End-to-end-beveiliging in Azure
Een van de beste redenen om Azure te gebruiken voor uw toepassingen en services is om te profiteren van de breed scala aan beveiligingshulpprogramma's en -mogelijkheden. Met deze hulpprogramma's en mogelijkheden kunt u veilige oplossingen maken op het beveiligde Azure-platform. Microsoft Azure biedt vertrouwelijkheid, integriteit en beschikbaarheid van klantgegevens, terwijl ook transparante verantwoordelijkheid mogelijk is.
In het volgende diagram en de volgende documentatie maakt u kennis met de beveiligingsservices in Azure. Deze beveiligingsservices helpen u te voldoen aan de beveiligingsbehoeften van uw bedrijf en uw gebruikers, apparaten, resources, gegevens en toepassingen in de cloud te beschermen.
Kaart van Microsoft-beveiligingsservices
De toewijzing van beveiligingsservices organiseert services op basis van de resources die ze beveiligen (kolom). In het diagram worden ook services gegroepeerd in de volgende categorieën (rij):
- Beveiligen en beveiligen: services waarmee u een gelaagde, diepgaande strategie kunt implementeren voor identiteit, hosts, netwerken en gegevens. Deze verzameling beveiligingsservices en -mogelijkheden biedt een manier om uw beveiligingspostuur in uw Azure-omgeving te begrijpen en te verbeteren.
- Bedreigingen detecteren: services die verdachte activiteiten identificeren en de bedreiging vergemakkelijken.
- Onderzoeken en reageren: services die logboekregistratiegegevens ophalen, zodat u een verdachte activiteit kunt beoordelen en erop kunt reageren.
Beveiligingscontroles en basislijnen
De Microsoft-cloudbeveiligingsbenchmark bevat een verzameling krachtige beveiligingsaanbeveling die u kunt gebruiken om de services die u gebruikt in Azure te beveiligen:
- Beveiligingscontroles: deze aanbevelingen zijn algemeen van toepassing op uw Azure-tenant en Azure-services. Elke aanbeveling identificeert een lijst met belanghebbenden die doorgaans betrokken zijn bij het plannen, goedkeuren of implementeren van de benchmark.
- Servicebasislijnen: deze passen de besturingselementen toe op afzonderlijke Azure-services om aanbevelingen te doen voor de beveiligingsconfiguratie van die service.
Beveiligen en beveiligen
| Service | Beschrijving |
|---|---|
| Microsoft Defender voor Cloud | Een geïntegreerd beveiligingsbeheersysteem voor infrastructuur dat de beveiligingsstatus van uw datacenters versterkt en geavanceerde bedreigingsbeveiliging biedt voor uw hybride workloads in de cloud, ongeacht of ze zich in Azure bevinden of niet, en on-premises. |
| Identiteits- en toegangsbeheer | |
| Microsoft Entra ID | De cloudservice voor identiteits- en toegangsbeheer van Microsoft. |
| Voorwaardelijke toegang is het hulpprogramma dat door Microsoft Entra ID wordt gebruikt om identiteitssignalen samen te brengen, beslissingen te nemen en organisatiebeleid af te dwingen. | |
| Domain Services is het hulpprogramma dat door Microsoft Entra ID wordt gebruikt om beheerde domeinservices te bieden, zoals domeindeelname, groepsbeleid, LIGHTWEIGHT Directory Access Protocol (LDAP) en Kerberos/NTLM-verificatie. | |
| Privileged Identity Management (PIM) is een service in Microsoft Entra ID waarmee u de toegang tot belangrijke resources in uw organisatie kunt beheren, beheren en bewaken. | |
| Meervoudige verificatie is het hulpprogramma dat door Microsoft Entra ID wordt gebruikt om de toegang tot gegevens en toepassingen te beschermen door een tweede vorm van verificatie te vereisen. | |
| Microsoft Entra ID Protection | Een hulpprogramma waarmee organisaties de detectie en herstel van identiteitsrisico's kunnen automatiseren, risico's kunnen onderzoeken met behulp van gegevens in de portal en risicodetectiegegevens kunnen exporteren naar hulpprogramma's van derden voor verdere analyse. |
| Infrastructuur en netwerk | |
| VPN Gateway | Een virtuele netwerkgateway die wordt gebruikt voor het verzenden van versleuteld verkeer tussen een virtueel Azure-netwerk en een on-premises locatie via het openbare internet en voor het verzenden van versleuteld verkeer tussen virtuele Azure-netwerken via het Microsoft-netwerk. |
| Azure DDoS-beveiliging | Biedt verbeterde DDoS-risicobeperkingsfuncties voor bescherming tegen DDoS-aanvallen. Het is automatisch afgestemd om uw specifieke Azure-resources in een virtueel netwerk te beveiligen. |
| Azure Front Door | Een wereldwijd, schaalbaar toegangspunt dat gebruikmaakt van het wereldwijde Edge-netwerk van Microsoft om snelle, veilige en breed schaalbare webtoepassingen te maken. |
| Azure Firewall | Een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die beveiliging tegen bedreigingen biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Azure Firewall wordt aangeboden in drie SKU's: Standard, Premium en Basic. |
| Azure Key Vault | Een beveiligd geheimenarchief voor tokens, wachtwoorden, certificaten, API-sleutels en andere geheimen. Key Vault kan ook worden gebruikt om de versleutelingssleutels te maken en te beheren die worden gebruikt om uw gegevens te versleutelen. |
| Beheerde HSM van Key Vault | Een volledig beheerde, maximaal beschikbare cloudservice die compatibel is met één tenant, waarmee u cryptografische sleutels voor uw cloudtoepassingen kunt beveiligen met behulp van met FIPS 140-2 Level 3 gevalideerde HSM's. |
| Azure Private Link | Hiermee hebt u toegang tot Azure PaaS-services (bijvoorbeeld Azure Storage en SQL Database) en door Azure gehoste services van klanten/partners via een privé-eindpunt in uw virtuele netwerk. |
| Azure Application Gateway | Een geavanceerde load balancer voor webverkeer waarmee u verkeer naar uw webtoepassingen kunt beheren. Application Gateway kan routeringsbeslissingen nemen op basis van extra kenmerken van een HTTP-aanvraag, bijvoorbeeld URI-pad of hostheaders. |
| Azure Service Bus | Een volledig beheerde enterprise-berichtenbroker met berichtenwachtrijen en onderwerpen over publiceren/abonneren. Service Bus wordt gebruikt om toepassingen en services van elkaar los te koppelen. |
| Web Application Firewall | Biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. WAF kan worden geïmplementeerd met Azure-toepassing Gateway en Azure Front Door. |
| Azure Policy | Helpt bij het afdwingen van organisatiestandaarden en het beoordelen van naleving op schaal. Via het compliancedashboard biedt het een geaggregeerde weergave om de algehele status van de omgeving te evalueren, met de mogelijkheid om in te zoomen op de granulariteit per resource, per beleid. Hiermee kunt u ook zorgen voor compliance van uw resources via bulkherstel voor bestaande resources en automatisch herstel voor nieuwe resources. |
| Gegevens en toepassing | |
| Azure Backup | Biedt eenvoudige, veilige en rendabele oplossingen voor het maken van back-ups van uw gegevens en het herstellen van de Microsoft Azure-cloud. |
| Azure Storage Service Encryption | Hiermee worden gegevens automatisch versleuteld voordat deze worden opgeslagen en worden de gegevens automatisch ontsleuteld wanneer u deze ophaalt. |
| Azure Information Protection | Een cloudoplossing waarmee organisaties documenten en e-mailberichten kunnen detecteren, classificeren en beveiligen door labels toe te passen op inhoud. |
| API Management | Een manier om consistente en moderne API-gateways te maken voor bestaande back-endservices. |
| Azure Confidential Computing | Hiermee kunt u uw gevoelige gegevens isoleren terwijl deze worden verwerkt in de cloud. |
| Azure DevOps | Uw ontwikkelingsprojecten profiteren van meerdere lagen van beveiligings- en governancetechnologieën, operationele procedures en nalevingsbeleid wanneer ze zijn opgeslagen in Azure DevOps. |
| Klanttoegang | |
| Microsoft Entra Externe ID | Met externe identiteiten in Microsoft Entra ID kunt u personen buiten uw organisatie toegang verlenen tot uw apps en resources, terwijl ze zich aanmelden met de identiteit van hun voorkeur. |
| U kunt uw apps en resources delen met externe gebruikers via Microsoft Entra B2B-samenwerking . | |
| Met Azure AD B2C kunt u miljoenen gebruikers en miljarden verificaties per dag ondersteunen, bedreigingen bewaken en automatisch afhandelen, zoals denial-of-service-, wachtwoordspray- of beveiligingsaanvallen. |
Bedreigingen detecteren
| Service | Beschrijving |
|---|---|
| Microsoft Defender voor Cloud | Biedt geavanceerde, intelligente beveiliging van uw Azure- en hybride resources en workloads. Het dashboard voor workloadbeveiliging in Defender voor Cloud biedt zichtbaarheid en controle over de beveiligingsfuncties voor cloudworkloads voor uw omgeving. |
| Microsoft Sentinel | Een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen. |
| Identiteits- en toegangsbeheer | |
| Microsoft Defender XDR | Een geïntegreerde enterprise defense suite vóór en na inbreuk die systeemeigen detectie, preventie, onderzoek en reactie coördineert voor eindpunten, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen. |
| Microsoft Defender voor Eindpunt is een platform voor eindpuntbeveiliging voor ondernemingen dat is ontworpen om bedrijfsnetwerken te helpen geavanceerde bedreigingen te voorkomen, te detecteren, te onderzoeken en erop te reageren. | |
| Microsoft Defender for Identity is een cloudbeveiligingsoplossing die gebruikmaakt van uw on-premises Active Directory-signalen voor het identificeren, detecteren en onderzoeken van geavanceerde bedreigingen, gecompromitteerde identiteiten en schadelijke insideracties die zijn gericht op uw organisatie. | |
| Microsoft Entra ID Protection | Hiermee worden twee typen automatische e-mailberichten met meldingen verzonden om u te helpen bij het beheren van gebruikersrisico- en risicodetecties: gebruikers met risico gedetecteerde e-mail en Wekelijkse samenvattings-e-mail. |
| Infrastructuur en netwerk | |
| Azure Firewall | Azure Firewall Premium biedt op handtekeningen gebaseerde inbraakdetectie en -preventiesysteem (IDPS) om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen, zoals bytereeksen in netwerkverkeer, of bekende schadelijke instructiesreeksen die worden gebruikt door malware. |
| Microsoft Defender voor IoT | Een geïntegreerde beveiligingsoplossing voor het identificeren van IoT-/OT-apparaten, beveiligingsproblemen en bedreigingen. Hiermee kunt u uw hele IoT/OT-omgeving beveiligen, ongeacht of u bestaande IoT-/OT-apparaten moet beveiligen of beveiliging moet inbouwen in nieuwe IoT-innovaties. |
| Azure Network Watcher | Biedt hulpprogramma's voor het bewaken, diagnosticeren, weergeven van metrische gegevens en het in- of uitschakelen van logboeken voor resources in een virtueel Azure-netwerk. Network Watcher is ontworpen voor het bewaken en herstellen van de netwerkstatus van IaaS-producten, waaronder virtuele machines, virtuele netwerken, toepassingsgateways en load balancers. |
| Azure Policy | Helpt bij het afdwingen van organisatiestandaarden en het beoordelen van naleving op schaal. Azure Policy maakt gebruik van activiteitenlogboeken, die automatisch worden ingeschakeld om gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen op te nemen. |
| Gegevens en toepassing | |
| Microsoft Defender voor containers | Een cloudeigen oplossing die wordt gebruikt om uw containers te beveiligen, zodat u de beveiliging van uw clusters, containers en hun toepassingen kunt verbeteren, bewaken en onderhouden. |
| Microsoft Defender voor Cloud-apps | Een CLOUD Access Security Broker (CASB) die in meerdere clouds werkt. Het biedt uitgebreide zichtbaarheid, controle over gegevensreizen en geavanceerde analyses om cyberdreigingen in al uw cloudservices te identificeren en te bestrijden. |
Onderzoeken en reageren
| Service | Beschrijving |
|---|---|
| Microsoft Sentinel | Krachtige zoek- en queryhulpprogramma's voor het opsporen van beveiligingsrisico's in de gegevensbronnen van uw organisatie. |
| Logboeken en metrische gegevens van Azure Monitor | Biedt een uitgebreide oplossing voor het verzamelen, analyseren en uitvoeren van telemetrie vanuit uw cloud- en on-premises omgevingen. Azure Monitor verzamelt en verzamelt gegevens uit verschillende bronnen in een gemeenschappelijk gegevensplatform waar deze kan worden gebruikt voor analyse, visualisatie en waarschuwingen. |
| Identiteits- en toegangsbeheer | |
| Azure AD-rapporten en -bewaking | Microsoft Entra-rapporten bieden een uitgebreide weergave van activiteiten in uw omgeving. |
| Met Microsoft Entra-bewaking kunt u uw Microsoft Entra-activiteitenlogboeken routeren naar verschillende eindpunten. | |
| Controlegeschiedenis van Microsoft Entra PIM | Toont alle roltoewijzingen en activeringen binnen de afgelopen 30 dagen voor alle bevoorrechte rollen. |
| Gegevens en toepassing | |
| Microsoft Defender voor Cloud-apps | Biedt hulpprogramma's om meer inzicht te krijgen in wat er in uw cloudomgeving gebeurt. |
Volgende stappen
Inzicht in uw gedeelde verantwoordelijkheid in de cloud.
Inzicht in de isolatiekeuzen in de Azure-cloud tegen zowel kwaadwillende als niet-kwaadwillende gebruikers.