upstrategieën volgen die herstelmogelijkheden bieden die vergelijkbaar zijn met wat gebruikers gewend zijn geworden, op basis van hun ervaring met on-premises omgevingen. Productieworkloads die naar Azure zijn verplaatst, moeten indien mogelijk worden geïntegreerd met bestaande back-upoplossingen. U kunt ook Azure Backup gebruiken om te voldoen aan uw back-upvereisten.
Organisaties die geen software-updatebeleid afdwingen, worden meer blootgesteld aan bedreigingen die gebruikmaken van bekende, eerder opgeloste beveiligingsproblemen. Om te voldoen aan de branchevoorschriften, moeten bedrijven bewijzen dat ze ijverig zijn en de juiste beveiligingscontroles gebruiken om de beveiliging van hun workloads in de cloud te waarborgen.
Aanbevolen procedures voor software-updates voor een traditioneel datacenter en Azure IaaS hebben veel overeenkomsten. Evalueer uw huidige software-updatebeleid om VM's op te nemen die zich in Azure bevinden.
Uw VM-beveiligingspostuur beheren
Cyberthreats ontwikkelen zich altijd. Voor het beveiligen van uw VM's is een bewakingsmogelijkheid vereist die snel bedreigingen kan detecteren, ongeautoriseerde toegang tot uw resources kan voorkomen, waarschuwingen kan activeren en het aantal vals-positieven kan verminderen.
Als u de beveiligingspostuur van uw Windows en Linux-VM's wilt bewaken, gebruikt u Microsoft Defender for Cloud. Beveilig uw VM's in Defender voor Cloud door gebruik te maken van de volgende mogelijkheden:
- Besturingssysteembeveiligingsinstellingen toepassen met aanbevolen configuratieregels.
- Identificeer en download systeembeveiliging en essentiële updates die mogelijk ontbreken.
- Aanbevelingen implementeren voor eindpuntbeveiliging tegen malware.
- Schijfversleuteling valideren.
- Beveiligingsproblemen beoordelen en oplossen.
- Bedreigingen detecteren.
Defender voor Cloud kan actief bedreigingen monitoren, en beveiligingswaarschuwingen laten potentiële bedreigingen zien. Gecorreleerde bedreigingen worden samengevoegd in één weergave die een beveiligingsincident wordt genoemd.
Defender for Cloud slaat gegevens op in Azure Monitor-logboeken. Azure Monitor-logs biedt een querytaal en analyse-engine waarmee u inzicht krijgt in de werking van uw toepassingen en resources. Gegevens worden ook verzameld van Azure Monitor, beheeroplossingen en agents die zijn geïnstalleerd op virtual machines in de cloud of on-premises. Deze gedeelde functionaliteit helpt u een volledig overzicht van uw omgeving te vormen.
Als u geen sterke beveiliging afdwingt voor uw VM's, blijft u zich niet bewust van mogelijke pogingen door onbevoegde gebruikers om beveiligingscontroles te omzeilen.
VM-prestaties bewaken
Resourcemisbruik kan een probleem zijn wanneer VM-processen meer resources verbruiken dan ze zouden moeten. Prestatieproblemen met een VIRTUELE machine kunnen leiden tot serviceonderbreking, wat het beveiligingsprincipe van beschikbaarheid schendt. Dit probleem is met name belangrijk voor VM's die als host fungeren voor IIS of andere webservers, omdat een hoog CPU- of geheugengebruik kan duiden op een DoS-aanval (Denial of Service). Het is noodzakelijk om VM-toegang niet alleen reactief te bewaken terwijl er een probleem optreedt, maar ook proactief ten opzichte van de basislijnprestaties zoals die gemeten worden tijdens de normale werking.
Gebruik Azure Monitor om inzicht te krijgen in de status van uw resource. Azure Monitor-functies:
- Resource diagnostische logboekbestanden: bewaakt uw VM-resources en identificeert potentiële problemen die de prestaties en beschikbaarheid kunnen beïnvloeden.
- Azure Diagnostics-extensie: biedt mogelijkheden voor bewaking en diagnose op Windows-VM's. U kunt deze mogelijkheden inschakelen door de extensie op te geven als onderdeel van de Azure Resource Manager sjabloon.
Als u de vm-prestaties niet bewaakt, kunt u niet bepalen of bepaalde wijzigingen in prestatiepatronen normaal of abnormaal zijn. Een VM die meer resources verbruikt dan normaal, kan duiden op een aanval van een externe resource of een gecompromitteerd proces dat wordt uitgevoerd op de VIRTUELE machine.
Uw virtuele hardeschijfbestanden versleutelen
Versleutel uw virtuele harde schijven (VHD's) om uw opstartvolume en datavolumes tijdens opslag te beschermen, samen met uw versleutelingssleutels en gevoelige informatie.
Belangrijk
Azure Disk Encryption is gepland voor buitengebruikstelling op September 15, 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.
Gebruik versleuteling op de host voor nieuwe VM's of overweeg vertrouwelijke VM-grootten met besturingssysteemschijfversleuteling voor workloads met vertrouwelijke computing. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure-schijfencryptie naar encryptie bij de host voor meer informatie.
Versleuteling op host biedt standaard end-to-end-versleuteling voor uw VM-gegevens, het versleutelen van tijdelijke schijven, besturingssysteem- en gegevensschijfcaches en gegevensstromen naar Azure Storage. Versleuteling op de host maakt standaard gebruik van door het platform beheerde sleutels zonder extra configuratie vereist. U kunt de oplossing desgewenst configureren voor het gebruik van door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault of Azure Key Vault Beheerde HSM wanneer u uw eigen sleutels voor schijfversleuteling moet beheren en beheren. De oplossing zorgt ervoor dat alle gegevens op de schijven van de virtuele machine in rust worden versleuteld in Azure Storage.
De volgende aanbevolen procedures helpen u bij het gebruik van versleuteling op de host:
Best practice: versleuteling op host op VM's standaard inschakelen.
Detail: Versleuteling op host is standaard ingeschakeld voor nieuwe VM's en biedt transparante versleuteling met behulp van door platform beheerde sleutels zonder extra configuratie. Als u ervoor kiest om door de klant beheerde sleutels te gebruiken, slaat u deze op in Azure Key Vault of Azure Key Vault beheerde HSM. Microsoft Entra-verificatie is vereist voor access. Voor verificatiedoeleinden kunt u verificatie op basis van clientgeheimen of op clientcertificaten gebaseerde Microsoft Entra-verificatie gebruiken.
Best practice: Wanneer u door de klant beheerde sleutels gebruikt, gebruikt u een sleutelversleutelingssleutel (KEK) voor een extra beveiligingslaag voor versleutelingssleutels.
Detail: Wanneer u door de klant beheerde sleutels gebruikt, gebruikt u de cmdlet Add-AzKeyVaultKey om een versleutelsleutel te maken in Azure Key Vault of een beheerde HSM. U kunt ook een KEK importeren vanuit uw on-premises hardware security module (HSM). Zie de documentatie Key Vault voor meer informatie. Wanneer u een encryptiesleutel opgeeft, gebruikt de host-versleuteling die sleutel om de versleutelingsgeheimen te omhullen. Het bewaren van een borgkopie van deze sleutel in een HSM voor on-premises sleutelbeheer biedt extra bescherming tegen onbedoeld verwijderen van sleutels.
Best practice: Neem een snapshot en/of back-up voordat u wijzigingen in de versleutelingsconfiguratie aanbrengt. Back-ups bieden een hersteloptie als er een onverwachte fout optreedt.
Detail: maak regelmatig een back-up van VM's met managed disks. Zie het artikel Azure Backup voor meer informatie over het maken en herstellen van versleutelde VM's.
Best practice: Wanneer u door de klant beheerde sleutels gebruikt, moet u ervoor zorgen dat de versleutelingsgeheimen geen regionale grenzen overschrijden door uw sleutelbeheerservice en VM's in dezelfde regio te vinden.
Detail: Wanneer u door de klant beheerde sleutels gebruikt, maakt en gebruikt u een key vault of beheerde HSM die zich in dezelfde regio bevindt als de VIRTUELE machine die moet worden versleuteld.
Wanneer u versleuteling toepast op de host, kunt u voldoen aan de volgende bedrijfsbehoeften:
- IaaS-VM's worden 'at rest' beveiligd met industriestandaard-versleutelingstechnologie om te voorzien in de beveiligings- en nalevingsbehoeften van organisaties.
- IaaS-VM's beginnen onder door de klant beheerde sleutels en beleidsregels en u kunt hun gebruik controleren in uw sleutelbeheerservice.
Directe internetverbinding beperken
Bewaak en beperk de directe internetverbinding van vm's. Aanvallers scannen voortdurend IP-adresbereiken in de openbare cloud op open beheerpoorten en proberen 'eenvoudige' aanvallen zoals algemene wachtwoorden en bekende niet-gepatchte beveiligingsproblemen. De volgende tabel bevat aanbevolen procedures om u te beschermen tegen deze aanvallen:
Best practice: onbedoelde blootstelling aan netwerkroutering en -beveiliging voorkomen.
Detail: gebruik Azure RBAC om ervoor te zorgen dat alleen de centrale netwerkgroep gemachtigd is voor netwerkresources.
Beste praktijk: Identificeer en herstel weergegeven VM's die toegang van een "ieder" bron-IP-adres toestaan.
Detail: gebruik Microsoft Defender for Cloud. Defender voor Cloud raadt u aan om access te beperken via internetgerichte eindpunten als een van uw netwerkbeveiligingsgroepen een of meer regels voor binnenkomend verkeer bevat die access toestaan vanaf een WILLEKEURIG BRON-IP-adres. Defender voor Cloud raadt u aan deze regels voor inkomend verkeer te bewerken om de toegang te beperken tot bron-IP-adressen die daadwerkelijk toegang nodig hebben.
Best practice: Beheerpoorten beperken (RDP, SSH).
Detail: Gebruik just-in-time(JIT)-VM access om inkomend verkeer naar uw Azure-VM's te vergrendelen. Het vermindert de blootstelling aan aanvallen en biedt eenvoudige access om verbinding te maken met VM's wanneer dat nodig is. Wanneer u JIT inschakelt, vergrendelt Defender for Cloud binnenkomend verkeer naar uw Azure VM's door een regel voor netwerkbeveiligingsgroepen te maken. U selecteert de poorten op de virtuele machine waarop binnenkomend verkeer is vergrendeld. De JIT-oplossing beheert deze poorten.
Volgende stappen
Zie Azure best practices en patronen voor beveiliging voor meer aanbevolen beveiligingsprocedures voor het ontwerpen, implementeren en beheren van uw cloudoplossingen met behulp van Azure.
De volgende bronnen bieden meer algemene informatie over Azure beveiliging en gerelateerde Microsoft-services:
- Azure Security Team Blog - voor up-to-date informatie over de nieuwste ontwikkelingen in Azure Security
- Microsoft Security Response Center- waar u beveiligingsproblemen van Microsoft kunt melden, inclusief problemen met Azure, of een e-mailbericht naar secure@microsoft.com