Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Postuur- en beveiligingsproblemenbeheer is gericht op controles voor het beoordelen en verbeteren van de Azure-beveiligingspostuur, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden van beveiligingsconfiguraties, rapportage en correctie in Azure-resources.
PV-1: Veilige configuraties definiëren en instellen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Beveiligingsprincipe: Definieer de beveiligde configuratiebasislijnen voor verschillende resourcetypen in de cloud. U kunt ook hulpprogramma's voor configuratiebeheer gebruiken om de configuratiebasislijn automatisch vóór of tijdens de implementatie van resources tot stand te brengen, zodat de omgeving standaard compatibel kan zijn na de implementatie.
Azure-richtlijnen: Gebruik de Azure Security Benchmark en servicebasislijn om uw configuratiebasislijn te definiëren voor elke respectieve Azure-aanbieding of -service. Raadpleeg de referentiearchitectuur van Azure en de architectuur van de landingszone van Cloud Adoption Framework om inzicht te krijgen in de kritieke beveiligingscontroles en configuraties die mogelijk nodig zijn voor Azure-resources.
Gebruik Azure Blueprints om de implementatie en configuratie van services en toepassingsomgevingen te automatiseren, waaronder Azure Resource Manager-sjablonen, Azure RBAC-besturingselementen en -beleid, in één blauwdrukdefinitie.
Implementatie en aanvullende context:
- Afbeelding van beveiligingsrails-implementatie in Enterprise Scale Landing Zone
- Werken met beveiligingsbeleid in Microsoft Defender voor Cloud
- Zelfstudie: Beleid maken en beheren om naleving af te dwingen
- Azure-blauwdrukken
Belanghebbenden voor klantbeveiliging (meer informatie):
Het controleren en afdwingen van veilige configuraties
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2.2 |
Beveiligingsprincipe: Continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie te implementeren.
Azure-richtlijnen: Gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd.
Gebruik Azure Policy met de regels [deny] en [deployIfNotExist] om een veilige configuratie af te dwingen voor Azure-resources.
Voor controle en afdwinging van resources die niet worden ondersteund door Azure Policy, moet u mogelijk uw eigen scripts schrijven of hulpprogramma's van derden gebruiken om de configuratiecontrole en afdwinging te implementeren.
Implementatie en aanvullende context:
- Inzicht in Azure Policy-effecten
- Beleid maken en beheren om naleving af te dwingen
- Nalevingsgegevens van Azure-resources ophalen
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-3: Veilige configuraties voor rekenresources definiëren en instellen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Beveiligingsprincipe: Definieer de beveiligde configuratiebasislijnen voor uw rekenresources, zoals VM's en containers. Gebruik hulpprogramma's voor configuratiebeheer om de configuratiebasislijn automatisch tot stand te brengen vóór of tijdens de implementatie van rekenresources, zodat de omgeving standaard na de implementatie compatibel kan zijn. Als alternatief kunt u een vooraf geconfigureerde installatiekopie gebruiken om de gewenste configuratiebasislijn in te bouwen in de sjabloon voor de rekenresource-installatiekopie.
Azure-richtlijnen: Gebruik de door Azure aanbevolen basislijn voor besturingssystemen (voor Zowel Windows als Linux) als benchmark om de basislijn voor de configuratie van uw rekenresource te definiëren.
Daarnaast kunt u aangepaste VM-installatiekopieën of containerinstallatiekopieën gebruiken met azure Policy-gastconfiguratie en Azure Automation State Configuration om de gewenste beveiligingsconfiguratie tot stand te brengen.
Implementatie en aanvullende context:
- Basislijn voor beveiliging van linux-besturingssysteem
- Windows OS-beveiligingsconfiguratiebasislijn
- Aanbeveling voor beveiligingsconfiguratie voor rekenresources
- Overzicht van Azure Automation State Configuration
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-4: Veilige configuraties voor rekenresources controleren en afdwingen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 4.1 | CM-2, CM-6 | 2.2 |
Beveiligingsprincipe: Continu bewaken en waarschuwen wanneer er een afwijking is van de gedefinieerde configuratiebasislijn in uw rekenresources. Dwing de gewenste configuratie af volgens de basislijnconfiguratie door de niet-compatibele configuratie te weigeren of een configuratie in rekenresources te implementeren.
Azure-richtlijnen: Gebruik de gastconfiguratieagent van Microsoft Defender voor Cloud en Azure Policy om configuratiedeviaties voor uw Azure-rekenresources regelmatig te evalueren en op te heffen, waaronder VM's, containers en andere. Daarnaast kunt u Azure Resource Manager-sjablonen, aangepaste installatiekopieën van besturingssystemen of Azure Automation State Configuration gebruiken om de beveiligingsconfiguratie van het besturingssysteem te onderhouden. Microsoft VM-sjablonen in combinatie met Azure Automation State Configuration kunnen helpen bij het voldoen aan en onderhouden van beveiligingsvereisten.
Opmerking: Vm-installatiekopieën van Azure Marketplace die door Microsoft worden gepubliceerd, worden beheerd en onderhouden door Microsoft.
Implementatie en aanvullende context:
- Aanbevelingen voor evaluatie van beveiligingsproblemen in Microsoft Defender for Cloud implementeren
- Een virtuele Azure-machine maken op een ARM-sjabloon
- Overzicht van Azure Automation State Configuration
- Een virtuele Windows-machine maken in Azure Portal
- Containerbeveiliging in Microsoft Defender voor Cloud
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-5: Evaluaties van beveiligingsproblemen uitvoeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Beveiligingsprincipe: Voer kwetsbaarhedensbeoordelingen uit voor uw cloud-resources op alle niveaus op een vast schema of op verzoek. Volg en vergelijk de scanresultaten om te controleren of de beveiligingsproblemen zijn hersteld. De evaluatie moet alle soorten beveiligingsproblemen bevatten, zoals beveiligingsproblemen in Azure-services, netwerk, web, besturingssystemen, onjuiste configuraties, enzovoort.
Houd rekening met de mogelijke risico's die zijn verbonden aan de bevoegde toegang die wordt gebruikt door de scanners voor beveiligingsproblemen. Volg de aanbevolen beveiligingsprocedures voor bevoegde toegang om beheerdersaccounts te beveiligen die worden gebruikt voor het scannen.
Azure-richtlijnen: Volg de aanbevelingen van Microsoft Defender voor Cloud voor het uitvoeren van evaluaties van beveiligingsproblemen op uw virtuele Azure-machines, containerinstallatiekopieën en SQL-servers. Microsoft Defender voor Cloud heeft een ingebouwde scanner voor beveiligingsproblemen voor het scannen van virtuele machines. Een oplossing van derden gebruiken voor het uitvoeren van evaluaties van beveiligingsproblemen op netwerkapparaten en toepassingen (bijvoorbeeld webtoepassingen)
Exporteer scanresultaten met consistente intervallen en vergelijk de resultaten met eerdere scans om te controleren of beveiligingsproblemen zijn hersteld. Wanneer u aanbevelingen voor beveiligingsbeheer gebruikt die worden voorgesteld door Microsoft Defender voor Cloud, kunt u naar de portal van de geselecteerde scanoplossing draaien om historische scangegevens weer te geven.
Gebruik bij het uitvoeren van externe scans geen enkel, eeuwigdurende, beheerdersaccount. Overweeg de inrichtingsmethodologie voor JIT (Just-In-Time) voor het scanaccount te implementeren. Referenties voor het scanaccount moeten worden beveiligd, bewaakt en alleen worden gebruikt voor scannen op beveiligingsproblemen.
Opmerking: Azure Defender-services (waaronder Defender voor server, containerregister, App Service, SQL en DNS) sluiten bepaalde mogelijkheden voor evaluatie van beveiligingsproblemen in. De waarschuwingen die worden gegenereerd op basis van Azure Defender-services, moeten worden bewaakt en gecontroleerd, samen met het resultaat van het scanprogramma voor beveiligingsproblemen van Microsoft Defender for Cloud.
Opmerking: zorg ervoor dat uw e-mailmeldingen instellen in Microsoft Defender voor Cloud.
Implementatie en aanvullende context:
- Aanbevelingen voor evaluatie van beveiligingsproblemen in Microsoft Defender for Cloud implementeren
- Geïntegreerde scanner voor beveiligingsproblemen voor virtuele machines
- Evaluatie van SQL-beveiligingsproblemen
- Scanresultaten van Microsoft Defender voor Cloud-beveiligingsproblemen exporteren
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-6: Beveiligingsproblemen snel en automatisch herstellen
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: FOUTHERSTEL | 6.1, 6.2, 6.5, 11.2 |
Beveiligingsprincipe: Implementeer snel en automatisch patches en updates om beveiligingsproblemen in uw cloudresources op te lossen. Gebruik de juiste benadering op basis van risico's om prioriteit te geven aan het herstel van de beveiligingsproblemen. Zo moeten ernstigere beveiligingsproblemen in een asset met een hogere waarde worden aangepakt als een hogere prioriteit.
Azure-richtlijnen: Gebruik Azure Automation UpdateBeheer of een oplossing van derden om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd op uw Windows- en Linux-VM's. Voor Windows-VM's moet u ervoor zorgen dat Windows Update is ingeschakeld en zo is ingesteld dat deze automatisch wordt bijgewerkt.
Gebruik voor software van derden een oplossing voor patchbeheer van derden of System Center Updates Publisher voor Configuration Manager.
Geef prioriteit aan welke updates eerst moeten worden geïmplementeerd met behulp van een gemeenschappelijk risicoscoreprogramma (zoals Common Vulnerability Scoring System) of de standaardrisicoclassificaties van uw externe scanprogramma en pas deze aan uw omgeving aan. U moet ook overwegen welke toepassingen een hoog beveiligingsrisico vormen en welke toepassingen een hoge uptime vereisen.
Implementatie en aanvullende context:
- Updatebeheer configureren voor virtuele machines in Azure
- Updates en patches voor uw Azure-VM's beheren
Belanghebbenden voor klantbeveiliging (meer informatie):
PV-7: Regelmatig Red Team-operaties uitvoeren
| CIS-beveiligingsmaatregelen v8-ID's | NIST SP 800-53 r4 ID('s) | PCI-DSS ID's v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Beveiligingsprincipe: Simuleer echte aanvallen om een volledigere weergave te bieden van het beveiligingsprobleem van uw organisatie. Rode teambewerkingen en penetratietests vormen een aanvulling op de traditionele benadering voor het scannen van beveiligingsproblemen om risico's te detecteren.
Volg aanbevolen procedures voor de branche om dit soort tests te ontwerpen, voor te bereiden en uit te voeren om ervoor te zorgen dat deze geen schade of verstoring van uw omgeving veroorzaakt. Dit moet altijd betrekking hebben op het bespreken van testbereik en beperkingen met relevante belanghebbenden en resource-eigenaren.
Azure-richtlijnen: Voer naar behoefte penetratietests of rode teamactiviteiten uit op uw Azure-resources en zorg ervoor dat alle kritieke beveiligingsresultaten worden hersteld.
Volg de Regels voor penetratietests van Microsoft Cloud om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live sitepenetratietests van Microsoft tegen door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.
Implementatie en aanvullende context:
- Penetratietests in Azure
- Uitgangspunten voor penetratietesten
- Microsoft Cloud Red Teaming
- Technische handleiding voor het testen en evalueren van informatiebeveiliging
Belanghebbenden voor klantbeveiliging (meer informatie):