Delen via


Best practices voor beveiliging voor identiteitsbeheer en toegangsbeheer in Azure

In dit artikel bespreken we een verzameling best practices voor azure-identiteitsbeheer en -toegangsbeheer. Deze best practices zijn afgeleid van onze ervaring met Microsoft Entra ID en de ervaringen van klanten zoals uzelf.

Voor elke best practice leggen we het volgende uit:

  • Wat de best practice is?
  • Waarom u deze best practice wilt inschakelen
  • Wat kan het resultaat zijn als u de best practice niet inschakelt
  • Mogelijke alternatieven voor de best practice
  • Hoe u de best practice kunt inschakelen

Dit artikel over best practices voor beveiliging van Azure-identiteitsbeheer en -toegangsbeheer is gebaseerd op een consensusadvies en de mogelijkheden en functiesets van Het Azure-platform, zoals deze bestaan op het moment dat dit artikel is geschreven.

De bedoeling bij het schrijven van dit artikel is om een algemene roadmap te bieden voor een robuuster beveiligingspostuur na de implementatie, geleid door onze controlelijst '5 stappen voor het beveiligen van uw identiteitsinfrastructuur', die u begeleidt bij een aantal van onze kernfuncties en -services.

Meningen en technologieën veranderen in de loop van de tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.

Best practices voor beveiliging van Azure-identiteitsbeheer en -toegangsbeheer die in dit artikel worden besproken, zijn:

  • Identiteit behandelen als de primaire beveiligingsperimeter
  • Identiteitsbeheer centraliseren
  • Verbonden tenants beheren
  • Eenmalige aanmelding inschakelen
  • Voorwaardelijke toegang inschakelen
  • Plannen voor routinebeveiligingsverbeteringen
  • Wachtwoordbeheer inschakelen
  • Meervoudige verificatie afdwingen voor gebruikers
  • Op rollen gebaseerd toegangsbeheer gebruiken
  • Lagere blootstelling aan bevoegde accounts
  • Locaties beheren waar resources zich bevinden
  • Microsoft Entra-id gebruiken voor opslagverificatie

Identiteit behandelen als de primaire beveiligingsperimeter

Velen beschouwen identiteit als de primaire perimeter voor beveiliging. Dit is een verschuiving van de traditionele focus op netwerkbeveiliging. Netwerkperimeters blijven poreuzer en die perimeterbeveiliging kan niet zo effectief zijn als vóór de explosie van BYOD-apparaten en cloudtoepassingen.

Microsoft Entra ID is de Azure-oplossing voor identiteits- en toegangsbeheer. Microsoft Entra ID is een multitenant, cloudgebaseerde directory- en identiteitsbeheerservice van Microsoft. Het combineert belangrijke directoryservices, toegangsbeheer voor toepassingen en identiteitsbeveiliging in één oplossing.

De volgende secties bevatten aanbevolen procedures voor identiteits- en toegangsbeveiliging met behulp van Microsoft Entra ID.

Best practice: Beveiligingscontroles en -detecties centreren rond gebruikers- en service-identiteiten. Details: Gebruik Microsoft Entra-id om besturingselementen en identiteiten samen te stellen.

Identiteitsbeheer centraliseren

In een scenario voor hybride identiteit wordt u aangeraden uw on-premises en cloudmappen te integreren. Dankzij integratie kan uw IT-team accounts vanaf één locatie beheren, ongeacht waar een account wordt gemaakt. Integratie helpt uw gebruikers ook productiever te zijn door een gemeenschappelijke identiteit te bieden voor toegang tot zowel cloudresources als on-premises resources.

Best practice: stel één Exemplaar van Microsoft Entra in. Consistentie en één gezaghebbende bron vergroten de duidelijkheid en verminderen beveiligingsrisico's van menselijke fouten en configuratiecomplexiteit.
Detail: Wijs één Microsoft Entra-directory aan als gezaghebbende bron voor bedrijfs- en organisatieaccounts.

Best practice: Integreer uw on-premises mappen met Microsoft Entra ID.
Details: Gebruik Microsoft Entra Verbinding maken om uw on-premises adreslijst te synchroniseren met uw clouddirectory.

Notitie

Er zijn factoren die van invloed zijn op de prestaties van Microsoft Entra Verbinding maken. Zorg ervoor dat Microsoft Entra Verbinding maken voldoende capaciteit heeft om te voorkomen dat systemen minder goed presteren dan beveiliging en productiviteit. Grote of complexe organisaties (organisaties die meer dan 100.000 objecten inrichten) moeten de aanbevelingen volgen om hun Microsoft Entra Verbinding maken implementatie te optimaliseren.

Best practice: synchroniseer geen accounts met Microsoft Entra ID met hoge bevoegdheden in uw bestaande Active Directory-exemplaar.
Detail: Wijzig niet de standaardconfiguratie van Microsoft Entra Verbinding maken waarmee deze accounts worden gefilterd. Met deze configuratie wordt het risico beperkt dat kwaadwillende gebruikers van cloud naar on-premises assets draaien (waardoor een groot incident kan worden gemaakt).

Best practice: Wachtwoord-hashsynchronisatie inschakelen.
Detail: Wachtwoord-hashsynchronisatie is een functie die wordt gebruikt voor het synchroniseren van wachtwoordhashes van een on-premises Active Directory-exemplaar naar een Microsoft Entra-exemplaar in de cloud. Deze synchronisatie helpt u te beschermen tegen gelekte referenties die opnieuw worden afgespeeld tegen eerdere aanvallen.

Zelfs als u besluit federatie te gebruiken met Active Directory Federation Services (AD FS) of andere id-providers, kunt u desgewenst wachtwoord-hashsynchronisatie instellen als back-up als uw on-premises servers mislukken of tijdelijk niet beschikbaar zijn. Met deze synchronisatie kunnen gebruikers zich aanmelden bij de service met hetzelfde wachtwoord dat ze gebruiken om zich aan te melden bij hun on-premises Active Directory-exemplaar. Hiermee kan Identity Protection gecompromitteerde referenties detecteren door gesynchroniseerde wachtwoordhashes te vergelijken met wachtwoorden die bekend zijn als een gebruiker hetzelfde e-mailadres en wachtwoord heeft gebruikt voor andere services die niet zijn verbonden met Microsoft Entra-id.

Zie Wachtwoord-hashsynchronisatie implementeren met Microsoft Entra Verbinding maken Sync voor meer informatie.

Best practice: Gebruik Microsoft Entra ID voor verificatie voor het ontwikkelen van nieuwe toepassingen.
Details: Gebruik de juiste mogelijkheden om verificatie te ondersteunen:

  • Microsoft Entra-id voor werknemers
  • Microsoft Entra B2B voor gastgebruikers en externe partners
  • Azure AD B2C om te bepalen hoe klanten zich registreren, aanmelden en hun profielen beheren wanneer ze uw toepassingen gebruiken

Organisaties die hun on-premises identiteit niet integreren met hun cloudidentiteit, kunnen meer overhead hebben bij het beheren van accounts. Deze overhead verhoogt de kans op fouten en beveiligingsschendingen.

Notitie

U moet kiezen in welke directory's kritieke accounts zich bevinden en of het gebruikte beheerwerkstation wordt beheerd door nieuwe cloudservices of bestaande processen. Het gebruik van bestaande beheer- en identiteitsinrichtingsprocessen kan enkele risico's verminderen, maar kan ook het risico vormen dat een aanvaller een on-premises account in gevaar heeft en naar de cloud draait. U kunt een andere strategie gebruiken voor verschillende rollen (bijvoorbeeld IT-beheerders versus business unit-beheerders). U hebt twee opties. De eerste optie is het maken van Microsoft Entra-accounts die niet worden gesynchroniseerd met uw on-premises Active Directory-exemplaar. Voeg uw beheerwerkstation toe aan Microsoft Entra-id, die u kunt beheren en patchen met Behulp van Microsoft Intune. De tweede optie is het gebruik van bestaande beheerdersaccounts door te synchroniseren met uw on-premises Active Directory-exemplaar. Gebruik bestaande werkstations in uw Active Directory-domein voor beheer en beveiliging.

Verbonden tenants beheren

Uw beveiligingsorganisatie heeft zichtbaarheid nodig om risico's te beoordelen en te bepalen of het beleid van uw organisatie, en eventuele wettelijke vereisten, worden gevolgd. Zorg ervoor dat uw beveiligingsorganisatie inzicht heeft in alle abonnementen die zijn verbonden met uw productieomgeving en -netwerk (via Azure ExpressRoute of site-naar-site-VPN). Een globale Beheer istrator in Microsoft Entra ID kan de toegang tot de rol Gebruikerstoegang Beheer istrator verhogen en alle abonnementen en beheerde groepen zien die zijn verbonden met uw omgeving.

Zie de toegang uitbreiden om alle Azure-abonnementen en -beheergroepen te beheren om ervoor te zorgen dat u en uw beveiligingsgroep alle abonnementen of beheergroepen kunnen bekijken die zijn verbonden met uw omgeving. U moet deze verhoogde toegang verwijderen nadat u risico's hebt beoordeeld.

Eenmalige aanmelding inschakelen

In een cloud-eerste wereld van mobiele apparaten wilt u eenmalige aanmelding (SSO) inschakelen voor apparaten, apps en services vanaf elke locatie, zodat uw gebruikers overal en altijd productief kunnen zijn. Wanneer u meerdere identiteitsoplossingen hebt om te beheren, wordt dit een beheerprobleem, niet alleen voor IT- maar ook voor gebruikers die meerdere wachtwoorden moeten onthouden.

Door dezelfde identiteitsoplossing te gebruiken voor al uw apps en resources, kunt u eenmalige aanmelding bereiken. En uw gebruikers kunnen dezelfde set referenties gebruiken om zich aan te melden en toegang te krijgen tot de resources die ze nodig hebben, ongeacht of de resources zich on-premises of in de cloud bevinden.

Best practice: Eenmalige aanmelding inschakelen.
Detail: Microsoft Entra ID breidt on-premises Active Directory uit naar de cloud. Gebruikers kunnen hun primaire werk- of schoolaccount gebruiken voor hun apparaten, bedrijfsbronnen en alle web- en SaaS-toepassingen die ze nodig hebben om hun taken uit te voeren. Gebruikers hoeven niet meerdere sets gebruikersnamen en wachtwoorden te onthouden en hun toepassingstoegang kan automatisch worden ingericht (of de inrichting ervan ongedaan maken) op basis van hun groepslidmaatschappen van hun organisatie en hun status als werknemer. En u kunt deze toegang beheren voor galerie-apps of voor uw eigen on-premises apps die u hebt ontwikkeld en gepubliceerd via de Microsoft Entra-toepassingsproxy.

Gebruik eenmalige aanmelding om gebruikers toegang te geven tot hun SaaS-toepassingen op basis van hun werk- of schoolaccount in Microsoft Entra-id. Dit is niet alleen van toepassing op Microsoft SaaS-apps, maar ook op andere apps, zoals Google Apps en Salesforce. U kunt uw toepassing configureren voor het gebruik van Microsoft Entra-id als een op SAML gebaseerde id-provider . Als beveiligingscontrole geeft Microsoft Entra-id geen token uit waarmee gebruikers zich kunnen aanmelden bij de toepassing, tenzij ze toegang hebben gekregen via Microsoft Entra-id. U kunt rechtstreeks toegang verlenen of via een groep waarvan gebruikers lid zijn.

Organisaties die geen gemeenschappelijke identiteit maken om eenmalige aanmelding tot stand te brengen voor hun gebruikers en toepassingen, worden meer blootgesteld aan scenario's waarin gebruikers meerdere wachtwoorden hebben. Deze scenario's vergroten de kans dat gebruikers wachtwoorden hergebruiken of zwakke wachtwoorden gebruiken.

Voorwaardelijke toegang inschakelen

Gebruikers hebben overal toegang tot de resources van uw organisatie met behulp van verschillende apparaten en apps. Als IT-beheerder wilt u ervoor zorgen dat deze apparaten voldoen aan uw normen voor beveiliging en naleving. U hoeft alleen maar te focussen op wie toegang heeft tot een resource, is niet meer voldoende.

Als u de beveiliging en productiviteit wilt verdelen, moet u nadenken over hoe een resource wordt geopend voordat u een beslissing over toegangsbeheer kunt nemen. Met voorwaardelijke toegang van Microsoft Entra kunt u aan deze vereiste voldoen. Met voorwaardelijke toegang kunt u geautomatiseerde beslissingen voor toegangsbeheer nemen op basis van voorwaarden voor toegang tot uw cloud-apps.

Best practice: de toegang tot bedrijfsbronnen beheren en beheren.
Details: Algemene beleidsregels voor voorwaardelijke toegang van Microsoft Entra configureren op basis van een groep, locatie en toepassingsgevoeligheid voor SaaS-apps en met Microsoft Entra ID verbonden apps.

Best practice: verouderde verificatieprotocollen blokkeren.
Detail: Aanvallers misbruiken zwakke plekken in oudere protocollen elke dag, met name voor aanvallen met wachtwoordspray. Configureer voorwaardelijke toegang om verouderde protocollen te blokkeren.

Plannen voor routinebeveiligingsverbeteringen

Beveiliging ontwikkelt zich altijd en het is belangrijk om in te bouwen in uw framework voor cloud- en identiteitsbeheer om regelmatig groei te tonen en nieuwe manieren te ontdekken om uw omgeving te beveiligen.

Identity Secure Score is een set aanbevolen beveiligingscontroles die Microsoft publiceert die u een numerieke score biedt om uw beveiligingspostuur objectief te meten en toekomstige beveiligingsverbeteringen te plannen. U kunt uw score ook bekijken in vergelijking met die in andere branches, evenals uw eigen trends in de loop van de tijd.

Best practice: Plan routine beveiligingsbeoordelingen en verbeteringen op basis van best practices in uw branche.
Details: Gebruik de functie Identity Secure Score om uw verbeteringen in de loop van de tijd te rangschikken.

Wachtwoordbeheer inschakelen

Als u meerdere tenants hebt of als u wilt dat gebruikers hun eigen wachtwoorden opnieuw kunnen instellen, is het belangrijk dat u het juiste beveiligingsbeleid gebruikt om misbruik te voorkomen.

Best practice: selfservice voor wachtwoordherstel (SSPR) instellen voor uw gebruikers.
Details: Gebruik de selfservicefunctie voor wachtwoordherstel van Microsoft Entra ID.

Best practice: Controleren hoe of SSPR echt wordt gebruikt.
Details: Bewaak de gebruikers die zich registreren met behulp van het microsoft Entra ID-rapport Registratieactiviteit voor wachtwoordherstel. Met de rapportagefunctie die Microsoft Entra ID biedt, kunt u vragen beantwoorden met behulp van vooraf samengestelde rapporten. Als u een juiste licentie hebt, kunt u ook aangepaste query's maken.

Best practice: Breid het wachtwoordbeleid in de cloud uit naar uw on-premises infrastructuur.
Details: Verbeter het wachtwoordbeleid in uw organisatie door dezelfde controles uit te voeren op on-premises wachtwoordwijzigingen als bij wijzigingen in het cloudwachtwoord. Installeer Microsoft Entra-wachtwoordbeveiliging voor Windows Server Active Directory-agents on-premises om verboden wachtwoordlijsten uit te breiden naar uw bestaande infrastructuur. Gebruikers en beheerders die on-premises wachtwoorden wijzigen, instellen of opnieuw instellen, moeten voldoen aan hetzelfde wachtwoordbeleid als alleen-cloudgebruikers.

Meervoudige verificatie afdwingen voor gebruikers

U wordt aangeraden verificatie in twee stappen te vereisen voor al uw gebruikers. Dit omvat beheerders en anderen in uw organisatie die aanzienlijke gevolgen kunnen hebben als hun account is aangetast (bijvoorbeeld financiële medewerkers).

Er zijn meerdere opties voor het vereisen van verificatie in twee stappen. De beste optie voor u is afhankelijk van uw doelen, de Microsoft Entra-editie die u uitvoert en uw licentieprogramma. Zie Verificatie in twee stappen vereisen voor een gebruiker om de beste optie voor u te bepalen. Zie de pagina's met meervoudige verificatie voor Microsoft Entra en Microsoft Entra voor meer informatie over licenties en prijzen.

Hieronder volgen opties en voordelen voor het inschakelen van verificatie in twee stappen:

Optie 1: MFA inschakelen voor alle gebruikers en aanmeldingsmethoden met microsoft Entra-beveiligingsstandaarden
Voordeel: Met deze optie kunt u eenvoudig en snel MFA afdwingen voor alle gebruikers in uw omgeving met een strikt beleid om:

  • Beheeraccounts en beheeraanmeldingsmechanismen uitdagen
  • MFA-uitdaging vereisen via Microsoft Authenticator voor alle gebruikers
  • Verouderde verificatieprotocollen beperken.

Deze methode is beschikbaar voor alle licentielagen, maar kan niet worden gecombineerd met bestaand beleid voor voorwaardelijke toegang. Meer informatie vindt u in Microsoft Entra Security Defaults

Optie 2: Meervoudige verificatie inschakelen door de gebruikersstatus te wijzigen.
Voordeel: dit is de traditionele methode voor het vereisen van verificatie in twee stappen. Het werkt met zowel Microsoft Entra-meervoudige verificatie in de cloud als de Azure Multi-Factor Authentication-server. Als u deze methode gebruikt, moeten gebruikers verificatie in twee stappen uitvoeren telkens wanneer ze zich aanmelden en het beleid voor voorwaardelijke toegang overschrijven.

Zie welke versie van Microsoft Entra-meervoudige verificatie geschikt is voor mijn organisatie om te bepalen waar meervoudige verificatie moet worden ingeschakeld.

Optie 3: Meervoudige verificatie met beleid voor voorwaardelijke toegang inschakelen.
Voordeel: Met deze optie kunt u vragen om verificatie in twee stappen onder specifieke voorwaarden met behulp van voorwaardelijke toegang. Specifieke voorwaarden kunnen gebruikersaanmelding zijn vanaf verschillende locaties, niet-vertrouwde apparaten of toepassingen die u riskant acht. Als u specifieke voorwaarden definieert waarbij verificatie in twee stappen is vereist, kunt u constant vragen voor uw gebruikers voorkomen. Dit kan een onaangename gebruikerservaring zijn.

Dit is de meest flexibele manier om verificatie in twee stappen mogelijk te maken voor uw gebruikers. Het inschakelen van beleid voor voorwaardelijke toegang werkt alleen voor Meervoudige Verificatie van Microsoft Entra in de cloud en is een premium-functie van Microsoft Entra-id. Meer informatie over deze methode vindt u in Microsoft Entra-verificatie in de cloud implementeren.

Optie 4: Meervoudige verificatie met beleid voor voorwaardelijke toegang inschakelen door beleid op basis van risico's voor voorwaardelijke toegang te evalueren.
Voordeel: Met deze optie kunt u het volgende doen:

  • Detecteer potentiële beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie.
  • Configureer geautomatiseerde reacties op gedetecteerde verdachte acties die betrekking hebben op de identiteiten van uw organisatie.
  • Onderzoek verdachte incidenten en neem de juiste actie om ze op te lossen.

Deze methode maakt gebruik van de risicoanalyse van Microsoft Entra ID Protection om te bepalen of verificatie in twee stappen is vereist op basis van gebruikers- en aanmeldingsrisico's voor alle cloudtoepassingen. Voor deze methode zijn Microsoft Entra ID P2-licenties vereist. Meer informatie over deze methode vindt u in Microsoft Entra ID Protection.

Notitie

Optie 2, waarbij meervoudige verificatie wordt ingeschakeld door de gebruikersstatus te wijzigen, wordt het beleid voor voorwaardelijke toegang overschreven. Omdat opties 3 en 4 beleidsregels voor voorwaardelijke toegang gebruiken, kunt u er geen optie 2 mee gebruiken.

Organisaties die geen extra beveiligingslagen voor identiteiten toevoegen, zoals verificatie in twee stappen, zijn vatbaarder voor diefstal van referenties. Een aanval op diefstal van referenties kan leiden tot inbreuk op gegevens.

Op rollen gebaseerd toegangsbeheer gebruiken

Toegangsbeheer voor cloudresources is essentieel voor elke organisatie die gebruikmaakt van de cloud. Met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kunt u beheren wie toegang heeft tot Azure-resources, wat ze met deze resources kunnen doen en tot welke gebieden ze toegang hebben.

Het toewijzen van groepen of afzonderlijke rollen die verantwoordelijk zijn voor specifieke functies in Azure helpt verwarring te voorkomen die kan leiden tot menselijke en automatiseringsfouten die beveiligingsrisico's veroorzaken. Het beperken van de toegang op basis van de noodzaak om te weten en beveiligingsprincipes met minimale bevoegdheden is essentieel voor organisaties die beveiligingsbeleid willen afdwingen voor gegevenstoegang.

Uw beveiligingsteam heeft inzicht in uw Azure-resources nodig om risico's te kunnen beoordelen en oplossen. Als het beveiligingsteam operationele verantwoordelijkheden heeft, hebben ze aanvullende machtigingen nodig om hun taken uit te voeren.

U kunt Azure RBAC gebruiken om machtigingen toe te wijzen aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Het bereik van een roltoewijzing kan een abonnement, een resourcegroep of een enkele resource zijn.

Best practice: Scheid taken binnen uw team en verleent alleen de hoeveelheid toegang tot gebruikers die ze nodig hebben om hun taken uit te voeren. In plaats van iedereen onbeperkte machtigingen te geven in uw Azure-abonnement of -resources, staat u alleen bepaalde acties toe op een bepaald bereik.
Details: Ingebouwde Azure-rollen in Azure gebruiken om bevoegdheden toe te wijzen aan gebruikers.

Notitie

Specifieke machtigingen zorgen voor onnodige complexiteit en verwarring, die zich opstapelen in een 'verouderde' configuratie die moeilijk te verhelpen is zonder bang te zijn om iets te breken. Vermijd resourcespecifieke bevoegdheden. Gebruik in plaats daarvan beheergroepen voor bedrijfsbrede machtigingen en resourcegroepen voor machtigingen binnen abonnementen. Vermijd gebruikersspecifieke machtigingen. Wijs in plaats daarvan toegang toe aan groepen in Microsoft Entra-id.

Best practice: beveiligingsteams toegang verlenen tot Azure-verantwoordelijkheden om Azure-resources te bekijken, zodat ze risico's kunnen beoordelen en oplossen.
Detail: Beveiligingsteams de rol Azure RBAC-beveiligingslezer verlenen. U kunt de hoofdbeheergroep of de segmentbeheergroep gebruiken, afhankelijk van het bereik van verantwoordelijkheden:

  • Hoofdbeheergroep voor teams die verantwoordelijk zijn voor alle ondernemingsresources
  • Segmentbeheergroep voor teams met een beperkt bereik (meestal vanwege wettelijke of andere organisatiegrenzen)

Best practice: De juiste machtigingen verlenen aan beveiligingsteams die directe operationele verantwoordelijkheden hebben.
Details: Bekijk de ingebouwde Azure-rollen voor de juiste roltoewijzing. Als de ingebouwde rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u aangepaste Azure-rollen maken. Net als bij ingebouwde rollen kunt u aangepaste rollen toewijzen aan gebruikers, groepen en service-principals op abonnements-, resourcegroep- en resourcebereiken.

Aanbevolen procedures: ververleent Microsoft Defender voor Cloud toegang tot beveiligingsrollen die dit nodig hebben. Defender voor Cloud stelt beveiligingsteams in staat om snel risico's te identificeren en op te lossen.
Detail: Voeg beveiligingsteams met deze behoeften toe aan de azure RBAC-beveiligingsrol Beheer, zodat ze beveiligingsbeleid kunnen bekijken, beveiligingsstatussen kunnen bekijken, beveiligingsbeleid kunnen bewerken, waarschuwingen en aanbevelingen kunnen bekijken en waarschuwingen en aanbevelingen kunnen negeren. U kunt dit doen met behulp van de hoofdbeheergroep of de segmentbeheergroep, afhankelijk van het bereik van verantwoordelijkheden.

Organisaties die geen toegangsbeheer voor gegevens afdwingen met behulp van mogelijkheden zoals Azure RBAC geven mogelijk meer bevoegdheden dan nodig is voor hun gebruikers. Dit kan leiden tot inbreuk op gegevens doordat gebruikers toegang hebben tot typen gegevens (bijvoorbeeld een grote bedrijfsimpact) die ze niet mogen hebben.

Lagere blootstelling aan bevoegde accounts

Het beveiligen van bevoegde toegang is een kritieke eerste stap bij het beveiligen van bedrijfsactiva. Het minimaliseren van het aantal personen dat toegang heeft tot beveiligde informatie of resources vermindert de kans dat een kwaadwillende gebruiker toegang krijgt of een geautoriseerde gebruiker per ongeluk een gevoelige resource beïnvloedt.

Bevoegde accounts zijn accounts die IT-systemen beheren en beheren. Cyberaanvallen richten zich op deze accounts om toegang te krijgen tot de gegevens en systemen van een organisatie. Als u bevoegde toegang wilt beveiligen, moet u de accounts en systemen isoleren van het risico dat ze worden blootgesteld aan een kwaadwillende gebruiker.

We raden u aan een roadmap te ontwikkelen en te volgen om bevoegde toegang te beveiligen tegen cyberaanvallen. Voor informatie over het maken van een gedetailleerd roadmap voor het beveiligen van identiteiten en toegang die worden beheerd of gerapporteerd in Microsoft Entra ID, Microsoft Azure, Microsoft 365 en andere cloudservices, raadpleegt u Het beveiligen van bevoegde toegang voor hybride en cloudimplementaties in Microsoft Entra-id.

Hieronder vindt u een overzicht van de aanbevolen procedures voor het beveiligen van bevoegde toegang voor hybride en cloudimplementaties in Microsoft Entra-id:

Best practice: de toegang tot bevoegde accounts beheren, beheren en bewaken.
Detail: Schakel Microsoft Entra Privileged Identity Management in. Nadat u Privileged Identity Management hebt ingeschakeld, ontvangt u e-mailberichten met meldingen voor gewijzigde bevoorrechte toegangsrollen. Deze meldingen bieden vroegtijdige waarschuwingen wanneer extra gebruikers worden toegevoegd aan rollen met hoge bevoegdheden in uw directory.

Best practice: Zorg ervoor dat alle kritieke beheerdersaccounts Microsoft Entra-accounts worden beheerd. Details: Verwijder consumentenaccounts uit kritieke beheerdersrollen (bijvoorbeeld Microsoft-accounts zoals hotmail.com, live.com en outlook.com).

Best practice: Zorg ervoor dat alle kritieke beheerdersrollen een afzonderlijk account hebben voor beheertaken om phishing en andere aanvallen te voorkomen om beheerdersbevoegdheden in gevaar te brengen.
Detail: Maak een afzonderlijk beheerdersaccount waaraan de bevoegdheden zijn toegewezen die nodig zijn voor het uitvoeren van de beheertaken. Blokkeer het gebruik van deze beheerdersaccounts voor dagelijkse productiviteitsprogramma's, zoals e-mail van Microsoft 365 of willekeurig surfen op internet.

Best practice: accounts identificeren en categoriseren die zich in rollen met hoge bevoegdheden bevinden.
Details: Nadat u Microsoft Entra Privileged Identity Management hebt ingeschakeld, bekijkt u de gebruikers die zich in de globale beheerder, beheerder van bevoorrechte rollen en andere rollen met hoge bevoegdheden bevinden. Verwijder alle accounts die niet meer nodig zijn in deze rollen en categoriseer de resterende accounts die zijn toegewezen aan beheerdersrollen:

  • Afzonderlijk toegewezen aan gebruikers met beheerdersrechten en kan worden gebruikt voor niet-administratieve doeleinden (bijvoorbeeld persoonlijke e-mail)
  • Afzonderlijk toegewezen aan gebruikers met beheerdersrechten en alleen aangewezen voor administratieve doeleinden
  • Gedeeld door meerdere gebruikers
  • Voor scenario's voor noodtoegang
  • Voor geautomatiseerde scripts
  • Voor externe gebruikers

Best practice: Implementeer 'Just-In-Time'-toegang (JIT) om de blootstellingstijd van bevoegdheden verder te verlagen en uw inzicht te vergroten in het gebruik van bevoegde accounts.
Details: Met Microsoft Entra Privileged Identity Management kunt u:

  • Beperk gebruikers tot alleen hun bevoegdheden JIT.
  • Wijs rollen toe voor een verkorte duur met het vertrouwen dat de bevoegdheden automatisch worden ingetrokken.

Best practice: Definieer ten minste twee accounts voor toegang tot noodgevallen.
Details: Accounts voor noodtoegang helpen organisaties bevoorrechte toegang te beperken in een bestaande Microsoft Entra-omgeving. Deze accounts zijn zeer bevoegd en worden niet toegewezen aan specifieke personen. Accounts voor toegang tot noodgevallen zijn beperkt tot scenario's waarin normale beheerdersaccounts niet kunnen worden gebruikt. Organisaties moeten het gebruik van het account voor noodgevallen beperken tot alleen de benodigde tijd.

Evalueer de accounts die zijn toegewezen of in aanmerking komen voor de globale beheerdersrol. Als u geen cloudaccounts ziet met behulp van het *.onmicrosoft.com domein (bedoeld voor toegang tot noodgevallen), maakt u deze. Zie Beheeraccounts voor noodtoegang beheren in Microsoft Entra-id voor meer informatie.

Best practice: Zorg voor een 'breakglas'-proces in geval van nood.
Detail: Volg de stappen in Het beveiligen van bevoegde toegang voor hybride en cloudimplementaties in Microsoft Entra ID.

Best practice: Vereisen dat alle kritieke beheerdersaccounts wachtwoordloos zijn (voorkeur) of meervoudige verificatie vereisen.
Details: Gebruik de Microsoft Authenticator-app om u aan te melden bij een Microsoft Entra-account zonder een wachtwoord te gebruiken. Net als Windows Hello voor Bedrijven gebruikt Microsoft Authenticator sleutelgebaseerde verificatie om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat en biometrische verificatie of een pincode gebruikt.

Meervoudige verificatie van Microsoft Entra vereisen bij aanmelding voor alle individuele gebruikers die permanent zijn toegewezen aan een of meer van de Microsoft Entra-beheerdersrollen: Globale Beheer istrator, bevoorrechte rol Beheer istrator, Exchange Online Beheer istrator en SharePoint Online Beheer istrator. Schakel meervoudige verificatie in voor uw beheerdersaccounts en zorg ervoor dat gebruikers van het beheerdersaccount zijn geregistreerd.

Best practice: Voor kritieke beheerdersaccounts hebt u een beheerwerkstation waarin productietaken niet zijn toegestaan (bijvoorbeeld bladeren en e-mail). Hierdoor worden uw beheerdersaccounts beschermd tegen aanvalsvectoren die browsen en e-mail gebruiken en uw risico op een groot incident aanzienlijk verlagen.
Details: Gebruik een beheerwerkstation. Kies een niveau van werkstationbeveiliging:

  • Zeer veilige productiviteitsapparaten bieden geavanceerde beveiliging voor browsen en andere productiviteitstaken.
  • Privileged Access Workstations (PAW's) bieden een speciaal besturingssysteem dat wordt beschermd tegen internetaanvallen en bedreigingsvectoren voor gevoelige taken.

Best practice: Beheerdersaccounts ongedaan maken wanneer werknemers uw organisatie verlaten.
Details: Zorg dat er een proces is dat beheerdersaccounts uitschakelt of verwijdert wanneer werknemers uw organisatie verlaten.

Best practice: test regelmatig beheerdersaccounts met behulp van de huidige aanvalstechnieken.
Detail: Gebruik Microsoft 365-aanvalssimulator of een aanbieding van derden om realistische aanvalsscenario's in uw organisatie uit te voeren. Dit kan u helpen kwetsbare gebruikers te vinden voordat er een echte aanval plaatsvindt.

Best practice: Voer stappen uit om de meest gebruikte aanvallende technieken te beperken.
Details: Microsoft-accounts identificeren in beheerdersrollen die moeten worden overgeschakeld naar werk- of schoolaccounts

Zorg voor afzonderlijke gebruikersaccounts en doorsturen van e-mail voor globale beheerdersaccounts

Zorg ervoor dat de wachtwoorden van beheerdersaccounts onlangs zijn gewijzigd

Wachtwoord-hashsynchronisatie inschakelen

Meervoudige verificatie vereisen voor gebruikers in alle bevoorrechte rollen en blootgestelde gebruikers

Uw Microsoft 365-beveiligingsscore verkrijgen (als u Microsoft 365 gebruikt)

Lees de beveiligingsrichtlijnen van Microsoft 365 (als u Microsoft 365 gebruikt)

Microsoft 365-activiteitscontrole configureren (als u Microsoft 365 gebruikt)

Eigenaren van incident-/noodresponsplannen instellen

On-premises bevoegde beheerdersaccounts beveiligen

Als u geen bevoegde toegang beveiligt, is het mogelijk dat u te veel gebruikers hebt met rollen met hoge bevoegdheden en kwetsbaarder zijn voor aanvallen. Kwaadwillende actoren, waaronder cyberaanvallen, richten zich vaak op beheerdersaccounts en andere elementen van bevoegde toegang om toegang te krijgen tot gevoelige gegevens en systemen met behulp van referentiediefstal.

Locaties beheren waar resources worden gemaakt

Het is erg belangrijk om cloudoperators in staat te stellen taken uit te voeren en te voorkomen dat ze conventies verbreken die nodig zijn om de resources van uw organisatie te beheren. Organisaties die de locaties willen beheren waar resources worden gemaakt, moeten deze locaties in code schrijven.

U kunt Azure Resource Manager gebruiken om beveiligingsbeleid te maken waarvan definities de acties of resources beschrijven die specifiek worden geweigerd. U wijst deze beleidsdefinities toe aan het gewenste bereik, zoals het abonnement, de resourcegroep of een afzonderlijke resource.

Notitie

Beveiligingsbeleidsregels zijn niet hetzelfde als Azure RBAC. Ze maken daadwerkelijk gebruik van Azure RBAC om gebruikers toestemming te geven om deze resources te maken.

Organisaties die niet bepalen hoe resources worden gemaakt, zijn gevoeliger voor gebruikers die de service kunnen misbruiken door meer resources te maken dan ze nodig hebben. Het maken van resources is een belangrijke stap bij het beveiligen van een scenario met meerdere tenants.

Actief controleren op verdachte activiteiten

Een actief systeem voor identiteitsbewaking kan snel verdacht gedrag detecteren en een waarschuwing activeren voor verder onderzoek. De volgende tabel bevat mogelijkheden van Microsoft Entra waarmee organisaties hun identiteiten kunnen bewaken:

Best practice: Gebruik een methode om het volgende te identificeren:

Details: Microsoft Entra ID P1- of P2-anomalierapporten gebruiken. Zorg ervoor dat it-beheerders deze rapporten dagelijks of op aanvraag kunnen uitvoeren (meestal in een scenario voor reactie op incidenten).

Best practice: Gebruik een actief bewakingssysteem dat u op de hoogte stelt van risico's en het risiconiveau (hoog, gemiddeld of laag) kan aanpassen aan uw bedrijfsvereisten.
Details: Gebruik Microsoft Entra ID Protection, waarmee de huidige risico's op een eigen dashboard worden gevlagd en dagelijkse samenvattingsmeldingen via e-mail worden verzonden. Om de identiteiten van uw organisatie te beschermen, kunt u beleid op basis van risico's configureren dat automatisch reageert op gedetecteerde problemen wanneer een opgegeven risiconiveau wordt bereikt.

Organisaties die hun identiteitssystemen niet actief controleren, lopen het risico dat gebruikersreferenties worden aangetast. Zonder te weten dat verdachte activiteiten plaatsvinden via deze referenties, kunnen organisaties dit type bedreiging niet beperken.

Microsoft Entra-id gebruiken voor opslagverificatie

Azure Storage ondersteunt verificatie en autorisatie met Microsoft Entra ID voor Blob Storage en Queue Storage. Met Microsoft Entra-verificatie kunt u op rollen gebaseerd toegangsbeheer van Azure gebruiken om specifieke machtigingen te verlenen aan gebruikers, groepen en toepassingen tot het bereik van een afzonderlijke blobcontainer of wachtrij.

U wordt aangeraden Microsoft Entra-id te gebruiken voor het verifiëren van de toegang tot opslag.

Volgende stap

Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.