Uw Azure-resources beschermen tegen destructieve cyberaanvallen

Dit artikel bevat stappen om de principes van Zero Trust toe te passen om uw Microsoft Azure-resources te beschermen tegen destructieve cyberaanvallen op de volgende manieren:

Zero Trust-principe	Definitie
Expliciet verifiëren	Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten.
Toegang met minimale bevoegdheden gebruiken	Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging.
Stel dat er sprake is van een schending	Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. Verbeter de beveiliging met resourcevergrendelingen, back-ups en herstel na noodgevallen voor virtuele machines, services voor gegevensbescherming en beschikbaarheid van gegevens, en beveiliging van uw herstelinfrastructuur, op configuratie gebaseerde services en platformautomatisering en DevOps-hulpprogramma's. Voor detectie van bedreigingen gebruikt u Microsoft Sentinel en geavanceerde meervoudige detectie en bereidt u uw reactieplannen voor incidenten voor Azure-resources voor.

Dit artikel bevat richtlijnen voor het volgende:

• Bescherm uw Microsoft Azure-resources tegen destructieve cyberaanvallen.
• Cyberaanvallen detecteren wanneer ze optreden.
• Hoe u erop kunt reageren.

Dit artikel is bedoeld voor technische implementeerfuncties ter ondersteuning van het implementatiescenario voor preventie van beveiligingsschending en herstelinfrastructuur zero Trust.

Referentiearchitectuur

In de volgende afbeelding ziet u de referentiearchitectuur voor deze Zero Trust-richtlijnen met groeperingen voor elke beveiligingscategorie.

Deze Azure-omgeving omvat:

Onderdeel	Beschrijving
A	Virtuele machines en hun bestanden
B	Gegevensservices en hun gegevens
E	Herstelinfrastructuur, inclusief bestanden en sjablonen en automatiseringsscripts
D	Op configuratie gebaseerde services
E	Platformautomatisering en DevOps-hulpprogramma's (niet weergegeven)

Taken voor het beveiligen van elk type asset worden uitgebreid beschreven in stap 1 van dit artikel.

Wat staat er in dit artikel?

In dit artikel worden de stappen beschreven voor het toepassen van de principes van Zero Trust in de referentiearchitectuur.

Stap	Taak
1	Configureer bescherming tegen cyberaanvallen.
2	Detectie van cyberaanvallen configureren.
3	Bereid uw reactieplannen voor incidenten voor.

Stap 1: Bescherming tegen cyberaanvallen configureren

Veel organisaties implementeren back-up- en noodhersteloplossingen voor hun virtuele Azure-machines als onderdeel van een migratie-inspanning. U kunt bijvoorbeeld systeemeigen Azure-oplossingen gebruiken of ervoor kiezen om uw eigen oplossingen van derden te gebruiken voor uw cloudecosysteem.

Hoewel het beveiligen van virtuele machines en hun apps en gegevens belangrijk is, is het ook essentieel om het bereik van beveiliging buiten virtuele machines uit te breiden. Deze sectie bevat een overzicht van overwegingen en aanbevelingen voor het beveiligen van verschillende typen resources in Azure tegen een destructieve cyberaanval.

Naast de servicespecifieke overwegingen moet u overwegen resourcevergrendelingen te gebruiken om te voorkomen dat services worden verwijderd door hun beheervlak te beveiligen. U kunt ook resourcevergrendelingen gebruiken om resources alleen-lezen weer te geven. Resourcevergrendelingen werken met gecontroleerde toegang om de kans te verminderen dat Azure-resources worden vernietigd in een cyberaanval door te voorkomen dat ze worden gewijzigd of vernietigd.

Als u wilt voorkomen dat resourcevergrendelingen onverwachte resultaten opleveren, moet u de overwegingen bekijken voordat u uw vergrendelingen toepast om ervoor te zorgen dat u de vergrendelingen toepast op de juiste resources op een manier die ze nog steeds toestaat om te werken. Als u bijvoorbeeld een virtueel netwerk (VNet) vergrendelt in plaats van een hele resourcegroep, kan voorkomen dat de vergrendeling te beperkend is voor andere resources binnen de resourcegroep. Vanwege deze overwegingen moet u prioriteit geven aan het vergrendelen van resources die, indien gewijzigd of verwijderd, de meeste onderbrekingen zouden veroorzaken.

Vergrendelingen kunnen ook enkele overwegingen hebben voor de beoogde hersteltijd voor workloads waarvoor een failover wordt uitgevoerd. Uw plan voor herstel na noodgevallen moet rekening houden met de vergrendelingen en u moet een geteste procedure hebben voor het verwijderen van vergrendelingen op een gecontroleerde manier. U moet uw beheerders en SecOps-medewerkers trainen over het beheren van vergrendelingen als onderdeel van dagelijkse bewerkingen en scenario's voor noodgevallen.

Beheerders met toegang tot het verwijderen van de vergrendelingen moeten worden beperkt en moeten JIT-toegang omvatten, zoals die wordt geleverd met Microsoft Entra Privileged Identity Management. Toegang tot wijzigingsvergrendelingen op resources wordt beheerd met het bereik Microsoft.Authorization/locks/* en mag niet worden verleend als onderdeel van permanente toegang.

A. Virtuele machines beveiligen

Voor workloads op basis van virtuele machines, waaronder schaalsets en Kubernetes-clusters, moet u twee beveiligingslagen plannen, naast het gebruik van resourcevergrendelingen in het beheervlak.

Eerst moet u een back-up van de gegevens van de virtuele machines plannen, zodat u verloren gegevens kunt herstellen als er een aanval plaatsvindt, waaronder de Azure Kubernetes Service (AKS). U moet ook de back-upgegevens zelf beschermen tegen aanvallen met behulp van besturingselementen voor voorlopig verwijderen. Zie voor meer informatie over het configureren van back-ups:

• Een Recovery Services-kluis maken en configureren
• Een back-up maken van een virtuele machine in Azure
• Back-up configureren voor een Azure Kubernetes Service-cluster
• Back-up en herstel voor AKS
• Back-up- en herstelplan ter bescherming tegen ransomware
• Voorlopig verwijderen van Azure Backup

Ten tweede moet u plannen dat u een server kunt herstellen naar een nieuwe locatie wanneer de onderliggende infrastructuur in uw regio wordt aangevallen. Zie Herstel na noodgevallen instellen voor Azure-VM's voor meer informatie over het configureren van replicatie op virtuele machines. Dit omvat de configuratie van toepassingen en instellingen voor de resources die tijdens de failover worden gebruikt.

Belangrijk

Wanneer u Azure Site Recovery gebruikt voor virtuele machines die deel uitmaken van een virtuele-machineschaalset, kunt u de status van de virtuele machine repliceren. De gerepliceerde apparaten bieden echter geen ondersteuning voor schalen.

Voor sommige workloads op basis van virtuele machines, zoals Kubernetes-clusters, kan de werkelijke status van de servers niet worden gerepliceerd via Azure Site Recovery. Mogelijk hebt u andere oplossingen nodig, zoals actieve/passieve configuratie.

B. Gegevensservices beveiligen

Gegevensservices zijn een informele verzameling services die gegevens bevatten die essentieel zijn voor bewerkingen, maar de resource zelf is niet zo belangrijk. Er is bijvoorbeeld weinig verschil tussen twee opslagaccounts die op dezelfde manier zijn geconfigureerd en dezelfde gegevens hosten.

Gegevensservices verschillen van virtuele machines, die mogelijk besturingssysteemconfiguraties gescheiden hebben van de toepassingen die worden uitgevoerd en gescheiden van de configuratie van het beheervlak. Als gevolg hiervan zijn de volgende services:

• Bevatten vaak hun eigen failoverhulpprogramma's, zoals de mogelijkheid van een opslagaccount om te repliceren naar een andere regio als onderdeel van GRS-lagen (geografisch redundante opslag).
• Houd rekening met hun eigen overwegingen voor het beveiligen van gegevens tegen aanvallen en om de gegevens opnieuw beschikbaar te maken in het geval van een aanval.

De volgende tabel bevat verwijzingen naar gegevensbescherming en beschikbaarheid voor veelgebruikte services, maar u moet de productdocumentatie van elke service onderzoeken om inzicht te hebben in de beschikbare opties.

Service	Gegevensbescherming	Beschikbaarheid van gegevens
Azure Files	Back-up maken van Azure-bestandsshares Onbedoeld verwijderen van Azure-bestandsshares voorkomen	Voorlopig verwijderen inschakelen op Azure-bestandsshares
Azure Blob-opslag	Herstel naar een bepaald tijdstip inschakelen voor blobgegevens Bedrijfskritieke blobgegevens opslaan met onveranderlijke opslag	Overzicht van gegevensbeveiliging voor Azure Blob Voorlopig verwijderen van containers inschakelen en beheren Voorlopig verwijderen inschakelen voor blobs
Azure SQL database (Azure SQL-database)	Automatische back-ups in Azure SQL Database	Actieve geo-replicatie Failovergroepen voor Azure SQL Database
Beheerde SQL-exemplaren	Geautomatiseerde back-ups in Azure SQL Managed Instance	Failovergroepen voor Azure SQL Managed Instance
SQL op virtuele Azure-machines	Back-up en herstel voor SQL Server op Virtuele Azure-machines	Failoverclusterexemplaren met SQL Server op Virtuele Azure-machines
Sleutelkluizen	Back-up en herstel van Azure Key Vault	Beveiliging voor voorlopig verwijderen en opschonen inschakelen voor sleutelkluizen Beschikbaarheid en redundantie van Azure Key Vault

Waarschuwing

Sommige herstelscenario's voor opslagaccounts worden niet ondersteund. Zie Niet-ondersteunde opslagherstel voor meer informatie.

C. Herstelinfrastructuur beveiligen

Naast het beveiligen van de resources op uw workloads, moet u ook de resources beveiligen die u gebruikt om de functionaliteit te herstellen na een onderbreking, zoals documentatie voor herstelprocedures en configuratiescripts en -sjablonen. Als aanvallers uw herstelinfrastructuur kunnen richten en verstoren, kan uw hele omgeving worden aangetast, wat leidt tot aanzienlijke vertragingen bij het herstellen van de aanval en het kwetsbaar maken van uw organisatie voor ransomware-scenario's.

Voor gegevens die worden beveiligd door Azure Backup, kunt u met voorlopig verwijderen voor Azure Backup back-up back-upgegevens herstellen, zelfs als deze zijn verwijderd. Bovendien dwingt verbeterde voorlopig verwijderen de toewijzing van voorlopig verwijderen af en kunt u een bewaarperiode definiëren.

Als u de beveiliging verder wilt verbeteren, implementeert u MUA (Multi-User Authorization) voor kritieke bewerkingen. Hiervoor moeten twee of meer gebruikers kritieke bewerkingen goedkeuren voordat ze worden uitgevoerd. Hierdoor wordt een extra beveiligingslaag toegevoegd door ervoor te zorgen dat er geen enkele gebruiker, en daarom een aanvaller met slechts één gebruikersaccount, de integriteit van de back-up kan misbruiken. Schakel MUA in en configureer deze om uw back-upbeleid te beschermen tegen niet-geautoriseerde wijzigingen en verwijderingen.

U kunt Azure Site Recovery beveiligen met resourcevergrendelingen en JEA/JIT-toegang om onbevoegde toegang en detectie te voorkomen wanneer resources risico lopen.

Wanneer u virtuele machines repliceert met Azure Site Recovery die zijn versleuteld met Azure Disk Encryption (ADE) of Door de klant beheerde sleutels (CMK), moet u ervoor zorgen dat de versleutelingssleutels worden opgeslagen in Azure Key Vault voor de doelregio. Het opslaan van de sleutels in de doelregio vergemakkelijkt naadloze toegang tot de sleutels na een failover en onderhoudt de continuïteit van de gegevensbeveiliging. Als u De Azure Key Vault wilt beschermen tegen destructieve cyberaanvallen, schakelt u geavanceerde functies voor bedreigingsbeveiliging in, zoals voorlopig verwijderen en beveiliging tegen opschonen.

Zie het volgende voor stapsgewijze replicatierichtlijnen voor versleutelde virtuele machines:

• Replicatie van met ADE beveiligde VM's
• Replicatie van VM's met CMK-schijven

D. Op configuratie gebaseerde services beveiligen

Op configuratie gebaseerde services zijn Azure-services die geen gegevens bevatten naast hun configuratie in het beheervlak. Deze resources zijn over het algemeen op infrastructuur gebaseerd en zijn fundamentele services die workloads ondersteunen. Voorbeelden hiervan zijn VNets, load balancers, netwerkgateways en toepassingsgateways.

Omdat deze services staatloos zijn, zijn er geen operationele gegevens om te beveiligen. De beste optie voor het beveiligen van deze services is om infrastructuur als code (IaC) implementatiesjablonen zoals Bicep te hebben die de status van deze services kunnen herstellen na een destructieve aanval. U kunt ook scripts gebruiken voor implementaties, maar IaC-implementaties werken beter om functionaliteit te herstellen in een bestaande omgeving waar slechts enkele services worden beïnvloed.

Zolang een resource op dezelfde manier kan worden geïmplementeerd, kunnen services blijven werken. In plaats van een back-up te maken en kopieën van deze resources te onderhouden, kunt u de programmatische implementatie gebruiken om te herstellen na een aanval.

Zie Aanbevelingen voor het gebruik van infrastructuur als code voor meer informatie over het gebruik van IaC.

E. Platformautomatisering en DevOps-hulpprogramma's beveiligen

Als u programmatische implementaties of andere typen automatisering gebruikt, moeten ook resources voor platformautomatisering en DevOps-hulpprogramma's worden beveiligd. Zie DevOps CI/CD-pijplijnen en aanbevelingen beveiligen voor het beveiligen van een ontwikkelingslevenscyclus voor voorbeelden om uw implementatie-infrastructuur te beveiligen.

U moet echter ook van plan zijn om de code zelf te beveiligen, die varieert op basis van de hulpprogramma's voor broncodebeheer die u gebruikt. GitHub bevat bijvoorbeeld instructies voor het maken van een back-up van een opslagplaats voor uw broncodeopslagplaatsen.

U moet ook uw specifieke services controleren om te bepalen hoe u uw broncode en pijplijnen het beste kunt beschermen tegen aanvallen en vernietiging.

Voor onderdelen zoals buildagents die worden gehost op virtuele machines, kunt u het juiste beveiligingsplan op basis van virtuele machines gebruiken om ervoor te zorgen dat uw agents beschikbaar zijn wanneer dat nodig is.

Stap 2: Detectie van cyberaanvallen configureren

Voor het detecteren van aanvallen op uw Azure-infrastructuur begint u met Microsoft Defender voor Cloud, een cloudeigen PLATFORM voor toepassingsbeveiliging (CNAPP) dat bestaat uit beveiligingsmaatregelen en -procedures die zijn ontworpen om cloudtoepassingen te beschermen tegen verschillende cyberbedreigingen en beveiligingsproblemen.

Defender voor Cloud, in combinatie met aanvullende plannen voor Azure-onderdelen, verzamelt signalen van Azure-onderdelen en biedt specifieke beveiligingen voor servers, containers, opslag, databases en andere workloads.

In het volgende diagram ziet u de stroom van beveiligingsgebeurtenisgegevens van Azure-services via Defender voor Cloud en Microsoft Sentinel.

In de afbeelding:

• Azure-services verzenden signalen naar Microsoft Defender voor Cloud.
• Microsoft Defender voor Cloud analyseert, met aanvullende plannen zoals Defender voor Servers, de signalen voor verbeterde detectie van bedreigingen en verzendt SIEM-gegevens (Security Information and Event Management) naar Microsoft Sentinel.
• Microsoft Sentinel gebruikt de SIEM-gegevens voor detectie, onderzoek, reactie en proactieve opsporing van cyberaanvallen.

Nadat u uw Azure-resources beter hebt beveiligd met de aanbevelingen in stap 1 van dit artikel, moet u een plan hebben voor het detecteren van destructieve cyberaanvallen met behulp van Microsoft Sentinel. Een startpunt is het gebruik van geavanceerde detectie van aanvallen met meerdere fasen in Microsoft Sentinel. Hiermee kunt u detecties bouwen voor specifieke scenario's, zoals gegevensvernietiging, denial of service, schadelijke beheeractiviteiten en nog veel meer.

Als onderdeel van het voorbereiden van uw workloads voor reactie, moet u het volgende doen:

• Bepaal hoe u kunt bepalen of een resource wordt aangevallen.
• Bepaal hoe u een incident kunt vastleggen en genereren als gevolg hiervan.

Stap 3: Uw reactieplannen voor incidenten voorbereiden

U moet goed gedefinieerde en kant-en-klare plan voor incidentrespons hebben voor destructieve cyberaanvallen voordat incidenten optreden. Tijdens een incident hebt u geen tijd om te bepalen hoe aanvallen worden uitgevoerd of beschadigde gegevens en services kunt herstellen.

Azure-toepassingen en gedeelde services moeten allemaal reactie- en herstelplannen hebben met playbooks voor het herstellen van virtuele machines, gegevensservices, configuratieservices en automatisering/DevOps-services. Elk toepassings- of servicegebied moet de definities en goed gedefinieerde afhankelijkheden hebben.

Uw playbooks moeten het volgende doen:

• Neem uw processen op voor de volgende scenario's:

  • Failover van Virtuele Azure-machines naar een secundaire regio
  • Azure VM-gegevens herstellen in Azure Portal
  • Bestanden herstellen naar een virtuele machine in Azure
  • Voorlopig verwijderde gegevens en herstelpunten herstellen met verbeterde voorlopig verwijderen in Azure Backup
  • De status van Kubernetes-clusters herstellen na een noodgeval
  • Een verwijderd opslagaccount herstellen
  • Een voorlopig verwijderde sleutelkluis herstellen
  • Voorlopig verwijderde geheimen, sleutels en certificaten herstellen uit een sleutelkluis
  • Richtlijnen voor herstel na noodgevallen voor Azure SQL Database

• Neem het herstelproces op voor alle andere resources waaruit deze service bestaat.

• Periodiek worden getest als onderdeel van uw SecOps-onderhoudsprocessen.

Aanbevolen training

• Privileged Identity Management implementeren
• Een oplossing ontwerpen voor back-up en herstel na noodgevallen
• Uw cloudbeveiligingspostuur verbeteren met Microsoft Defender voor Cloud
• Detecties maken en onderzoeken uitvoeren met Microsoft Sentinel

Volgende stappen

Ga door met het implementeren van uw beveiligingsinbreukpreventie- en herstelinfrastructuur.

Verwijzingen

Raadpleeg deze koppelingen voor meer informatie over de verschillende services en technologieën die in dit artikel worden genoemd.

• Resourcevergrendelingen
• Microsoft Entra Privileged Identity Management
• Voorlopig verwijderen voor Azure Backup
• Autorisatie voor meerdere gebruikers (MUA)
• Bicep
• Microsoft Defender voor Cloud
• Microsoft Sentinel