Best practices voor Azure Operational Security

Dit artikel bevat een reeks operationele aanbevolen procedures voor het beveiligen van uw gegevens, toepassingen en andere assets in Azure.

De best practices zijn gebaseerd op een consensus van mening en ze werken met de huidige mogelijkheden en functiesets van het Azure-platform. Meningen en technologieën veranderen na verloop van tijd en dit artikel wordt regelmatig bijgewerkt om deze wijzigingen weer te geven.

Sterke operationele beveiligingsprocedures definiëren en implementeren

Operationele beveiliging van Azure verwijst naar de services, besturingselementen en functies die beschikbaar zijn voor gebruikers voor het beveiligen van hun gegevens, toepassingen en andere assets in Azure. Operationele beveiliging van Azure is gebaseerd op een framework dat de kennis bevat die is opgedaan via mogelijkheden die uniek zijn voor Microsoft, waaronder de SDL (Security Development Lifecycle), het Microsoft Security Response Center-programma en uitgebreide kennis van het landschap van bedreigingen voor cyberbeveiliging.

Gebruikerswachtwoorden beheren en bewaken

De volgende tabel bevat enkele aanbevolen procedures met betrekking tot het beheren van gebruikerswachtwoorden:

Aanbevolen procedure: Zorg ervoor dat u het juiste wachtwoordbeveiligingsniveau in de cloud hebt.
Details: Volg de richtlijnen in Microsoft Password Guidance, die is afgestemd op gebruikers van de Microsoft-identiteitsplatforms (Azure Active Directory, Active Directory en Microsoft-account).

Aanbevolen procedure: Controleren op verdachte acties met betrekking tot uw gebruikersaccounts.
Detail: Bewaken voor gebruikers die risico lopen en riskante aanmeldingen met behulp van Azure AD beveiligingsrapporten.

Aanbevolen procedure: wachtwoorden met een hoog risico automatisch detecteren en herstellen.
Detail: Azure AD Identity Protection is een functie van de Azure AD Premium P2 editie waarmee u het volgende kunt doen:

  • Potentiële beveiligingsproblemen detecteren die van invloed zijn op de identiteiten van uw organisatie
  • Geautomatiseerde antwoorden configureren voor gedetecteerde verdachte acties die zijn gerelateerd aan de identiteiten van uw organisatie
  • Verdachte incidenten onderzoeken en passende acties ondernemen om deze op te lossen

Incidentmeldingen ontvangen van Microsoft

Zorg ervoor dat uw beveiligingsteam meldingen ontvangt van Azure-incidenten van Microsoft. Met een incidentmelding weet uw beveiligingsteam dat u azure-resources hebt aangetast, zodat ze snel kunnen reageren op mogelijke beveiligingsrisico's en deze kunnen oplossen.

In de Azure-inschrijvingsportal kunt u ervoor zorgen dat contactgegevens van de beheerder details bevatten die beveiligingsbewerkingen melden. Contactgegevens zijn een e-mailadres en telefoonnummer.

Azure-abonnementen organiseren in beheergroepen

Als uw organisatie veel abonnementen heeft, wilt u mogelijk de toegang, het beleid en de naleving voor die abonnementen op efficiënte wijze beheren. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen. U ordent abonnementen in containers die beheergroepen worden genoemd en u en past uw governancevoorwaarden toe op de beheergroepen. Alle abonnementen in een beheergroep nemen automatisch de voorwaarden over die op de beheergroep zijn toegepast.

U kunt een flexibele structuur van beheergroepen en abonnementen bouwen in een map. Elke map krijgt één beheergroep op het hoogste niveau, de hoofdbeheergroep. Deze hoofdbeheergroep is zo in de hiërarchie ingebouwd dat alle beheergroepen en abonnementen hierin zijn opgevouwen. Met de hoofdbeheergroep kunnen globale beleidsregels en Azure-roltoewijzingen worden toegepast op directoryniveau.

Hier volgen enkele aanbevolen procedures voor het gebruik van beheergroepen:

Aanbevolen procedure: Zorg ervoor dat nieuwe abonnementen governance-elementen, zoals beleidsregels en machtigingen, toepassen terwijl ze worden toegevoegd.
Detail: Gebruik de hoofdbeheergroep om beveiligingselementen voor de hele onderneming toe te wijzen die van toepassing zijn op alle Azure-assets. Beleidsregels en machtigingen zijn voorbeelden van elementen.

Best practice: de hoogste niveaus van beheergroepen afstemmen met segmentatiestrategie om een punt te bieden voor controle en beleidsconsistentie binnen elk segment.
Detail: Maak één beheergroep voor elk segment onder de hoofdbeheergroep. Maak geen andere beheergroepen onder de hoofdmap.

Best practice: Beperk de diepte van beheergroepen om verwarring te voorkomen die zowel bewerkingen als beveiliging belemmert.
Detail: Beperk uw hiërarchie tot drie niveaus, inclusief de hoofdmap.

Best practice: selecteer zorgvuldig welke items moeten worden toegepast op de hele onderneming met de hoofdbeheergroep.
Detail: Zorg ervoor dat elementen van de hoofdbeheergroep duidelijk moeten worden toegepast op elke resource en dat ze weinig impact hebben.

Goede kandidaten zijn onder andere:

  • Wettelijke vereisten met een duidelijke bedrijfsimpact (bijvoorbeeld beperkingen met betrekking tot gegevenssoevereine)
  • Vereisten met bijna nul potentiële negatieve gevolgen voor bewerkingen, zoals beleid met controle-effect of Azure RBAC-machtigingstoewijzingen die zorgvuldig zijn beoordeeld

Best practice: plan en test alle bedrijfsbrede wijzigingen in de hoofdbeheergroep zorgvuldig voordat u deze toepast (beleid, Azure RBAC-model, enzovoort).
Detail: Wijzigingen in de hoofdbeheergroep kunnen van invloed zijn op elke resource in Azure. Hoewel ze een krachtige manier bieden om consistentie in de hele onderneming te garanderen, kunnen fouten of onjuist gebruik negatieve gevolgen hebben voor productiebewerkingen. Test alle wijzigingen in de hoofdbeheergroep in een testlab of productiefase.

Het maken van een omgeving stroomlijnen met blauwdrukken

Met de Azure Blueprints-service kunnen cloudarchitecten en centrale informatietechnologiegroepen een herhaalbare set Azure-resources definiëren die voldoet aan de normen, patronen en vereisten van een organisatie. Met Azure Blueprints kunnen ontwikkelteams snel nieuwe omgevingen bouwen en opstaan met een set ingebouwde onderdelen en het vertrouwen dat ze deze omgevingen maken binnen de naleving van de organisatie.

Opslagservices controleren op onverwachte wijzigingen in gedrag

Het diagnosticeren en oplossen van problemen in een gedistribueerde toepassing die wordt gehost in een cloudomgeving, kan complexer zijn dan in traditionele omgevingen. Toepassingen kunnen worden geïmplementeerd in een PaaS- of IaaS-infrastructuur, on-premises, op een mobiel apparaat of in een combinatie van deze omgevingen. Het netwerkverkeer van uw toepassing kan openbare en particuliere netwerken passeren en uw toepassing kan gebruikmaken van meerdere opslagtechnologieën.

U moet continu de opslagservices bewaken die uw toepassing gebruikt voor onverwachte wijzigingen in gedrag (zoals tragere reactietijden). Gebruik logboekregistratie om gedetailleerdere gegevens te verzamelen en een probleem grondig te analyseren. De diagnostische informatie die u ophaalt uit zowel bewaking als logboekregistratie, helpt u bij het vaststellen van de hoofdoorzaak van het probleem dat uw toepassing heeft aangetroffen. Vervolgens kunt u het probleem oplossen en de juiste stappen bepalen om het probleem op te lossen.

Azure Opslaganalyse voert logboekregistratie uit en biedt metrische gegevens voor een Azure-opslagaccount. U wordt aangeraden deze gegevens te gebruiken om aanvragen te traceren, gebruikstrends te analyseren en problemen met uw opslagaccount vast te stellen.

Bedreigingen voorkomen, detecteren en erop reageren

Met Microsoft Defender voor Cloud kunt u bedreigingen voorkomen, detecteren en erop reageren door meer inzicht te bieden in de beveiliging van uw Azure-resources (en controle). Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met verschillende beveiligingsoplossingen.

De gratis laag van Defender for Cloud biedt beperkte beveiliging voor alleen uw Azure-resources. De Standard-laag breidt deze mogelijkheden uit naar on-premises en andere clouds. Defender for Cloud Standard helpt u beveiligingsproblemen te vinden en op te lossen, toegangs- en toepassingsbesturingselementen toe te passen om schadelijke activiteiten te blokkeren, bedreigingen te detecteren met behulp van analyse en intelligentie en snel te reageren wanneer er een aanval wordt uitgevoerd. U kunt Defender for Cloud Standard gratis proberen voor de eerste 60 dagen. U wordt aangeraden uw Azure-abonnement te upgraden naar Defender for Cloud Standard.

Gebruik Defender for Cloud om een centraal overzicht te krijgen van de beveiligingsstatus van al uw Azure-resources. Controleer in één oogopslag of de juiste beveiligingscontroles zijn ingesteld en correct zijn geconfigureerd en identificeer snel alle resources die aandacht nodig hebben.

Defender for Cloud kan ook worden geïntegreerd met Microsoft Defender Advanced Threat Protection (ATP), dat uitgebreide mogelijkheden voor eindpuntdetectie en -respons (EDR) biedt. Met Microsoft Defender ATP-integratie kunt u afwijkingen herkennen. U kunt ook geavanceerde aanvallen detecteren en erop reageren op servereindpunten die worden bewaakt door Defender for Cloud.

Bijna alle ondernemingen hebben een SIEM-systeem (Security Information and Event Management) om opkomende bedreigingen te identificeren door logboekgegevens van diverse apparaten voor het verzamelen van signaal te consolideren. De logboeken worden vervolgens geanalyseerd door een systeem voor gegevensanalyse om te bepalen wat 'interessant' is van de ruis die onvermijdelijk is in alle oplossingen voor logboekverzameling en analyse.

Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information and Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie via waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en geautomatiseerde reactie op bedreigingen.

Hier volgen enkele aanbevolen procedures voor het voorkomen, detecteren en reageren op bedreigingen:

Best practice: Verhoog de snelheid en schaalbaarheid van uw SIEM-oplossing met behulp van een SIEM in de cloud.
Detail: Onderzoek de functies en mogelijkheden van Microsoft Sentinel en vergelijk deze met de mogelijkheden van wat u momenteel on-premises gebruikt. Overweeg microsoft Sentinel te gebruiken als deze voldoet aan de SIEM-vereisten van uw organisatie.

Best practice: zoek de ernstigste beveiligingsproblemen, zodat u prioriteit kunt geven aan onderzoek.
Detail: Controleer uw Azure-beveiligingsscore om de aanbevelingen te bekijken die het gevolg zijn van het Azure-beleid en de initiatieven die zijn ingebouwd in Microsoft Defender for Cloud. Deze aanbevelingen helpen de belangrijkste risico's aan te pakken, zoals beveiligingsupdates, eindpuntbeveiliging, versleuteling, beveiligingsconfiguraties, ontbrekende WAF, met internet verbonden VM's en nog veel meer.

Met de beveiligingsscore, die is gebaseerd op controles van Center for Internet Security (CIS), kunt u de Azure-beveiliging van uw organisatie benchmarken op basis van externe bronnen. Met externe validatie kunt u de beveiligingsstrategie van uw team valideren en verrijken.

Best practice: Bewaak de beveiligingspostuur van machines, netwerken, opslag- en gegevensservices en toepassingen om potentiële beveiligingsproblemen te detecteren en te prioriteren.
Details: Volg de beveiligingsaanaanveling in Defender for Cloud, te beginnen met de items met de hoogste prioriteit.

Aanbevolen procedure: Defender for Cloud-waarschuwingen integreren in uw SIEM-oplossing (Security Information and Event Management).
Detail: De meeste organisaties met een SIEM gebruiken het als een centraal clearinghouse voor beveiligingswaarschuwingen waarvoor een analistreactie is vereist. Verwerkte gebeurtenissen die worden geproduceerd door Defender for Cloud, worden gepubliceerd in het Azure-activiteitenlogboek, een van de logboeken die beschikbaar zijn via Azure Monitor. Azure Monitor biedt een geconsolideerde pijplijn voor het routeren van uw bewakingsgegevens naar een SIEM-hulpprogramma. Zie Stream-waarschuwingen voor een SIEM-, SOAR- of IT Service Management-oplossing voor instructies. Als u Microsoft Sentinel gebruikt, raadpleegt u Connect Microsoft Defender for Cloud.

Aanbevolen procedure: Azure-logboeken integreren met uw SIEM.
Detail: Azure Monitor gebruiken om gegevens te verzamelen en te exporteren. Deze praktijk is essentieel voor het inschakelen van onderzoek naar beveiligingsincidenten en het bewaren van onlinelogboeken is beperkt. Als u Microsoft Sentinel gebruikt, raadpleegt u Verbinding maken met gegevensbronnen.

Best practice: versnel uw onderzoeks- en opsporingsprocessen en verminder fout-positieven door de mogelijkheden van Endpoint Detection and Response (EDR) te integreren in uw aanvalsonderzoek.
Details: Schakel de Microsoft Defender voor Eindpunt-integratie in via uw Defender for Cloud-beveiligingsbeleid. Overweeg microsoft Sentinel te gebruiken voor het opsporen van bedreigingen en het reageren op incidenten.

Bewaking op basis van end-to-end-scenario's bewaken

Klanten bouwen een end-to-end-netwerk in Azure door netwerkresources te combineren, zoals een virtueel netwerk, ExpressRoute, Application Gateway en load balancers. Bewaking is beschikbaar op elk van de netwerkbronnen.

Azure Network Watcher is een regionale service. Gebruik de diagnostische hulpprogramma's en visualisatieprogramma's om voorwaarden op netwerkscenarioniveau in, naar en van Azure te bewaken en te diagnosticeren.

Hieronder vindt u aanbevolen procedures voor netwerkbewaking en beschikbare hulpprogramma's.

Best practice: Externe netwerkbewaking automatiseren met pakketopname.
Detail: Netwerkproblemen bewaken en diagnosticeren zonder u aan te melden bij uw VM's met behulp van Network Watcher. Trigger packet capture door waarschuwingen in te stellen en toegang te krijgen tot realtime prestatiegegevens op pakketniveau. Wanneer u een probleem ziet, kunt u gedetailleerde onderzoeken voor betere diagnoses.

Best practice: krijg inzicht in uw netwerkverkeer met behulp van stroomlogboeken.
Detail: Maak een beter begrip van uw netwerkverkeerspatronen met behulp van stroomlogboeken voor netwerkbeveiligingsgroepen. Informatie in stroomlogboeken helpt u bij het verzamelen van gegevens voor naleving, controle en bewaking van uw netwerkbeveiligingsprofiel.

Best practice: Problemen met VPN-connectiviteit vaststellen.
Detail: Gebruik Network Watcher om uw meest voorkomende VPN Gateway en verbindingsproblemen vast te stellen. U kunt niet alleen het probleem identificeren, maar ook gedetailleerde logboeken gebruiken om verder te onderzoeken.

Implementatie beveiligen met behulp van bewezen DevOps-hulpprogramma's

Gebruik de volgende best practices voor DevOps om ervoor te zorgen dat uw onderneming en teams productief en efficiënt zijn.

Best practice: de build en implementatie van services automatiseren.
Detail: Infrastructuur als code is een set technieken en procedures waarmee IT-professionals de last van dagelijkse bouw en beheer van modulaire infrastructuur kunnen wegnemen. Hiermee kunnen IT-professionals hun moderne serveromgeving bouwen en onderhouden op een manier die vergelijkbaar is met de manier waarop softwareontwikkelaars toepassingscode bouwen en onderhouden.

U kunt Azure Resource Manager gebruiken om uw toepassingen in te richten met behulp van een declaratieve sjabloon. U kunt in één enkele sjabloon meerdere services plus de bijbehorende afhankelijkheden implementeren. U gebruikt dezelfde sjabloon om uw toepassing herhaaldelijk te implementeren in elke fase van de levenscyclus van de toepassing.

Best practice: Automatisch bouwen en implementeren in Azure-web-apps of cloudservices.
Detail: U kunt uw Azure DevOps Projects configureren om automatisch te bouwen en te implementeren in Azure-web-apps of cloudservices. Azure DevOps implementeert automatisch de binaire bestanden na het uitvoeren van een build in Azure na elke incheckcode. Het pakketbuildproces is gelijk aan de opdracht Pakket in Visual Studio en de publicatiestappen zijn gelijk aan de opdracht Publiceren in Visual Studio.

Aanbevolen procedure: Releasebeheer automatiseren.
Detail: Azure Pipelines is een oplossing voor het automatiseren van implementatie in meerdere fasen en het beheren van het releaseproces. Maak beheerde pijplijnen voor continue implementatie om snel, eenvoudig en vaak vrij te geven. Met Azure Pipelines kunt u uw releaseproces automatiseren en vooraf gedefinieerde goedkeuringswerkstromen hebben. Implementeer on-premises en in de cloud, breid deze uit en pas ze aan zoals nodig.

Best practice: controleer de prestaties van uw app voordat u deze start of updates implementeert in productie.
Detail: Voer belastingstests in de cloud uit om:

  • Prestatieproblemen in uw app vinden.
  • De implementatiekwaliteit verbeteren.
  • Zorg ervoor dat uw app altijd beschikbaar is.
  • Zorg ervoor dat uw app verkeer kan verwerken voor uw volgende lancerings- of marketingcampagne.

Apache JMeter is een gratis, populair open source hulpprogramma met een sterke ondersteuning voor de community.

Aanbevolen procedure: De prestaties van toepassingen bewaken.
Detail: Azure-toepassing Insights is een uitbreidbare APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Gebruik Application Insights om uw live webtoepassing te bewaken. Er worden automatisch prestatieafwijkingen gedetecteerd. Het bevat analysehulpprogramma's om u te helpen bij het diagnosticeren van problemen en om te begrijpen wat gebruikers daadwerkelijk met uw app doen. Het is bedoeld om u te helpen de prestaties en bruikbaarheid continu te verbeteren.

Beperken en beschermen tegen DDoS

DDoS (Distributed Denial of Service) is een type aanval waarmee wordt geprobeerd om toepassingsbronnen uit te voeren. Het doel is om de beschikbaarheid van de toepassing en de mogelijkheid om legitieme aanvragen te verwerken, te beïnvloeden. Deze aanvallen worden steeds geavanceerder en groter in omvang en impact. Ze kunnen worden gericht op elk eindpunt dat openbaar bereikbaar is via internet.

Voor het ontwerpen en bouwen van DDoS-tolerantie is planning en ontwerp vereist voor verschillende foutmodi. Hieronder volgen de aanbevolen procedures voor het bouwen van DDoS-tolerante services in Azure.

Best practice: Zorg ervoor dat beveiliging een prioriteit is gedurende de hele levenscyclus van een toepassing, van ontwerp en implementatie tot implementatie en bewerkingen. Toepassingen kunnen fouten hebben waardoor een relatief laag aantal aanvragen veel resources kan gebruiken, wat resulteert in een servicestoring.
Detail: Als u een service wilt beveiligen die wordt uitgevoerd op Microsoft Azure, moet u een goed beeld hebben van uw toepassingsarchitectuur en zich richten op de vijf pijlers van softwarekwaliteit. U moet typische verkeersvolumes, het connectiviteitsmodel tussen de toepassing en andere toepassingen en de service-eindpunten kennen die worden blootgesteld aan het openbare internet.

Het belangrijkste is om ervoor te zorgen dat een toepassing flexibel genoeg is om een denial of service af te handelen die is gericht op de toepassing zelf. Beveiliging en privacy zijn ingebouwd in het Azure-platform, te beginnen met de SDL (Security Development Lifecycle). De SDL richt zich in elke ontwikkelingsfase op beveiliging en zorgt ervoor dat Azure voortdurend wordt bijgewerkt om deze nog veiliger te maken.

Best practice: Ontwerp uw toepassingen om horizontaal te schalen om te voldoen aan de vraag naar een versterkte belasting, met name in het geval van een DDoS-aanval. Als uw toepassing afhankelijk is van één exemplaar van een service, wordt er één storingspunt gemaakt. Door meerdere exemplaren in te richten, is uw systeem flexibeler en schaalbaarder.
Detail: Selecteer voor Azure App Service een App Service-abonnement dat meerdere exemplaren biedt.

Configureer voor Azure Cloud Services elk van uw rollen voor het gebruik van meerdere exemplaren.

Voor Azure Virtual Machines moet u ervoor zorgen dat uw VM-architectuur meer dan één VM bevat en dat elke VM is opgenomen in een beschikbaarheidsset. U wordt aangeraden virtuele-machineschaalsets te gebruiken voor mogelijkheden voor automatisch schalen.

Best practice: Beveiligingsbeveiligingslagen in een toepassing verminderen de kans op een geslaagde aanval. Implementeer veilige ontwerpen voor uw toepassingen met behulp van de ingebouwde mogelijkheden van het Azure-platform.
Detail: Het risico op aanvallen neemt toe met de grootte (oppervlakte) van de toepassing. U kunt het oppervlakgebied verminderen met behulp van een goedkeuringslijst om de beschikbare IP-adresruimte te sluiten en poorten te luisteren die niet nodig zijn voor de load balancers (Azure Load Balancer en Azure Application Gateway).

Netwerkbeveiligingsgroepen zijn een andere manier om het kwetsbaarheid voor aanvallen te verminderen. U kunt servicetags en toepassingsbeveiligingsgroepen gebruiken om de complexiteit voor het maken van beveiligingsregels te minimaliseren en netwerkbeveiliging te configureren, als een natuurlijke uitbreiding van de structuur van een toepassing.

U moet Waar mogelijk Azure-services implementeren in een virtueel netwerk . Met deze procedure kunnen servicebronnen communiceren via privé-IP-adressen. Azure-serviceverkeer van een virtueel netwerk maakt standaard gebruik van openbare IP-adressen als bron-IP-adressen.

Met behulp van service-eindpunten schakelt u serviceverkeer om privéadressen van virtueel netwerk te gebruiken als de bron-IP-adressen wanneer ze toegang hebben tot de Azure-service vanuit een virtueel netwerk.

We zien vaak dat on-premises resources van klanten worden aangevallen, samen met hun resources in Azure. Als u een on-premises omgeving verbindt met Azure, minimaliseert u de blootstelling van on-premises resources aan het openbare internet.

Azure heeft twee DDoS-serviceaanbiedingen die bescherming bieden tegen netwerkaanvallen:

  • Basisbeveiliging is standaard geïntegreerd in Azure zonder extra kosten. De schaal en capaciteit van het wereldwijd geïmplementeerde Azure-netwerk bieden bescherming tegen veelvoorkomende netwerklaagaanvallen door gebruik te maken van continue verkeersbewaking en risicobeperking in realtime. Basic vereist geen wijzigingen in de gebruikersconfiguratie of toepassing en helpt bij het beveiligen van alle Azure-services, waaronder PaaS-services zoals Azure DNS.
  • Standaardbeveiliging biedt geavanceerde DDoS-risicobeperkingsmogelijkheden tegen netwerkaanvallen. Deze wordt automatisch afgestemd om uw specifieke Azure-resources te beveiligen. Beveiliging is eenvoudig in te schakelen tijdens het maken van virtuele netwerken. Het kan ook worden gedaan na het maken en vereist geen wijzigingen in de toepassing of resource.

Azure Policy inschakelen

Azure Policy is een service in Azure die u gebruikt om beleid te maken, toe te wijzen en te beheren. Met dit beleid worden regels en effecten afgedwongen voor uw resources, zodat deze resources voldoen aan uw bedrijfsstandaarden en serviceovereenkomsten. Azure Policy voorziet in deze behoefte door uw resources met toegewezen beleid te controleren op niet-naleving.

Schakel Azure Policy in om het geschreven beleid van uw organisatie te bewaken en af te dwingen. Dit zorgt ervoor dat uw bedrijf of wettelijke beveiligingsvereisten worden nageleefd door het beveiligingsbeleid centraal te beheren in uw hybride cloudworkloads. Meer informatie over het maken en beheren van beleidsregels om naleving af te dwingen. Zie Azure Policy definitiestructuur voor een overzicht van de elementen van een beleid.

Hier volgen enkele aanbevolen beveiligingsprocedures nadat u Azure Policy hebt aangenomen:

Aanbevolen procedure: Beleid ondersteunt verschillende soorten effecten. U kunt hierover lezen in Azure Policy definitiestructuur. Zakelijke activiteiten kunnen negatief worden beïnvloed door het weigeringseffect en het hersteleffect , dus begin met het controle-effect om het risico van negatieve gevolgen van beleid te beperken.
Detail: Start beleidsimplementaties in de controlemodus en ga later verder met weigeren of herstellen. Test en controleer de resultaten van het controle-effect voordat u overstapt op weigeren of herstellen.

Zie Beleid maken en beheren om naleving af te dwingen voor meer informatie.

Best practice: Identificeer de rollen die verantwoordelijk zijn voor het controleren van beleidsschendingen en zorg ervoor dat de juiste herstelactie snel wordt uitgevoerd.
Details: zorg ervoor dat de toegewezen rolmonitor naleving via de Azure Portal of via de opdrachtregel.

Best practice: Azure Policy is een technische weergave van het geschreven beleid van een organisatie. Wijs alle Azure Policy definities toe aan organisatiebeleid om verwarring te verminderen en consistentie te vergroten.
Detail: Documenttoewijzing in de documentatie van uw organisatie of in de Azure Policy definitie zelf door een verwijzing toe te voegen naar het organisatiebeleid in de beleidsdefinitie of de beschrijving van de initiatiefdefinitie.

Risicorapporten van Azure AD bewaken

De overgrote meerderheid van beveiligingsschendingen vindt plaats wanneer aanvallers toegang krijgen tot een omgeving door de identiteit van een gebruiker te stelen. Het detecteren van gecompromitteerde identiteiten is geen eenvoudige taak. Azure AD maakt gebruik van adaptieve machine learning-algoritmen en heuristiek om verdachte acties te detecteren die betrekking hebben op uw gebruikersaccounts. Elke gedetecteerde verdachte actie wordt opgeslagen in een record die een risicodetectie wordt genoemd. Risicodetecties worden vastgelegd in Azure AD beveiligingsrapporten. Lees voor meer informatie over het beveiligingsrapport gebruikers met risico's en het beveiligingsrapport riskante aanmeldingen.

Volgende stappen

Bekijk best practices en patronen voor Azure-beveiliging voor meer aanbevolen beveiligingsprocedures die u kunt gebruiken wanneer u uw cloudoplossingen ontwerpt, implementeert en beheert met behulp van Azure.

De volgende resources zijn beschikbaar voor meer algemene informatie over Azure-beveiliging en gerelateerde Microsoft-services: