Delen via


Azure-beveiligingsbasislijn voor Azure VMware Solution

Deze beveiligingsbasislijn past richtlijnen van microsoft cloudbeveiligingsbenchmarkversie 1.0 toe op Azure VMware Solution. De Microsoft Cloud Security-benchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure VMware Solution.

U kunt deze beveiligingsbasislijn en de bijbehorende aanbevelingen bewaken met behulp van Microsoft Defender for Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de pagina Microsoft Defender voor cloudportal.

Wanneer een functie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen bij het meten van de naleving van de besturingselementen en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's mogelijk te maken.

Notitie

Functies die niet van toepassing zijn op Azure VMware Solution zijn uitgesloten. Als u wilt zien hoe Azure VMware Solution volledig wordt toegewezen aan de Microsoft Cloud Security-benchmark, raadpleegt u het volledige Azure VMware Solution toewijzingsbestand voor beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van gedrag met een hoge impact van Azure VMware Solution, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Waarde
Productcategorie Compute
Klant heeft toegang tot HOST/besturingssysteem Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Waar
Inhoud van klanten in rust opgeslagen Waar

Netwerkbeveiliging

Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Implementeer de service in een virtueel netwerk. Wijs privé-IP's toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.

Opmerking: voor een Azure VMware Solution privécloud is een Azure-Virtual Network vereist. Omdat Azure VMware Solution uw on-premises vCenter Server niet ondersteunt, moet u aanvullende stappen uitvoeren om te integreren met uw on-premises omgeving. Het instellen van een ExpressRoute-circuit en een virtuele netwerkgateway is ook vereist.

Naslaginformatie: Zelfstudie: Netwerken configureren voor uw VMware-privécloud in Azure

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen in de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Hoewel NSG wordt ondersteund, kunt u overwegen om uw netwerkconnectiviteit met ExpressRoute of andere beveiligde netwerken in en uit te brengen. Vermijd het beschikbaar maken van uw beheerservices, zoals vCenter Server, bijvoorbeeld op internet.

NS-2: Cloudservices beveiligen met netwerkbesturing

Functies

Beschrijving: Serviceeigen IP-filtermogelijkheid voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Openbare netwerktoegang uitschakelen

Beschrijving: De service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Referentie: Azure VMware Solution netwerken en interconnectiviteitsconcepten

Identiteitsbeheer

Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD verificatie vereist voor toegang tot gegevensvlak

Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Lokale verificatiemethoden voor toegang tot gegevensvlak

Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.

Configuratierichtlijnen: raadpleeg de onderstaande koppeling voor configuratie van het identiteitstoegangsbeheer van de Azure VMware Solution.

Naslaginformatie: toegang en identiteit van vCenter Server

IM-3: toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Service-principals

Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-7: Toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Functieopmerkingen: AVS-toegang wordt beheerd door VMware vSphere RBAC

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-8: De blootstelling van referenties en geheimen beperken

Functies

Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault

Beschrijving: het gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Bevoegde toegang

Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerders

Functies

Lokale Beheer-accounts

Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.

Configuratierichtlijnen: bekijk de bevoegdheden die zijn verleend aan de rol Azure VMware Solution CloudAdmin op uw Azure VMware Solution vCenter in de privécloud. Raadpleeg de koppeling voor meer informatie

Naslaginformatie: toegang en identiteit van vCenter Server

PA-7: Volg het principe just enough administration (minimale bevoegdheden)

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Functieopmerkingen: Azure RBAC wordt niet ondersteund. Azure VMware-oplossing maakt gebruik van vCenter RBAC-rollen die klanten de mogelijkheid bieden om te integreren met Azure AD.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PA-8: Toegangsproces voor ondersteuning van cloudproviders bepalen

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Niet waar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.

DP-3: Gevoelige gegevens tijdens overdracht versleutelen

Functies

Versleuteling van gegevens in transit

Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

DP-4: Versleuteling van data-at-rest standaard inschakelen

Functies

Data-at-rest-versleuteling met platformsleutels

Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.

Naslaginformatie: Versleuteling van data-at-rest

DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig

Functies

Data-at-rest-versleuteling met cmk

Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Functieopmerkingen: aan deze functie wordt momenteel gewerkt, maar we hebben geen ETA voor privévoorbeelden.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Functieopmerkingen: We gaan in de toekomst specifieke functies toevoegen die dit ondersteunen, maar dat doen we voorlopig niet.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Asset-management

Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Opmerkingen bij de functie: Azure VMWare Solution biedt momenteel ondersteuning voor Azure Policy voor het beheren van de VM-resources van de workload. Als u ervoor kiest om Azure Arc Server for VMWare Solution te implementeren, wordt deze geleverd met Azure Policy ondersteuning.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service/productaanbod

Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Gebruik een server met Azure Arc voor uw VIRTUELE machine op uw VMware, zodat Microsoft Defender voor Cloud de volgende functies kan bieden:

  • Bestandsintegriteit controleren
  • Detectie van bestandsloze aanvallen
  • Evaluatie van patches voor besturingssystemen
  • Evaluatie van onjuiste beveiligingsconfiguratie
  • Evaluatie van eindpuntbeveiliging

Naslaginformatie: Microsoft Defender for Cloud integreren met Azure VMware Solution

LT-4: logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
False Niet van toepassing Niet van toepassing

Functieopmerkingen: voor Azure VMware Solution logboekregistratie. Schakel configuratie in VMware syslog in. Raadpleeg de koppeling voor meer informatie: VMware-syslogs configureren voor Azure VMware Solution

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Back-ups maken en herstellen

Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.

BR-1: Zorgen voor regelmatige geautomatiseerde back-ups

Functies

Azure Backup

Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: gebruik Azure Backup Server (als onderdeel van Azure Backup) om de back-up op VM-niveau uit te voeren. Azure Backup Server kan back-upgegevens opslaan op: Schijf: voor kortetermijnopslag maakt Azure Backup Server back-ups van gegevens naar schijfgroepen. Azure-cloud: voor zowel opslag op korte als lange termijn off-premises kunnen Azure Backup Server-gegevens die zijn opgeslagen in schijfgroepen, worden geback-upt naar de Microsoft Azure-cloud met behulp van Azure Backup.

Naslaginformatie: Azure Backup Server instellen voor Azure VMware Solution

Systeemeigen back-upmogelijkheid van service

Beschrijving: de service ondersteunt de eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Niet waar Klant

Configuratierichtlijnen: Er zijn momenteel geen microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.

Naslaginformatie: Herstel na noodgevallen implementeren met VMware Site Recovery Manager

Volgende stappen