Delen via


Beveiligingsbeheer: Beheer van houding en beveiligingsproblemen

Postuur- en beveiligingsproblemenbeheer richt zich op controles voor het beoordelen en verbeteren van de houding van cloudbeveiliging, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden van beveiligingsconfiguraties, rapportage en correctie in cloudresources.

PV-1: Veilige configuraties definiëren en instellen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1, 4.2 CM-2, CM-6 1.1

Beveiligingsprincipe: Definieer de beveiligingsconfiguratiebasislijnen voor verschillende resourcetypen in de cloud. U kunt ook hulpprogramma's voor configuratiebeheer gebruiken om de configuratiebasislijn automatisch vóór of tijdens de implementatie van resources tot stand te brengen, zodat de omgeving standaard compatibel kan zijn na de implementatie.


Azure-richtlijnen: Gebruik de Microsoft Cloud Security Benchmark en servicebasislijn om uw configuratiebasislijn te definiëren voor elke respectieve Azure-aanbieding of -service. Raadpleeg de Referentiearchitectuur van Azure en de architectuur van de landingszone van Cloud Adoption Framework om inzicht te krijgen in de kritieke beveiligingscontroles en configuraties die mogelijk nodig zijn in Azure-resources.

Gebruik de Azure-landingszone (en Blauwdrukken) om de implementatie van de workload te versnellen door de configuratie van services en toepassingsomgevingen in te stellen, waaronder Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en Azure Policy.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: gebruik de Microsoft Cloud Security Benchmark - richtlijnen voor meerdere clouds voor AWS en andere invoer om uw configuratiebasislijn te definiëren voor elke respectieve AWS-aanbieding of -service. Raadpleeg de beveiligingspijler en andere pijlers in het AWS Well-Architectured Framework om inzicht te krijgen in de kritieke beveiligingscontroles en configuraties die mogelijk nodig zijn voor AWS-resources.

Gebruik AWS CloudFormation-sjablonen en AWS-configuratieregels in de definitie van de AWS-landingszone om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: gebruik de Microsoft Cloud Security Benchmark: richtlijnen voor meerdere clouds voor GCP en andere invoer om uw configuratiebasislijn te definiëren voor elke respectieve GCP-aanbieding of -service. Verwijs naar de pijlers in de blauwdrukken voor de basis van Google Cloud-implementaties en het ontwerp van landingszones.

Gebruik Terraform-blauwdrukmodules voor Google Cloud en gebruik systeemeigen Google Cloud Deployment Manager om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

Het controleren en afdwingen van veilige configuraties

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1, 4.2 CM-2, CM-6 2.2

Beveiligingsprincipe: continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie te implementeren.


Azure-richtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren voor het controleren en afdwingen van configuraties van uw Azure-resources. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd.

Gebruik Azure Policy [weigeren] en [implementeren indien niet] regels om beveiligde configuratie af te dwingen in Azure-resources.

Voor controle en afdwinging van resources die niet worden ondersteund door Azure Policy, moet u mogelijk aangepaste scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: GEBRUIK AWS-configuratieregels om configuraties van uw AWS-resources te controleren. En u kunt ervoor kiezen om de configuratiedrift op te lossen met behulp van AWS Systems Manager Automation die is gekoppeld aan de AWS-configuratieregel. Gebruik Amazon CloudWatch om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources.

Voor controle en afdwinging van resources die niet worden ondersteund door AWS-configuratie, moet u mogelijk aangepaste scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.

U kunt uw configuratie ook centraal bewaken door uw AWS-account naar Microsoft Defender voor Cloud te onboarden.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Google Cloud Security Command Center gebruiken om GCP te configureren. Gebruik Google Cloud Monitoring in Operations Suite om waarschuwingen te maken wanneer er configuratiedeviatie op de resources wordt gedetecteerd.

Gebruik organisatiebeleid om de cloudresources van uw organisatie te centraliseren en programmatisch te beheren. Als beheerder van het organisatiebeleid kunt u beperkingen voor uw hele resourcehiërarchie configureren.

Voor controle en afdwinging van resources die niet worden ondersteund door organisatiebeleid, moet u mogelijk aangepaste scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

PV-3: Veilige configuraties voor rekenresources definiëren en instellen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1 CM-2, CM-6 2.2

Beveiligingsprincipe: Definieer de beveiligde configuratiebasislijnen voor uw rekenresources, zoals VM's en containers. Gebruik hulpprogramma's voor configuratiebeheer om de configuratiebasislijn automatisch tot stand te brengen vóór of tijdens de implementatie van rekenresources, zodat de omgeving standaard na de implementatie compatibel kan zijn. Als alternatief kunt u een vooraf geconfigureerde installatiekopie gebruiken om de gewenste configuratiebasislijn in te bouwen in de sjabloon voor de rekenresource-installatiekopie.


Azure-richtlijnen: Gebruik de door Azure aanbevolen beveiligingsbasislijnen voor besturingssystemen (voor Windows en Linux) als benchmark om de basislijn voor de configuratie van rekenresources te definiëren.

Daarnaast kunt u een aangepaste VM-installatiekopieën (met behulp van Azure Image Builder) of containerinstallatiekopieën gebruiken met Azure Automanage Machine Configuration (voorheen Azure Policy-gastconfiguratie genoemd) en Azure Automation State Configuration om de gewenste beveiligingsconfiguratie tot stand te brengen.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: EC2 AWS-machineinstallatiekopieën (AMI) van vertrouwde bronnen op marketplace gebruiken als benchmark om uw EC2-configuratiebasislijn te definiëren.

Daarnaast kunt u EC2 Image Builder gebruiken om een aangepaste AMI-sjabloon te bouwen met een Systems Manager-agent om de gewenste beveiligingsconfiguratie tot stand te brengen. Opmerking: De AWS Systems Manager-agent is vooraf geïnstalleerd op sommige Amazon Machine Images (AMIs) die worden geleverd door AWS.

Voor workloadtoepassingen die worden uitgevoerd in uw EC2-exemplaren, AWS Lambda of containers-omgeving, kunt u AWS System Manager AppConfig gebruiken om de gewenste configuratiebasislijn vast te stellen.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik Google Cloud aanbevolen basislijnen voor besturingssysteembeveiliging (voor Windows en Linux) als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.

Daarnaast kunt u een aangepaste VM-installatiekopieën gebruiken met Packer Image Builder of containerinstallatiekopieën met Google Cloud Build-containerinstallatiekopieën om de gewenste configuratiebasislijn vast te stellen.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

PV-4: Veilige configuraties voor rekenresources controleren en afdwingen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
4.1 CM-2, CM-6 2.2

Beveiligingsprincipe: continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn in uw rekenresources. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie in rekenresources te implementeren.


Azure-richtlijnen: Gebruik Microsoft Defender for Cloud en Azure Automanage Machine Configuration (voorheen Azure Policy-gastconfiguratie genoemd) om regelmatig configuratiedeviaties op uw Azure-rekenresources te evalueren en op te lossen, waaronder VM's, containers en andere. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten. Gebruik Wijzigingen bijhouden en inventaris in Azure Automation om wijzigingen bij te houden in virtuele machines die worden gehost in Azure, on-premises en andere cloudomgevingen om operationele en omgevingsproblemen vast te stellen met software die wordt beheerd door Distribution Package Manager. Installeer de Guest Attestation-agent op virtuele machines om te controleren op opstartintegriteit op vertrouwelijke virtuele machines.

Opmerking: Vm-installatiekopieën van Azure Marketplace die door Microsoft worden gepubliceerd, worden beheerd en onderhouden door Microsoft.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: Gebruik de functie State Manager van AWS System Manager om regelmatig configuratiedeviaties op uw EC2-exemplaren te beoordelen en op te lossen. Daarnaast kunt u CloudFormation-sjablonen, aangepaste installatiekopieën van besturingssystemen gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. AMI-sjablonen in combinatie met Systems Manager kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.

U kunt de configuratiedrift van het besturingssysteem ook centraal bewaken en beheren via Azure Automation State Configuration en de toepasselijke resources onboarden voor Azure-beveiligingsgovernance met behulp van de volgende methoden:

  • Uw AWS-account onboarden in Microsoft Defender voor Cloud
  • Azure Arc gebruiken voor servers om uw EC2-exemplaren te verbinden met Microsoft Defender voor Cloud

Voor workloadtoepassingen die worden uitgevoerd binnen uw EC2-exemplaren, AWS Lambda- of containersomgeving, kunt u AWS System Manager AppConfig gebruiken om de gewenste configuratiebasislijn te controleren en af te dwingen.

Opmerking: AMIS's die zijn gepubliceerd door Amazon Web Services in AWS Marketplace, worden beheerd en onderhouden door Amazon Web Services.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik VM Manager en Google Cloud Security Command Center om de configuratiedeviatie van uw Compute Engine-exemplaren, containers en serverloze contracten regelmatig te beoordelen en op te lossen. Daarnaast kunt u VM-sjablonen van Deployment Manager, aangepaste installatiekopieën van besturingssystemen gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Sjablonen voor Deployment Manager VM's in combinatie met VM Manager kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.

U kunt de configuratiedrift van het besturingssysteem ook centraal bewaken en beheren via Azure Automation State Configuration en de toepasselijke resources onboarden voor Azure-beveiligingsgovernance met behulp van de volgende methoden:

  • Uw GCP-project onboarden in Microsoft Defender voor Cloud
  • Azure Arc gebruiken voor servers om uw GCP VM-exemplaren te verbinden met Microsoft Defender voor Cloud

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

PV-5: Evaluaties van beveiligingsproblemen uitvoeren

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Beveiligingsprincipe: Voer kwetsbaarheidsbeoordelingen uit voor uw cloudresources op alle lagen, volgens een vast tijdschema of op aanvraag. Volg en vergelijk de scanresultaten om te controleren of de beveiligingsproblemen zijn hersteld. De evaluatie moet alle typen beveiligingsproblemen bevatten, zoals beveiligingsproblemen in Azure-services, netwerk, web, besturingssystemen, onjuiste configuraties, enzovoort.

Houd rekening met de mogelijke risico's die zijn verbonden aan de bevoegde toegang die wordt gebruikt door de scanners voor beveiligingsproblemen. Volg de aanbevolen beveiligingsprocedures voor bevoegde toegang om beheerdersaccounts te beveiligen die worden gebruikt voor het scannen.


Azure-richtlijnen: volg aanbevelingen van Microsoft Defender voor Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers. Microsoft Defender voor Cloud heeft een ingebouwde scanner voor beveiligingsproblemen voor virtuele machines. Een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld webtoepassingen)

Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn hersteld. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die worden voorgesteld door Microsoft Defender voor Cloud, kunt u naar de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.

Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, beheerdersaccount. Overweeg de inrichtingsmethodologie voor JIT (Just-In-Time) voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.

Opmerking: Microsoft Defender-services (waaronder Defender voor servers, containers, App Service, Database en DNS) sluiten bepaalde mogelijkheden voor evaluatie van beveiligingsproblemen in. De waarschuwingen die worden gegenereerd op basis van Azure Defender-services, moeten worden bewaakt en gecontroleerd, samen met het resultaat van het scanprogramma voor beveiligingsproblemen van Microsoft Defender for Cloud.

Opmerking: Zorg ervoor dat u e-mailmeldingen instelt in Microsoft Defender voor Cloud.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: Gebruik Amazon Inspector om uw Amazon EC2-exemplaren en containerinstallatiekopieën in Amazon Elastic Container Registry (Amazon ECR) te scannen op softwareproblemen en onbedoelde netwerkblootstelling. Een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld webtoepassingen)

Raadpleeg control ES-1, "Use Endpoint Detection and Response (EDR)" (Eindpuntdetectie en -respons gebruiken) om uw AWS-account in microsoft Defender voor Cloud te onboarden en Microsoft Defender voor servers (met Microsoft Defender voor Eindpunt geïntegreerd) te implementeren in uw EC2-exemplaren. Microsoft Defender voor servers biedt een systeemeigen mogelijkheid voor bedreigings- en beveiligingsproblemenbeheer voor uw VM's. Het scanresultaat voor beveiligingsproblemen wordt geconsolideerd in het Microsoft Defender voor Cloud-dashboard.

Volg de status van bevindingen van beveiligingsproblemen om ervoor te zorgen dat ze correct worden hersteld of onderdrukt als ze als fout-positief worden beschouwd.

Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, beheerdersaccount. Overweeg om een tijdelijke inrichtingsmethodologie voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: volg de aanbevelingen van Microsoft Defender voor Cloud, en Google Cloud Security Command Center voor het uitvoeren van kwetsbaarheidsbeoordelingen op uw Compute Engine-exemplaren. Security Command Center heeft ingebouwde evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld Web Security Scanner)

Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn hersteld. Wanneer u aanbevelingen voor beveiligingsproblemenbeheer gebruikt die door Security Command Center worden voorgesteld, kunt u naar de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

PV-6: Beveiligingsproblemen snel en automatisch herstellen

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: FOUTHERSTEL 6.1, 6.2, 6.5, 11.2

Beveiligingsprincipe: implementeer snel en automatisch patches en updates om beveiligingsproblemen in uw cloudresources op te lossen. Gebruik de juiste benadering op basis van risico's om prioriteit te geven aan het herstel van beveiligingsproblemen. Zo moeten ernstigere beveiligingsproblemen in een asset met een hogere waarde worden aangepakt als een hogere prioriteit.


Azure-richtlijnen: Gebruik Azure Automation Updatebeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw Windows- en Linux-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en zo is ingesteld dat deze automatisch wordt bijgewerkt.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of Microsoft System Center Updates Publisher voor Configuration Manager.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: Gebruik AWS Systems Manager - Patch Manager om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw besturingssystemen en toepassingen. Patch Manager ondersteunt patchbasislijnen zodat u een lijst met goedgekeurde en geweigerde patches voor uw systemen kunt definiëren.

U kunt Ook Azure Automation Update Management gebruiken om de patches en updates van uw AWS EC2 Windows- en Linux-exemplaren centraal te beheren.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of Microsoft System Center Updates Publisher voor Configuration Manager.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: Gebruik patchbeheer voor het besturingssysteem van Google Cloud VM Manager of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates op uw Windows- en Linux-VM's worden geïnstalleerd. Voor windows-VM's zorgt u ervoor dat Windows Update is ingeschakeld en is ingesteld op automatisch bijwerken.

Gebruik voor software van derden een oplossing voor patchbeheer van derden of Microsoft System Center Updates Publisher voor configuratiebeheer.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):

PV-7: Regelmatig Red Team-operaties uitvoeren

CIS-beveiligingsmaatregelen v8-ID's NIST SP 800-53 r4 ID('s) PCI-DSS-id('s) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Beveiligingsprincipe: simuleer echte aanvallen om een vollediger beeld te bieden van het beveiligingsprobleem van uw organisatie. Rode teambewerkingen en penetratietests vormen een aanvulling op de traditionele benadering voor het scannen van beveiligingsproblemen om risico's te detecteren.

Volg aanbevolen procedures voor de branche om dit soort tests te ontwerpen, voor te bereiden en uit te voeren om ervoor te zorgen dat deze geen schade of verstoring van uw omgeving veroorzaakt. Dit moet altijd betrekking hebben op het bespreken van testbereik en beperkingen met relevante belanghebbenden en resource-eigenaren.


Azure-richtlijnen: Voer naar behoefte penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg de Regels voor penetratietests van Microsoft Cloud om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

Azure-implementatie en aanvullende context:


AWS-richtlijnen: voer naar behoefte penetratietests of rode teamactiviteiten uit op uw AWS-resources en zorg voor herstel van alle kritieke beveiligingsresultaten.

Volg het AWS-klantondersteuningsbeleid voor penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met AWS-beleid.

AWS-implementatie en aanvullende context:


GCP-richtlijnen: voer naar behoefte penetratietests of rode teamactiviteiten uit op uw GCP-resource en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.

Volg het GCP-klantondersteuningsbeleid voor penetratietests om ervoor te zorgen dat uw penetratietests niet in strijd zijn met GCP-beleid.

GCP-implementatie en aanvullende context:


Belanghebbenden voor klantbeveiliging (meer informatie):