Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Stel de beveiligingsconfiguratie van Azure-resources in, implementeer en beheer actief (bijhouden, rapporteren, corrigeren) om te voorkomen dat aanvallers gebruikmaken van kwetsbare services en instellingen.
7.1: Veilige configuraties voor alle Azure-resources tot stand brengen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.1 | 5.1 | Klant |
Gebruik Azure Policy-aliassen om aangepast beleid te maken om de configuratie van uw Azure-resources te controleren of af te dwingen. U kunt ook ingebouwde Azure Policy-definities gebruiken.
Azure Resource Manager heeft ook de mogelijkheid om de sjabloon te exporteren in JavaScript Object Notation (JSON), die moet worden gecontroleerd om ervoor te zorgen dat de configuraties voldoen aan/overschrijden de beveiligingsvereisten voor uw organisatie.
U kunt ook aanbevelingen van Azure Security Center gebruiken als een veilige configuratiebasislijn voor uw Azure-resources.
Zelfstudie: Beleid maken en beheren om naleving af te dwingen
Eén en meerdere resources exporteren naar een sjabloon in Azure Portal
7.2: Veilige besturingssysteemconfiguraties tot stand brengen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.2 | 5.1 | Klant |
Gebruik Azure Security Center-aanbevelingen om beveiligingsconfiguraties voor alle rekenresources te onderhouden. Daarnaast kunt u aangepaste installatiekopieën van besturingssystemen of Azure Automation State-configuratie gebruiken om de beveiligingsconfiguratie vast te stellen van het besturingssysteem dat door uw organisatie is vereist.
Een VHD uploaden en gebruiken om nieuwe Windows-VM's te maken in Azure
Een Virtuele Linux-machine maken op basis van een aangepaste schijf met de Azure CLI
7.3: Beveiligde Azure-resourceconfiguraties onderhouden
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.3 | 5.2 | Klant |
Gebruik Azure Policy [deny] en [deploy if not exist] om veilige instellingen af te dwingen in uw Azure-resources. Daarnaast kunt u Azure Resource Manager-sjablonen gebruiken om de beveiligingsconfiguratie van uw Azure-resources te onderhouden die uw organisatie nodig heeft.
7.4: Besturingssysteemconfiguraties beveiligen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.4 | 5.2 | Gedeeld |
Volg de aanbevelingen van Azure Security Center voor het uitvoeren van evaluaties van beveiligingsproblemen op uw Azure-rekenresources. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State-configuratie gebruiken om de beveiligingsconfiguratie te behouden van het besturingssysteem dat door uw organisatie is vereist. De sjablonen voor virtuele Microsoft-machines in combinatie met de Azure Automation Desired State Configuration kunnen helpen bij het voldoen aan en onderhouden van de beveiligingsvereisten.
Houd er ook rekening mee dat virtuele machine-afbeeldingen van Azure Marketplace die door Microsoft worden gepubliceerd, worden beheerd en onderhouden door Microsoft.
Aanbevelingen voor evaluatie van beveiligingsproblemen in Azure Security Center implementeren
Een virtuele Azure-machine maken op een Azure Resource Manager-sjabloon
7.5: De configuratie van Azure-resources veilig opslaan
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.5 | 5.3 | Klant |
Gebruik Azure DevOps om uw code veilig op te slaan en te beheren, zoals aangepaste Azure-beleidsregels, Azure Resource Manager-sjablonen en Desired State Configuration-scripts. Voor toegang tot de resources die u beheert in Azure DevOps, kunt u machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory, indien geïntegreerd met TFS.
7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.6 | 5.3 | Klant |
Als u aangepaste installatiekopieën gebruikt, gebruikt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën. Met behulp van een gedeelde afbeeldingsgalerie kunt u uw afbeeldingen delen met verschillende gebruikers, serviceprincipals of AD-groepen binnen uw organisatie. Voor containerinstallatiekopieën slaat u deze op in Azure Container Registry en maakt u gebruik van Azure RBAC om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot de installatiekopieën.
7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.7 | 5.4 | Klant |
Definieer en implementeer standaardbeveiligingsconfiguraties voor Azure-resources met behulp van Azure Policy. Gebruik Azure Policy-aliassen om aangepast beleid te maken om de netwerkconfiguratie van uw Azure-resources te controleren of af te dwingen. U kunt ook gebruikmaken van ingebouwde beleidsdefinities met betrekking tot uw specifieke resources. Daarnaast kunt u Azure Automation gebruiken om configuratiewijzigingen te implementeren.
7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7,8 | 5.4 | Klant |
Azure Automation State Configuration is een configuratiebeheerservice voor DSC-knooppunten (Desired State Configuration) in een cloud- of on-premises datacenter. U kunt eenvoudig machines onboarden, declaratieve configuraties toewijzen en rapporten weergeven met de naleving van elke computer aan de gewenste status die u hebt opgegeven.
7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.9 | 5.5 | Klant |
Gebruik Azure Security Center om basislijnscans uit te voeren voor uw Azure-resources. Daarnaast gebruikt u Azure Policy om azure-resourceconfiguraties te waarschuwen en te controleren.
7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.10 | 5.5 | Klant |
Gebruik Azure Security Center om basislijnscans uit te voeren voor besturingssysteem- en Docker-instellingen voor containers.
7.11: Azure-geheimen veilig beheren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.11 | 13.1 | Klant |
Gebruik Managed Service Identity in combinatie met Azure Key Vault om geheimbeheer voor uw cloudtoepassingen te vereenvoudigen en te beveiligen.
7.12: Identiteiten veilig en automatisch beheren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.12 | 4.1 | Klant |
Gebruik beheerde identiteiten om Azure-services te voorzien van een automatisch beheerde identiteit in Azure AD. Met beheerde identiteiten kunt u zich verifiëren bij elke service die Ondersteuning biedt voor Azure AD-verificatie, inclusief Key Vault, zonder referenties in uw code.
7.13: Onbedoelde referentieblootstelling elimineren
| Azure-id | CIS-id's | Verantwoordelijkheid |
|---|---|---|
| 7.13 | 18.1, 18.7 | Klant |
Implementeer referentiescanner om referenties in code te identificeren. Referentiescanner moedigt ook het verplaatsen van gedetecteerde referenties aan naar veiligere locaties, zoals Azure Key Vault.
Volgende stappen
- Zie het volgende beveiligingsbeheer: Malware Defense