De eerste beveiligingslaag bouwen met Azure Security-services

U kunt een volledige IT-infrastructuur bouwen om uw organisatie uit te voeren met behulp van verschillende Azure-services. Azure biedt ook beveiligingsservices om uw infrastructuur te beveiligen. Met behulp van Azure-beveiligingsservices kunt u de beveiligingspostuur van uw IT-omgeving verbeteren. U kunt beveiligingsproblemen beperken en schendingen voorkomen door een goed ontworpen oplossing te implementeren die aanbevelingen van Microsoft volgt.

Voor sommige beveiligingsservices worden kosten in rekening gebracht, terwijl andere geen extra kosten hebben. Gratis services zijn netwerkbeveiligingsgroepen (NSG's), opslagversleuteling, TLS/SSL, shared access signature tokens en vele andere. In dit artikel worden dergelijke services behandeld.

Dit artikel is de derde in een reeks van vijf. Als u de vorige twee artikelen in deze reeks wilt bekijken, inclusief de inleiding en een overzicht van hoe u bedreigingen kunt toewijzen aan een IT-omgeving, raadpleegt u de volgende artikelen:

• Azure-bewaking gebruiken om beveiligingsonderdelen te integreren
• Bedreigingen toewijzen aan uw IT-omgeving

Potentiële gebruikscases

Dit artikel bevat Azure-beveiligingsservices op basis van elke Azure-service. Op deze manier kunt u een specifieke bedreiging voor resources bedenken: een virtuele machine (VM), een besturingssysteem, een Azure-netwerk, een toepassing of een aanval die mogelijk gebruikers en wachtwoorden in gevaar kan hebben. Gebruik vervolgens het diagram in dit artikel om te begrijpen welke Azure-beveiligingsservices moeten worden gebruikt om resources en gebruikersidentiteiten te beschermen tegen dat type bedreiging.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

©2021 De MITRE Corporation. Dit werk wordt gereproduceerd en gedistribueerd met de machtiging van The MITRE Corporation.

De Azure-beveiligingslaag in dit diagram is gebaseerd op Azure Security Benchmark (ASB) v3. Dit is een set beveiligingsregels die worden geïmplementeerd via Azure-beleid. ASB is gebaseerd op een combinatie van regels van CIS Center for Internet Security en National Institute of Standards and Technology. Zie Overzicht van Azure Security Benchmark v3 voor meer informatie over ASB.

Het diagram bevat niet alle Azure-beveiligingsservices die beschikbaar zijn, maar toont de beveiligingsservices die het meest worden gebruikt door organisaties. Alle beveiligingsservices die in het architectuurdiagram worden geïdentificeerd, kunnen in elke combinatie samenwerken op basis van uw IT-omgeving en de beveiligingsvereisten van uw organisatie.

Workflow

In deze sectie worden de onderdelen en services beschreven die in het diagram worden weergegeven. Veel van deze worden gelabeld met hun ASB-besturingscodes, naast hun afgekorte labels. De besturingscodes komen overeen met de besturingsdomeinen die worden vermeld in Besturingselementen.

1. AZURE SECURITY BENCHMARK

   Elk beveiligingsbeheer verwijst naar een of meer specifieke Azure-beveiligingsservices. De architectuurreferentie in dit artikel bevat enkele van deze en hun controlenummers volgens de ASB-documentatie. De besturingselementen zijn onder andere:

   • Netwerkbeveiliging
   • Identiteitsbeheer
   • Bevoegde toegang
   • Gegevensbescherming
   • Asset-management
   • Logboekregistratie en bedreidingsdetectie
   • Reageren op incidenten
   • Postuur en beheer van beveiligingsproblemen
   • Eindpuntbeveiliging
   • Back-up en herstel
   • DevOps-beveiliging
   • Governance en strategie

   Zie Overzicht van de Azure Security Benchmark (v3) voor meer informatie over beveiligingscontroles.

2. NETWERK

   In de volgende tabel worden de netwerkservices in het diagram beschreven.

   Etiket	Beschrijving	Documentatie
   NSG	Een gratis service die u aan een netwerkinterface of subnet koppelt. Met een NSG kunt u TCP- of UDP-protocolverkeer filteren met behulp van IP-adresbereiken en poorten voor binnenkomende en uitgaande verbindingen.	Netwerkbeveiligingsgroepen
   VPN (Vendor Part Number)	Een VPN-gateway (Virtual Private Network) die een tunnel met IPSEC-beveiliging (IKE v1/v2) levert.	VPN Gateway
   AZURE FIREWALL	Een PaaS (Platform as a Service) die beveiliging in laag 4 biedt en is gekoppeld aan een volledig virtueel netwerk.	Wat is Azure Firewall?
   APP GW + WAF	Azure-toepassing Gateway met Web Application Firewall (WAF). Application Gateway is een load balancer voor webverkeer dat in laag 7 werkt en WAF toevoegt om toepassingen te beveiligen die gebruikmaken van HTTP en HTTPS.	Wat is Azure-toepassing Gateway?
   NVA	Network Virtual Appliance (NVA), een virtuele beveiligingsservices van de marketplace die is ingericht op VM's in Azure.	Virtuele netwerkapparaten
   DDOS	DDoS-beveiliging die is geïmplementeerd in het virtuele netwerk, zodat u verschillende soorten DDoS-aanvallen kunt beperken.	Overzicht van Azure DDoS Network Protection
   TLS/SSL	TLS/SSL levert versleuteling tijdens overdracht voor de meeste Azure-services die informatie uitwisselen, zoals Azure Storage en Web Apps.	End-to-end TLS configureren met Application Gateway met PowerShell
   PRIVATE LINK	Service waarmee u een privénetwerk kunt maken voor een Azure-service die in eerste instantie beschikbaar is voor internet.	Wat is Azure Private Link?
   PRIVÉ-EINDPUNT	Hiermee maakt u een netwerkinterface en koppelt u deze aan de Azure-service. Privé-eindpunt maakt deel uit van Private Link. Met deze configuratie kan de service, met behulp van een privé-eindpunt, deel uitmaken van uw virtuele netwerk.	Wat is een privé-eindpunt?

3. INFRASTRUCTUUR EN EINDPUNTEN

   In de volgende tabel worden infrastructuur- en eindpuntservices beschreven die worden weergegeven in het diagram.

   Etiket	Beschrijving	Documentatie
   BASTION	Bastion biedt jumpserverfunctionaliteit. Met deze service hebt u toegang tot uw VM's via RDP (Remote Desktop Protocol) of SSH zonder uw VM's beschikbaar te maken op internet.	Wat is Azure Bastion?
   ANTIMALWARE	Microsoft Defender biedt antimalwareservice en maakt deel uit van Windows 10, Windows 11, Windows Server 2016 en Windows Server 2019.	Microsoft Defender Antivirus in Windows
   SCHIJF VERSLEUTELEN	Met schijfversleuteling kunt u de schijf van een virtuele machine versleutelen.	Azure Disk Encryption voor virtuele Windows-machines
   KEYVAULT	Key Vault, een service voor het opslaan van sleutels, geheimen en certificaten met FIPS 140-2 Level 2 of 3.	Basisconcepten van Azure Key Vault
   RDP SHORT	Azure Virtual Desktop RDP Shortpath. Met deze functie kunnen externe gebruikers verbinding maken met de Virtual Desktop-service vanuit een particulier netwerk.	Azure Virtual Desktop RDP-shortpath voor beheerde netwerken
   REVERSE CONNECT	Een ingebouwde beveiligingsfunctie van Azure Virtual Desktop. Omgekeerde verbinding garandeert dat externe gebruikers alleen pixelstreams ontvangen en de host-VM's niet bereiken.	Informatie over Azure Virtual Desktop-netwerkconnectiviteit

4. TOEPASSING EN GEGEVENS

   In de volgende tabel worden toepassings- en gegevensservices beschreven die in het diagram worden weergegeven.

   Etiket	Beschrijving	Documentatie
   FRONTDOOR + WAF	Een NETWERK voor contentlevering (CDN). Front Door combineert meerdere aanwezigheidspunten om een betere verbinding te bieden voor gebruikers die toegang hebben tot de service en WAF toevoegen.	Wat is Azure Front Door?
   API MANAGEMENT	Een service die beveiliging biedt voor API-aanroepen en API's beheert in verschillende omgevingen.	Meer informatie over API Management
   PENTEST	Een set aanbevolen procedures voor het uitvoeren van een penetratietest in uw omgeving, inclusief Azure-resources.	Indringingstests
   SAS-TOKEN VOOR OPSLAG	Een gedeeld toegangstoken waarmee anderen toegang hebben tot uw Azure-opslagaccount.	Beperkte toegang verlenen tot Azure Storage-resources door middel van een SAS
   PRIVÉ-EINDPUNT	Maak een netwerkinterface en koppel deze aan uw opslagaccount om deze te configureren in een privénetwerk in Azure.	Privé-eindpunten gebruiken voor Azure Storage
   OPSLAGFIREWALL	Firewall waarmee u een bereik van IP-adressen kunt instellen die toegang hebben tot uw opslagaccount.	Azure Storage-firewalls en virtuele netwerken configureren
   CODERING (Azure Storage)	Beveiligt uw opslagaccount met versleuteling-at-rest.	Azure Storage-versleuteling voor inactieve gegevens
   SQL AUDIT	Houdt databasegebeurtenissen bij en schrijft ze naar een auditlogboek in uw Azure-opslagaccount.	Controles uitvoeren voor Azure SQL Database en Azure Synapse Analytics
   EVALUATIE VAN BEVEILIGINGSPROBLEMEN	Service waarmee u potentiële beveiligingsproblemen in de database kunt detecteren, bijhouden en oplossen.	Evaluatie van SQL-beveiligingsproblemen helpt u bij het identificeren van beveiligingsproblemen in databases
   CODERING (Azure SQL)	Transparent Data Encryption (TDE) helpt Azure SQL-databaseservices te beveiligen door data-at-rest te versleutelen.	Transparant Data Encryption voor SQL Database, SQL Managed Instance en Azure Synapse Analytics

5. IDENTITEIT

   In de volgende tabel worden identiteitsservices beschreven die worden weergegeven in het diagram.

   Etiket	Beschrijving	Documentatie
   RBAC	Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u de toegang tot Azure-services beheren met behulp van gedetailleerde machtigingen die zijn gebaseerd op de Microsoft Entra-referenties van gebruikers.	Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
   MFA	Meervoudige verificatie biedt aanvullende typen verificatie dan gebruikersnamen en wachtwoorden.	Hoe het werkt: Meervoudige verificatie van Microsoft Entra
   ID-BEVEILIGING	Identity Protection, een beveiligingsservice van Microsoft Entra ID, analyseert biljoenen signalen per dag om gebruikers te identificeren en te beschermen tegen bedreigingen.	Wat is Identity Protection?
   PIM	Privileged Identity Management (PIM), een beveiligingsservice van Microsoft Entra ID. Hiermee kunt u tijdelijk supergebruikersbevoegdheden opgeven voor Microsoft Entra-id (bijvoorbeeld Global Beheer) en Azure-abonnementen (bijvoorbeeld eigenaar of inzender).	Wat is Microsoft Entra Privileged Identity Management?
   COND ACC	Voorwaardelijke toegang is een intelligente beveiligingsservice die gebruikmaakt van beleid dat u definieert voor verschillende voorwaarden voor het blokkeren of verlenen van toegang tot gebruikers.	Wat is voorwaardelijke toegang?

Onderdelen

In de voorbeeldarchitectuur in dit artikel worden de volgende Azure-onderdelen gebruikt:

• Microsoft Entra ID is een cloudservice voor identiteits- en toegangsbeheer. Microsoft Entra ID helpt uw gebruikers toegang te krijgen tot externe resources, zoals Microsoft 365, Azure Portal en duizenden andere SaaS-toepassingen. Het helpt ze ook om toegang te krijgen tot interne resources, zoals apps in uw bedrijfsintranetnetwerk.

• Azure Virtual Network is de fundamentele bouwsteen voor uw privénetwerk in Azure. Met Virtual Network kunnen veel soorten Azure-resources veilig met elkaar, internet en on-premises netwerken communiceren. Virtual Network biedt een virtueel netwerk dat profiteert van de infrastructuur van Azure, zoals schaal, beschikbaarheid en isolatie.

• Azure Load Balancer is een high-performance laag 4-taakverdelingsservice (inkomend en uitgaand) voor alle UDP- en TCP-protocollen. Het is gebouwd om miljoenen aanvragen per seconde af te handelen en ervoor te zorgen dat uw oplossing maximaal beschikbaar is. Azure Load Balancer is zone-redundant en zorgt voor hoge beschikbaarheid in Beschikbaarheidszones.

• Virtuele machines zijn een van de verschillende typen on-demand, schaalbare computingresources die Azure biedt. Een virtuele Azure-machine (VM) biedt u de flexibiliteit van virtualisatie zonder dat u de fysieke hardware hoeft te kopen en te onderhouden waarop deze wordt uitgevoerd.

• Azure Kubernetes Service (AKS) is een volledig beheerde Kubernetes-service voor het implementeren en beheren van toepassingen in containers. AKS biedt serverloze Kubernetes, continue integratie/continue levering (CI/CD) en beveiliging en governance op bedrijfsniveau.

• Azure Virtual Desktop is een desktop- en app-virtualisatieservice die wordt uitgevoerd in de cloud om bureaubladen te bieden voor externe gebruikers.

• App Service Web Apps is een HTTP-service voor het hosten van webtoepassingen, REST API's en mobiele back-ends. U kunt zich in uw favoriete taal ontwikkelen en toepassingen eenvoudig uitvoeren en schalen in zowel Windows- als Linux-omgevingen.

• Azure Storage is maximaal beschikbaar, zeer schaalbaar, duurzaam en veilig opslag voor verschillende gegevensobjecten in de cloud, waaronder object, blob, bestand, schijf, wachtrij en tabelopslag. Alle gegevens die naar een Azure-opslagaccount worden geschreven, worden versleuteld door de service. Azure Storage biedt u gedetailleerde controle over wie toegang tot uw gegevens heeft.

• Azure SQL Database is een volledig beheerde PaaS-database-engine die de meeste databasebeheerfuncties verwerkt, zoals upgraden, patchen, back-ups en bewaking. Het biedt deze functies zonder tussenkomst van de gebruiker. SQL Database biedt een reeks ingebouwde beveiligings- en nalevingsfuncties om uw toepassing te helpen voldoen aan de beveiligings- en nalevingsvereisten.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Rudnei Uitspreken | Senior klanttechnicus

Andere Inzenders:

• Gary Moore | Programmeur/schrijver
• Andrew Nathan | Senior Customer Engineering Manager

Volgende stappen

Microsoft heeft meer documentatie die u kan helpen uw IT-omgeving te beveiligen en de volgende artikelen kunnen met name nuttig zijn:

• Beveiliging in het Microsoft Cloud Adoption Framework voor Azure. Het Cloud Adoption Framework biedt beveiligingsrichtlijnen voor uw cloudtraject door de processen, best practices, modellen en ervaring te verduidelijken.
• Microsoft Azure Well-Architected Framework. Het Azure Well-Architected Framework is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Het framework is gebaseerd op vijf pijlers: betrouwbaarheid, beveiliging, kostenoptimalisatie, operationele uitmuntendheid en prestatie-efficiëntie.
• Aanbevolen procedures voor Microsoft-beveiliging. Microsoft Security Best Practices (voorheen bekend als het Azure Security Compass of Microsoft Security Compass) is een verzameling aanbevolen procedures die duidelijke, bruikbare richtlijnen bieden voor beslissingen met betrekking tot beveiliging.
• Microsoft Cybersecurity Reference Architectures (MCRA). MCRA is een compilatie van verschillende Microsoft-beveiligingsreferentiearchitecturen.

In de volgende bronnen vindt u meer informatie over de services, technologieën en terminologie die in dit artikel worden vermeld:

• Wat is een openbare cloud, een privécloud en een hybride cloud?
• Overzicht van de Azure Security Benchmark (v3)
• Proactieve beveiliging omarmen met Zero Trust
• Microsoft 365-abonnementsgegevens
• Microsoft Defender XDR

Verwante resources

Zie de andere artikelen in deze reeks voor meer informatie over deze referentiearchitectuur:

• Deel 1: Azure-bewaking gebruiken om beveiligingsonderdelen te integreren
• Deel 2: Bedreigingen toewijzen aan uw IT-omgeving
• Deel 4: De tweede verdedigingslaag bouwen met Microsoft Defender XDR-beveiligingsservices
• Deel 5: Integratie tussen Azure en Microsoft Defender XDR-beveiligingsservices