Azure Stack HCI en ISO/IEC 27001:2022

In dit artikel wordt beschreven hoe Organisaties met Azure Stack HCI kunnen voldoen aan de vereisten voor beveiligingscontrole van ISO/IEC 27001:2022, zowel in de cloud als on-premises. Meer informatie over Azure Stack en andere beveiligingsstandaarden in Azure Stack en beveiligingsstandaarden.

ISO/IEC 27001:2022

ISO/IEC 27001 is een wereldwijde beveiligingsstandaard die vereisten aangeeft voor het vaststellen, implementeren, uitvoeren, bewaken, onderhouden en verbeteren van een Information Security Management System (ISMS). Certificering aan ISO/IEC 27001:2022 helpt organisaties hun beveiligingspostuur te verbeteren, vertrouwen met hun klanten te bouwen en kan helpen voldoen aan verschillende wettelijke en wettelijke verplichtingen die betrekking hebben op informatiebeveiliging, zoals PCI DSS, HIPAA, HITRUST en FedRAMP. Meer informatie over de standaard op ISO/IEC 27001.

Azure Stack HCI

Azure Stack HCI is een hybride oplossing die naadloze integratie biedt tussen de on-premises infrastructuur van organisaties en Azure-cloudservices, waardoor gevirtualiseerde workloads en containers kunnen worden geconsolideerd en cloudefficiëntie kan worden bereikt wanneer gegevens om juridische of privacyredenen on-premises moeten blijven. Organisaties die op zoek zijn naar ISO/IEC 27001:2022-certificering voor hun oplossingen, moeten rekening houden met zowel hun cloud- als on-premises omgevingen.

Verbinding maken ed cloudservices

Azure Stack HCI biedt uitgebreide integratie met verschillende Azure-services, zoals Azure Monitor, Azure Backup en Azure Site Recovery, om nieuwe mogelijkheden te leveren aan de hybride omgeving. Deze cloudservices ondergaan regelmatig onafhankelijke controles van derden voor ISO/IEC 27001:2022-naleving. U kunt het Azure ISO/IEC 27001:2022-certificaat en auditrapport bekijken in Azure-nalevingsaanbiedingen : ISO/IEC 27001:2022.

Belangrijk

De nalevingsstatus van Azure verleent geen ISO/IEC 27001-accreditatie voor de services die een organisatie bouwt of host op het Azure-platform. Organisaties zijn verantwoordelijk voor de naleving van hun activiteiten met ISO/IEC 27001:2022-vereisten.

On-premises oplossingen

Azure Stack HCI biedt on-premises een reeks functies waarmee organisaties kunnen voldoen aan de beveiligingsvereisten van ISO/IEC 27001:2022. De volgende secties bevatten meer informatie.

Azure Stack HCI-mogelijkheden die relevant zijn voor ISO/IEC 27001:2022

In deze sectie wordt beschreven hoe organisaties azure Stack HCI-functionaliteit kunnen gebruiken om te voldoen aan de beveiligingscontroles in bijlage A van ISO/IEC 27001:2022. De volgende informatie omvat alleen technische vereisten. Vereisten met betrekking tot beveiligingsbewerkingen vallen buiten het bereik, omdat Azure Stack HCI deze niet kan beïnvloeden. De richtsnoeren zijn ingedeeld in de negen domeinen van bijlage A:

• Netwerkbeveiliging
• Identiteits- en toegangsbeheer
• Gegevensbeveiliging
• Logboekregistratie
• Bewaking
• Beveiligde configuratie
• Bedreigingsbeveiliging
• Back-up en herstel
• Schaalbaarheid en beschikbaarheid

In de richtlijnen in dit artikel wordt beschreven hoe de mogelijkheden van het Azure Stack HCI-platform kunnen worden gebruikt om te voldoen aan de vereisten van elk domein. Het is belangrijk te weten dat niet alle besturingselementen verplicht zijn. Organisaties moeten hun omgeving analyseren en risicoanalyse uitvoeren om te bepalen welke controles nodig zijn. Zie ISO/IEC 27001 voor meer informatie over de vereisten.

Netwerkbeveiliging

De netwerkbeveiligingsfunctionaliteit die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.20 – Netwerkbeveiliging
• 8.21 – Beveiliging van netwerkservices
• 8.22 – Scheiding van netwerken
• 8.23 – Webfiltering

Met Azure Stack HCI kunt u netwerkbeveiligingscontroles toepassen om uw platform en de werkbelastingen die erop worden uitgevoerd, te beschermen tegen netwerkbedreigingen buiten en binnenin. Het platform garandeert ook eerlijke netwerktoewijzing op een host en verbetert de workloadprestaties en beschikbaarheid met taakverdelingsmogelijkheden. Meer informatie over netwerkbeveiliging in Azure Stack HCI vindt u in de volgende artikelen.

• Overzicht van Datacenter Firewall
• Software Load Balancer (SLB) voor Software Define Network (SDN)
• RAS-gateway (Remote Access Service) voor SDN
• Quality of Service-beleid voor uw workloads die worden gehost op Azure Stack HCI

Identiteits- en toegangsbeheer

De functionaliteit voor identiteits- en toegangsbeheer die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.2 – Bevoegde toegangsrechten
• 8.3 – Toegangsbeperkingen voor informatie
• 8.5 - Beveiligde verificatie

Het Azure Stack HCI-platform biedt volledige en directe toegang tot het onderliggende systeem dat wordt uitgevoerd op clusterknooppunten via meerdere interfaces, zoals Azure Arc en Windows PowerShell. U kunt conventionele Windows-hulpprogramma's gebruiken in lokale omgevingen of cloudoplossingen zoals Microsoft Entra ID (voorheen Azure Active Directory) om identiteit en toegang tot het platform te beheren. In beide gevallen kunt u profiteren van ingebouwde beveiligingsfuncties, zoals meervoudige verificatie (MFA), voorwaardelijke toegang, op rollen gebaseerd toegangsbeheer (RBAC) en PIM (Privileged Identity Management) om ervoor te zorgen dat uw omgeving veilig en compatibel is.

Meer informatie over lokaal identiteits- en toegangsbeheer in Microsoft Identity Manager en Privileged Access Management voor Active Directory-domein Services. Meer informatie over identiteits- en toegangsbeheer in de cloud vindt u in Microsoft Entra ID.

Gegevensbescherming

De functionaliteit voor gegevensbescherming die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.5 - Beveiligde verificatie
• 8.20 – Netwerkbeveiliging
• 8.21 - Beveiliging van netwerkservices
• 8.24 – Gebruik van cryptografie

Gegevens versleutelen met BitLocker

In Azure Stack HCI-clusters kunnen alle data-at-rest worden versleuteld via BitLocker XTS-AES 256-bits versleuteling. Standaard wordt u aangeraden BitLocker in te schakelen voor het versleutelen van alle besturingssysteemvolumes en gedeelde clustervolumes (CSV) in uw Azure Stack HCI-implementatie. Voor nieuwe opslagvolumes die na de implementatie zijn toegevoegd, moet u BitLocker handmatig inschakelen om het nieuwe opslagvolume te versleutelen. Door BitLocker te gebruiken om gegevens te beveiligen, kunnen organisaties voldoen aan ISO/IEC 27001. Meer informatie vindt u in BitLocker met gedeelde clustervolumes (CSV).

Extern netwerkverkeer beveiligen met TLS/DTLS

Standaard worden alle hostcommunicatie naar lokale en externe eindpunten versleuteld met TLS1.2, TLS1.3 en DTLS 1.2. Het platform schakelt het gebruik van oudere protocollen/hashes, zoals TLS/DTLS 1.1 SMB1, uit. Azure Stack HCI ondersteunt ook sterke coderingssuites zoals SDL-compatibele elliptische curven die beperkt zijn tot NIST-curven P-256 en P-384.

Intern netwerkverkeer beveiligen met Server Message Block (SMB)

SMB-ondertekening is standaard ingeschakeld voor clientverbindingen in Azure Stack HCI-clusterhosts. Voor verkeer tussen clusters is SMB-versleuteling een optie die organisaties tijdens of na de implementatie kunnen inschakelen om gegevens in transit tussen clusters te beveiligen. Cryptografische AES-256-GCM- en AES-256-CCM-suites worden nu ondersteund door het SMB 3.1.1-protocol dat wordt gebruikt door client-serverbestandsverkeer en de gegevensinfrastructuur binnen het cluster. Het protocol blijft ook ondersteuning bieden voor de breder compatibele AES-128-suite. Meer informatie over SMB-beveiligingsverbeteringen.

Logboekregistratie

De functionaliteit voor logboekregistratie die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.15 – Logboekregistratie
• 8.17 – Kloksynchronisatie

Lokale systeemlogboeken

Standaard worden alle bewerkingen die worden uitgevoerd binnen het Azure Stack HCI-platform vastgelegd, zodat u kunt bijhouden wie wat heeft gedaan, wanneer en waar op het platform. Logboeken en waarschuwingen die door Windows Defender zijn gemaakt, worden ook opgenomen om u te helpen bij het voorkomen, detecteren en minimaliseren van de kans en impact van een inbreuk op gegevens. Omdat het systeemlogboek echter vaak een grote hoeveelheid informatie bevat, veel van het overbodige aan gegevensbeveiligingsbewaking, moet u bepalen welke gebeurtenissen relevant zijn om te worden verzameld en gebruikt voor beveiligingsbewakingsdoeleinden. Azure-bewakingsmogelijkheden helpen bij het verzamelen, opslaan, waarschuwen en analyseren van deze logboeken. Raadpleeg de beveiligingsbasislijn voor Azure Stack HCI voor meer informatie.

Lokale activiteitenlogboeken

Azure Stack HCI Lifecycle Manager maakt activiteitenlogboeken en slaat deze op voor elk actieplan dat wordt uitgevoerd. Deze logboeken ondersteunen dieper onderzoek en bewaking.

Activiteitenlogboeken van de cloud

Door uw clusters te registreren bij Azure, kunt u activiteitenlogboeken van Azure Monitor gebruiken om bewerkingen op elke resource op de abonnementslaag vast te leggen om te bepalen wat, wie en wanneer voor schrijfbewerkingen (put, post of delete) op de resources in uw abonnement is genomen.

Cloudidentiteitslogboeken

Als u Microsoft Entra-id gebruikt om identiteit en toegang tot het platform te beheren, kunt u logboeken in Azure AD-rapportage bekijken of integreren met Azure Monitor, Microsoft Sentinel of andere SIEM-/bewakingshulpprogramma's voor geavanceerde gebruiksscenario's voor bewaking en analyse. Als u on-premises Active Directory gebruikt, gebruikt u de Microsoft Defender for Identity-oplossing om uw on-premises Active Directory-signalen te gebruiken om geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties te identificeren, te detecteren en te onderzoeken die zijn gericht op uw organisatie.

Integratie van SIEM

Microsoft Defender voor Cloud en Microsoft Sentinel is systeemeigen geïntegreerd met Azure Stack HCI-knooppunten met Arc. U kunt uw logboeken inschakelen en onboarden naar Microsoft Sentinel, dat de mogelijkheid biedt voor siem (Security Information Event Management) en soar-functionaliteit (Security Orchestration Automated Response). Microsoft Sentinel, net als andere Azure-cloudservices, voldoet ook aan veel bekende beveiligingsstandaarden, zoals ISO/IEC 27001, die u kunnen helpen bij uw certificeringsproces. Daarnaast biedt Azure Stack HCI een systeemeigen syslog-gebeurtenisstuurserver voor het verzenden van de systeem gebeurtenissen naar de SIEM-oplossingen van derden.

Controleren

De bewakingsfunctionaliteit die in deze sectie wordt beschreven, kan u helpen bij het voldoen aan de volgende beveiligingscontroles die zijn opgegeven in de ISO/IEC 27001-standaard.

• 8.15 – Logboekregistratie

Azure Stack HCI Insights

Met Azure Stack HCI Insights kunt u status-, prestatie- en gebruiksgegevens bewaken voor clusters die zijn verbonden met Azure en zijn ingeschreven bij bewaking. Tijdens de configuratie van Insights wordt een regel voor gegevensverzameling gemaakt, waarmee de gegevens worden opgegeven die moeten worden verzameld. Deze gegevens worden opgeslagen in een Log Analytics-werkruimte, die vervolgens wordt geaggregeerd, gefilterd en geanalyseerd om vooraf gemaakte bewakingsdashboards te bieden met behulp van Azure-werkmappen. U kunt de bewakingsgegevens voor één cluster of meerdere clusters bekijken vanaf uw Azure Stack HCI-resourcepagina of Azure Monitor. Meer informatie vindt u in Monitor Azure Stack HCI met Insights.

Metrische gegevens van Azure Stack HCI

Metrische gegevens slaan numerieke gegevens van bewaakte resources op in een tijdreeksdatabase. U kunt Azure Monitor Metrics Explorer gebruiken om de gegevens in uw metrische database interactief te analyseren en de waarden van meerdere metrische gegevens in de loop van de tijd in kaart te brengen. Met metrische gegevens kunt u grafieken maken op basis van metrische waarden en trends visueel correleren.

Logboekwaarschuwingen

Als u in realtime problemen wilt aangeven, kunt u waarschuwingen instellen voor Azure Stack HCI-systemen, met behulp van bestaande voorbeeldlogboekquery's zoals gemiddelde server-CPU, beschikbaar geheugen, beschikbare volumecapaciteit en meer. Meer informatie over het instellen van waarschuwingen voor Azure Stack HCI-systemen.

Waarschuwingen voor metrische gegevens

Een waarschuwingsregel voor metrische gegevens bewaakt een resource door met regelmatige tussenpozen voorwaarden voor de metrische gegevens van de resource te evalueren. Als aan deze voorwaarden wordt voldaan, wordt er een waarschuwing geactiveerd. Een metrische tijdreeks is een reeks metrische waarden die gedurende een bepaalde periode zijn vastgelegd. U kunt deze metrische gegevens gebruiken om waarschuwingsregels te maken. Meer informatie over het maken van metrische waarschuwingen bij metrische waarschuwingen.

Service- en apparaatwaarschuwingen

Azure Stack HCI biedt servicegebaseerde waarschuwingen voor connectiviteit, updates van het besturingssysteem, Azure-configuratie en meer. Op apparaten gebaseerde waarschuwingen voor clusterstatusfouten zijn ook beschikbaar. U kunt ook Azure Stack HCI-clusters en hun onderliggende onderdelen bewaken met behulp van PowerShell of Health Service.

Veilige configuratie

De beveiligde configuratiefunctionaliteit die in deze sectie wordt beschreven, kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.8 – Beheer van technische beveiligingsproblemen
• 8.9 – Configuratiebeheer

Standaard beveiligen

Azure Stack HCI is standaard veilig geconfigureerd met beveiligingshulpprogramma's en -technologieën die bescherming bieden tegen moderne bedreigingen en die zijn afgestemd op de Azure Compute Security-basislijnen. Meer informatie over het beheren van de standaardinstellingen voor beveiliging voor Azure Stack HCI.

Driftbeveiliging

De standaardbeveiligingsconfiguratie en beveiligde kerninstellingen van het platform worden beveiligd tijdens zowel implementatie als runtime met driftbesturingsbeveiliging . Wanneer deze optie is ingeschakeld, worden de beveiligingsinstellingen elke 90 minuten vernieuwd om ervoor te zorgen dat wijzigingen van de opgegeven status worden hersteld. Dankzij deze continue bewaking en automatisch herstel kunt u gedurende de gehele levenscyclus van het apparaat een consistente en betrouwbare beveiligingsconfiguratie hebben. U kunt de driftbeveiliging uitschakelen tijdens de implementatie wanneer u de beveiligingsinstellingen configureert.

Beveiligingsbasislijn voor workload

Voor workloads die worden uitgevoerd op De Azure Stack HCI, kunt u de basislijn voor aanbevolen besturingssystemen van Azure (voor Windows en Linux) gebruiken als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.

Platformupdate

Alle onderdelen van het Azure Stack HCI-platform, waaronder het besturingssysteem, de kernagenten en -services en de oplossingsextensie, kunnen eenvoudig worden onderhouden met levenscyclusbeheer. Met deze functie kunt u verschillende onderdelen bundelen in een updaterelease en de combinatie van versies valideren om interoperabiliteit te garanderen. Meer informatie vindt u in Lifecycle Manager voor azure Stack HCI-oplossingsupdates.

Werkbelastingupdate

Voor workloads die worden uitgevoerd boven op het Azure Stack HCI-platform, waaronder hybride AKS-machines (Azure Kubernetes Service), Azure Arc en virtuele machines (VM's) die niet zijn geïntegreerd in Levenscyclusbeheer, volgt u de methoden die worden uitgelegd in Levenscyclusbeheer gebruiken voor updates om ze bijgewerkt te houden.

Bedreigingsbeveiliging

De functionaliteit voor bedreigingsbeveiliging in deze sectie kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.7 – Bescherming tegen malware

Windows Defender Antivirus

Windows Defender Antivirus is een hulpprogrammatoepassing die de mogelijkheid biedt om realtime systeemscans en periodieke scans af te dwingen om platformen en workloads te beschermen tegen virussen, malware, spyware en andere bedreigingen. Microsoft Defender Antivirus is standaard ingeschakeld in Azure Stack HCI. Microsoft raadt het gebruik van Microsoft Defender Antivirus aan met Azure Stack HCI in plaats van software en services van derden voor het detecteren van antivirus- en malwaredetectie, omdat dit van invloed kan zijn op de mogelijkheid van het besturingssysteem om updates te ontvangen. Meer informatie vindt u in Microsoft Defender Antivirus op Windows Server.

Windows Defender Application Control (WDAC)

Windows Defender Application Control (WDAC) is standaard ingeschakeld op Azure Stack HCI om te bepalen welke stuurprogramma's en toepassingen rechtstreeks op elke server mogen worden uitgevoerd, waardoor malware geen toegang heeft tot de systemen. Meer informatie over basisbeleid dat is opgenomen in Azure Stack HCI en hoe u aanvullende beleidsregels maakt in Windows Defender Application Control voor Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender voor Cloud met Endpoint Protection (ingeschakeld via het Defender for Servers-plan) biedt een oplossing voor beveiligingsbeheer met geavanceerde mogelijkheden voor beveiliging tegen bedreigingen. Het biedt u hulpprogramma's voor het beoordelen van de beveiligingsstatus van uw infrastructuur, het beveiligen van workloads, het genereren van beveiligingswaarschuwingen en het volgen van specifieke aanbevelingen voor het oplossen van aanvallen en het oplossen van toekomstige bedreigingen. Het voert al deze services met hoge snelheid uit in de cloud zonder implementatieoverhead via automatische inrichting en beveiliging met Azure-services. Meer informatie vindt u op Microsoft Defender voor Cloud.

Back-up en herstel

De back-up- en herstelfunctionaliteit die in deze sectie wordt beschreven, kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.7 – Bescherming tegen malware
• 8.13 – Back-up van gegevens
• 8.14 – Redundantie van informatie

Stretched cluster

Azure Stack HCI biedt ingebouwde ondersteuning voor herstel na noodgevallen van gevirtualiseerde workloads via stretched clustering. Door een stretched Azure Stack HCI-cluster te implementeren, kunt u de gevirtualiseerde workloads synchroon repliceren over twee afzonderlijke on-premises locaties en er automatisch een failover tussen uitvoeren. Geplande sitefailovers kunnen plaatsvinden zonder uitvaltijd met behulp van Hyper-V-livemigratie.

Kubernetes-clusterknooppunten

Als u Azure Stack HCI gebruikt voor het hosten van implementaties op basis van containers, helpt het platform u de flexibiliteit en tolerantie te verbeteren die inherent zijn aan Azure Kubernetes-implementaties. Azure Stack HCI beheert automatische failover van VM's die fungeren als Kubernetes-clusterknooppunten als er een gelokaliseerde fout opgetreden is van de onderliggende fysieke onderdelen. Deze configuratie vormt een aanvulling op de hoge beschikbaarheid die is ingebouwd in Kubernetes, waardoor mislukte containers automatisch opnieuw worden opgestart op dezelfde of een andere VIRTUELE machine.

Azure Site Recovery

Met deze service kunt u workloads repliceren die worden uitgevoerd op uw on-premises Azure Stack HCI-VM's naar de cloud, zodat uw informatiesysteem kan worden hersteld als er sprake is van een incident, storing of verlies van opslagmedia. Net als andere Azure-cloudservices heeft Azure Site Recovery een lange trackrecord met beveiligingscertificaten, waaronder HITRUST, die u kunt gebruiken om uw accreditatieproces te ondersteunen. Meer informatie over VM-workloads beveiligen met Azure Site Recovery in Azure Stack HCI.

Microsoft Azure Backup Server (MABS)

Met deze service kunt u een back-up maken van virtuele Azure Stack HCI-machines, waarbij u een gewenste frequentie en bewaarperiode opgeeft. U kunt MABS gebruiken om een back-up te maken van de meeste resources in de hele omgeving, waaronder:

• Systeemstatus/Bare-Metal Recovery (BMR) van Azure Stack HCI-host
• Gast-VM's in een cluster met lokale of rechtstreeks gekoppelde opslag
• Gast-VM's in Een Azure Stack HCI-cluster met CSV-opslag
• VM verplaatsen binnen een cluster

Meer informatie vindt u in Back-up van virtuele Azure Stack HCI-machines met Azure Backup Server.

Schaalbaarheid en beschikbaarheid

De schaalbaarheids- en beschikbaarheidsfunctionaliteit die in deze sectie wordt beschreven, kan u helpen voldoen aan de volgende vereisten voor beveiligingscontrole van ISO/IEC 27001.

• 8.6 – Capaciteitsbeheer
• 8.14 – Redundantie van informatie

Hypergeconvergeerde modellen

Azure Stack HCI maakt gebruik van hypergeconvergeerde modellen van Opslagruimten Direct voor het implementeren van workloads. Met dit implementatiemodel kunt u eenvoudig schalen door nieuwe knooppunten toe te voegen die automatisch rekenkracht en opslag op hetzelfde moment uitbreiden met geen downtime.

Failoverclusters

Azure Stack HCI-clusters zijn failoverclusters. Als een server die deel uitmaakt van een Azure Stack HCI mislukt of niet meer beschikbaar is, neemt een andere server in hetzelfde failovercluster de taak over van het leveren van de services die worden aangeboden door het mislukte knooppunt. U maakt een failovercluster door Opslagruimten Direct in te schakelen op meerdere servers waarop Azure Stack HCI wordt uitgevoerd.