Zero Trust-principes toepassen op IaaS-toepassingen in Amazon Web Services
Dit artikel bevat stappen voor het toepassen van de principes van Zero Trust op IaaS-toepassingen in Amazon Web Services (AWS):
Zero Trust-principe | Definitie | Ontmoet door |
---|---|---|
Expliciet verifiëren | Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten. | Beveiliging in DevOps (DevSecOps), met behulp van geavanceerde beveiliging van GitHub en DevOps, scant en beveiligt uw infrastructuur als code. |
Toegang met minimale bevoegdheden gebruiken | Beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging. |
|
Stel dat er sprake is van een schending | Minimaliseer straal en segmenttoegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren. |
|
Zie het overzicht Zero Trust toepassen op Azure IaaS voor meer informatie over het toepassen van de principes van Zero Trust in een Azure IaaS-omgeving.
AWS- en AWS-onderdelen
AWS is een van de openbare cloudproviders die beschikbaar zijn in de markt, samen met Microsoft Azure, Google Cloud Platform en andere. Het is gebruikelijk dat bedrijven een architectuur met meerdere clouds hebben die bestaat uit meer dan één cloudprovider. In dit artikel richten we ons op een architectuur met meerdere clouds, waarbij:
- Azure en AWS zijn geïntegreerd voor het uitvoeren van workloads en IT-bedrijfsoplossingen.
- U beveiligt een AWS IaaS-workload met behulp van Microsoft-producten.
Virtuele AWS-machines, Amazon Elastic Compute Cloud (Amazon EC2) genoemd, worden uitgevoerd op een virtueel AWS-netwerk, Amazon Virtual Private Cloud (Amazon VPC). Gebruikers en cloudbeheerders stellen een Amazon VPC in hun AWS-omgeving in en voegen virtuele Amazon EC2-machines toe.
AWS CloudTrail registreert AWS-accountactiviteit in de AWS-omgeving. Amazon EC2, Amazon VPC en AWS CloudTrail zijn gebruikelijk in AWS-omgevingen. Het verzamelen van logboeken van deze services is essentieel om te begrijpen wat er gebeurt in uw AWS-omgeving en de acties die moeten worden ondernomen om aanvallen te voorkomen of te beperken.
Amazon GuardDuty is een service voor detectie van bedreigingen waarmee AWS-workloads kunnen worden beschermd door de AWS-omgeving te bewaken op schadelijke activiteiten en niet-geautoriseerd gedrag.
In dit artikel leert u hoe u bewaking en logboekregistratie van deze AWS-resources en -services integreert met de bewakingsoplossingen van Azure en de Microsoft-beveiligingsstack.
Referentiearchitectuur
In het volgende architectuurdiagram ziet u de algemene services en resources die nodig zijn om een IaaS-workload uit te voeren in een AWS-omgeving. In het diagram ziet u ook de Azure-services die nodig zijn om logboeken en gegevens uit de AWS-omgeving op te nemen in Azure en om bedreigingsbewaking en -beveiliging te bieden.
In het diagram ziet u de opname van logboeken in Azure voor de volgende resources en services in de AWS-omgeving:
- Amazon Elastic Compute Cloud (Amazon EC2)
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon Web Services CloudTrail (AWS CloudTrail)
- Amazon GuardDuty
Als u logboeken wilt opnemen in Azure voor de resources en services in de AWS-omgeving, moet Amazon Simple Storage Service (Amazon S3) en Amazon Simple Queue Service (SQS) zijn gedefinieerd.
Logboeken en gegevens worden opgenomen in Log Analytics in Azure Monitor.
De volgende Microsoft-producten gebruiken de opgenomen gegevens om te controleren:
- Microsoft Defender for Cloud
- Microsoft Sentinel
- Microsoft Defender voor Eindpunten
Notitie
U hoeft geen logboeken op te nemen in alle Microsoft-producten die worden vermeld om uw AWS-resources en -services te bewaken. Het gebruik van alle Microsoft-producten samen biedt echter meer voordeel van AWS-logboek- en gegevensopname in Azure.
Dit artikel volgt het architectuurdiagram en beschrijft het volgende:
- Installeer en configureer de Microsoft-producten voor het opnemen van logboeken van uw AWS-resources.
- Configureer metrische gegevens voor de beveiligingsgegevens die u wilt bewaken.
- Verbeter uw algehele beveiligingspostuur en beveilig de AWS-workload.
- Infrastructuur beveiligen als code.
Stap 1: Microsoft-producten installeren en verbinden om logboeken en gegevens op te nemen
In deze sectie wordt uitgelegd hoe u de Microsoft-producten in de architectuur waarnaar wordt verwezen, kunt installeren en verbinden om logboeken op te nemen van uw AWS- en Amazon-services en -resources. Als u zich expliciet wilt houden aan het zero trust-principe, moet u Microsoft-producten installeren en verbinding maken met uw AWS-omgeving om proactieve acties te ondernemen vóór een aanval.
Stappen | Opdracht |
---|---|
A | Installeer de Azure Verbinding maken ed Machine-agent op uw virtuele Machines van Amazon Elastic Compute Cloud (Amazon EC2) om besturingssysteemgegevens en -logboeken op te nemen in Azure. |
B | Installeer De Azure Monitor-agent op virtuele Amazon EC2-machines om logboeken naar uw Log Analytics-werkruimte te verzenden. |
E | Verbinding maken een AWS-account Microsoft Defender voor Cloud. |
D | Verbinding maken Microsoft Sentinel naar AWS om AWS-logboekgegevens op te nemen. |
E | Gebruik de AWS-connectors om AWS-servicelogboeken op te halen in Microsoft Sentinel. |
A. Azure Verbinding maken ed Machine-agent installeren op uw virtuele Amazon EC2-machines om besturingssysteemgegevens en -logboeken op te nemen in Azure
Met Servers met Azure Arc kunt u fysieke Windows- en Linux-servers en virtuele machines beheren die buiten Azure, in uw bedrijfsnetwerk of een andere cloudprovider worden gehost. Voor azure Arc worden machines die buiten Azure worden gehost, beschouwd als hybride machines. Als u uw virtuele Amazon EC2-machines (ook wel hybride machines genoemd) wilt verbinden met Azure, installeert u de Azure Verbinding maken ed Machine-agent op elke machine.
Zie Verbinding maken hybride machines naar Azure voor meer informatie.
B. Azure Monitor Agent installeren op virtuele Amazon EC2-machines om logboeken naar uw Log Analytics-werkruimte te verzenden
Azure Monitor biedt volledige bewaking voor uw resources en toepassingen die worden uitgevoerd in Azure en andere clouds, waaronder AWS. Azure Monitor verzamelt, analyseert en handelt op telemetrie vanuit uw cloud- en on-premises omgevingen. VM-inzichten in Azure Monitor maakt gebruik van servers met Azure Arc om een consistente ervaring te bieden tussen virtuele Azure-machines en uw virtuele Amazon EC2-machines. U kunt uw virtuele Amazon EC2-machines direct naast uw virtuele Azure-machines bekijken. U kunt uw virtuele Amazon EC2-machines onboarden met behulp van identieke methoden. Dit omvat het gebruik van standaard Azure-constructies, zoals Azure Policy en het toepassen van tags.
Wanneer u VM-inzichten voor een machine inschakelt, wordt de Azure Monitor Agent (AMA) geïnstalleerd. AMA verzamelt bewakingsgegevens van de virtuele Amazon EC2-machines en levert deze aan Azure Monitor voor gebruik door functies, inzichten en andere services, zoals Microsoft Sentinel en Microsoft Defender voor Cloud.
Belangrijk
Log Analytics is een hulpprogramma in Azure Portal dat u gebruikt om logboekquery's te bewerken en uit te voeren op gegevens in azure Monitor Logs Store. Log Analytics wordt automatisch geïnstalleerd.
Voor virtuele Amazon EC2-machines is mogelijk de verouderde Log Analytics-agent geïnstalleerd. Deze agent wordt in september 2024 afgeschaft. Microsoft raadt u aan de nieuwe Azure Monitor-agent te installeren.
De Log Analytics-agent of Azure Monitor Agent voor Windows en Linux is vereist voor het volgende:
- Besturingssysteem en workloads die op de computer worden uitgevoerd, proactief bewaken.
- Beheer de machine met behulp van Automation-runbooks of oplossingen zoals Updatebeheer.
- Gebruik andere Azure-services, zoals Microsoft Defender voor Cloud.
Wanneer u logboeken en gegevens verzamelt, wordt de informatie opgeslagen in een Log Analytics-werkruimte. U hebt een Log Analytics-werkruimte nodig als u gegevens verzamelt uit Azure-resources in uw abonnement.
Azure Monitor-werkmappen zijn een hulpprogramma voor visualisaties dat beschikbaar is in Azure Portal. Werkmappen combineren tekst, logboekquery's, metrische gegevens en parameters in uitgebreide interactieve rapporten. Het instellen van werkmappen helpt u bij het gebruik van analyses om te voldoen aan het Zero Trust-principe van schending .
Werkmappen worden besproken in het volgende artikel onder Monitor in Microsoft Sentinel-logboeken van Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail en Amazon GuardDuty.
Zie voor meer informatie:
- AMA installeren via regels voor gegevensverzameling in Azure Monitor
- Een Log Analytics-werkruimte maken
- Aan de slag met Azure-werkmappen
C. een AWS-account Verbinding maken om te Microsoft Defender voor Cloud
Microsoft Defender voor Cloud is een Cloud Security Posture Management (CSPM) en Cloud Workload Protection Platform (CWPP) voor al uw Azure-, on-premises en multicloudresources, waaronder AWS. Defender for Cloud vervult drie essentiële behoeften bij het beheren van de beveiliging van uw resources en workloads in de cloud en on-premises:
- Continu evalueren - Uw beveiligingspostuur kennen. Beveiligingsproblemen identificeren en bijhouden.
- Beveiligen - Resources en services beveiligen met de Microsoft-cloudbeveiligingsbenchmark (MCSB) en AWS Foundational Security Best Practices-standaard.
- Verdedigen: bedreigingen voor resources en services detecteren en oplossen.
Microsoft Defender voor Servers is een van de betaalde abonnementen van Microsoft Defender voor Cloud. Defender for Servers breidt de beveiliging uit naar uw Windows- en Linux-machines die worden uitgevoerd in Azure, AWS, Google Cloud Platform en on-premises. Defender for Servers kan worden geïntegreerd met Microsoft Defender voor Eindpunt om eindpuntdetectie en -respons (EDR) en andere functies voor bedreigingsbeveiliging te bieden.
Zie voor meer informatie:
- Verbinding maken een AWS-account om uw AWS-resources te Microsoft Defender voor Cloud te beveiligen.
- Selecteer een Defender for Servers-plan in Microsoft Defender voor Cloud om verschillende abonnementen te vergelijken die worden aangeboden door Defender for Servers. Defender voor Servers richt de Defender for Endpoint-sensor automatisch in op elke ondersteunde computer die is verbonden met Defender voor Cloud.
Notitie
Als u AMA nog niet op uw servers hebt geïmplementeerd, kunt u de Azure Monitor-agent op uw servers implementeren wanneer u Defender for Servers inschakelt.
D. Verbinding maken Microsoft Sentinel naar AWS om AWS-logboekgegevens op te nemen
Microsoft Sentinel is een schaalbare, cloudeigen oplossing die de volgende services biedt:
- Security Information and Event Management (SIEM)
- Beveiligingsindeling, automatisering en respons (SOAR)
Microsoft Sentinel levert beveiligingsanalyses en bedreigingsinformatie in de hele onderneming. Met Microsoft Sentinel krijgt u één oplossing voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.
Zie Microsoft Sentinel onboarden voor installatie-instructies.
E. De AWS-connectors gebruiken om AWS-servicelogboeken op te halen in Microsoft Sentinel
Als u de AWS-servicelogboeken wilt ophalen in Microsoft Sentinel, moet u een Microsoft Sentinel AWS-connector gebruiken. De connector werkt door Microsoft Sentinel toegang te geven tot uw AWS-resourcelogboeken. Het instellen van de connector brengt een vertrouwensrelatie tot stand tussen AWS en Microsoft Sentinel. Op AWS wordt een rol gemaakt waarmee Microsoft Sentinel toegang krijgt tot uw AWS-logboeken.
De AWS-connector is beschikbaar in twee versies: de nieuwe Amazon Simple Storage Service -connector (Amazon S3) die logboeken opneemt door ze op te halen uit een Amazon S3-bucket en de verouderde connector voor CloudTrail-beheer- en gegevenslogboeken. De Amazon S3-connector kan logboeken opnemen van Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail en Amazon GuardDuty. De Amazon S3-connector is in preview. We raden u aan de Amazon S3-connector te gebruiken.
Als u logboeken van Amazon VPC, AWS CloudTrail en Amazon GuardDuty wilt opnemen met behulp van de Amazon S3-connector, raadpleegt u Verbinding maken Microsoft Sentinel naar AWS.
Notitie
Microsoft raadt aan het automatische installatiescript te gebruiken om de Amazon S3-connector te implementeren. Als u liever elke stap handmatig uitvoert, volgt u de handmatige installatie om Microsoft Sentinel te verbinden met AWS.
Stap 2: Metrische gegevens configureren voor uw beveiligingsgegevens
Nu Azure logboeken van uw AWS-resources opneemt, kunt u regels voor detectie van bedreigingen maken in uw omgeving en waarschuwingen bewaken. In dit artikel worden de stappen beschreven voor het verzamelen van logboeken en gegevens en het bewaken van verdachte activiteiten. Zero Trust gaat ervan uit dat inbreukprincipe wordt bereikt door uw omgeving te bewaken op bedreigingen en beveiligingsproblemen.
Stappen | Opdracht |
---|---|
A | Verzamel Amazon Elastic Compute Cloud-logboeken (Amazon EC2) in Azure Monitor. |
B | Bekijk en beheer Microsoft Defender voor Cloud beveiligingswaarschuwingen en aanbevelingen voor Amazon EC2. |
E | Integreer Microsoft Defender voor Eindpunt met Defender voor Cloud. |
D | Amazon EC2-gegevens bewaken in Microsoft Sentinel. |
E | Bewaak in Microsoft Sentinel-logboeken van Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail en Amazon GuardDuty. |
F | Gebruik Ingebouwde detectieregels van Microsoft Sentinel om regels voor detectie van bedreigingen in uw omgeving te maken en te onderzoeken. |
A. Amazon Elastic Compute Cloud -logboeken (Amazon EC2) verzamelen in Azure Monitor
Met de Azure Verbinding maken ed Machine-agent die is geïnstalleerd op uw Amazon EC2-VM's, kunt u uw AWS-resources bewaken alsof het Azure-resources zijn. U kunt bijvoorbeeld Azure-beleid gebruiken om updates voor uw Amazon EC2-VM's te beheren en te beheren.
De Azure Monitor-agent (AMA) die is geïnstalleerd op uw Amazon EC2-VM's verzamelt bewakingsgegevens en levert deze aan Azure Monitor. Deze logboeken worden invoer voor Microsoft Sentinel en Defender voor Cloud.
Zie Regels voor gegevensverzameling maken om logboeken van uw Amazon EC2-VM's te verzamelen.
B. Beveiligingswaarschuwingen en -aanbevelingen voor Amazon EC2 bekijken en Microsoft Defender voor Cloud beheren
Microsoft Defender voor Cloud resourcelogboeken gebruikt om beveiligingswaarschuwingen en aanbevelingen te genereren. Defender voor Cloud kunt waarschuwingen geven om u te waarschuwen over mogelijke bedreigingen op uw Amazon EC2-VM's. Waarschuwingen krijgen prioriteit op ernst. Elke waarschuwing bevat details van betrokken resources, problemen en aanbevelingen voor herstel.
Er zijn twee manieren om aanbevelingen weer te geven in Azure Portal. Op de overzichtspagina van Defender voor Cloud bekijkt u aanbevelingen voor de omgeving die u wilt verbeteren. Op de pagina Defender voor Cloud assetinventaris worden aanbevelingen weergegeven op basis van de betreffende resource.
Amazon EC2-waarschuwingen en -aanbevelingen weergeven en beheren:
- Meer informatie over de verschillende typen waarschuwingen die beschikbaar zijn in Defender voor Cloud en hoe u kunt reageren op waarschuwingen.
- Verbeter uw beveiligingspostuur door aanbevelingen van Defender voor Cloud te implementeren.
- Meer informatie over het openen van de pagina assetinventaris van Defender voor Cloud.
Notitie
Microsoft Cloud Security Benchmark (MCSB) bevat een verzameling beveiligingsaanbevelingen die u kunt gebruiken om uw cloudservices in één of meerdere cloudomgevingen te beveiligen. Microsoft raadt u aan beveiligingsbenchmarks te gebruiken om u te helpen bij het snel beveiligen van cloudimplementaties. Meer informatie over de MCSB.
C. Microsoft Defender voor Eindpunt integreren met Defender voor Cloud
Beveilig uw eindpunten met de geïntegreerde eindpuntdetectie en -respons-oplossing van Defender voor Cloud, Microsoft Defender voor Eindpunt. Microsoft Defender voor Eindpunt beschermt uw Windows- en Linux-machines, ongeacht of deze worden gehost in Azure, on-premises of in een omgeving met meerdere clouds. Microsoft Defender voor Eindpunt is een holistische, cloudoplossing voor eindpuntbeveiliging. De belangrijkste functies zijn:
- Risicobeheer en evaluatie van beveiligingsproblemen
- Kwetsbaarheid voor aanvallen verminderen
- Gedragsgebaseerde en cloudbeveiliging
- Eindpuntdetectie en -respons (EDR)
- Automatisch onderzoek en herstel
- Beheerde opsporingsservices
Zie De Microsoft Defender voor Eindpunt-integratie inschakelen voor meer informatie.
D. Amazon EC2-gegevens bewaken in Microsoft Sentinel
Nadat u Azure Verbinding maken ed Machine Agent en AMA hebt geïnstalleerd, beginnen Amazon EC2-besturingssystemen logboeken te verzenden naar Azure Log Analytics-tabellen die automatisch beschikbaar zijn voor Microsoft Sentinel.
In de volgende afbeelding ziet u hoe amazon EC2-besturingssysteemlogboeken worden opgenomen door Microsoft Sentinel. De Azure Verbinding maken ed Machine-agent maakt uw Amazon EC2-VM's deel uit van Azure. De Windows-beveiliging Gebeurtenissen via AMA-gegevensconnector verzamelt gegevens van uw Amazon EC2-VM's.
Notitie
U hebt Microsoft Sentinel niet nodig om logboeken op te nemen van Amazon EC2, maar u hebt wel een Log Analytics-werkruimte nodig die u eerder hebt ingesteld.
Zie Amazon EC2 Sentinel Ingestion met behulp van Arc en AMA, een document in GitHub voor stapsgewijze instructies. Het GitHub-document bevat adressen voor het installeren van AMA, die u kunt overslaan omdat u AMA eerder in deze oplossingshandleiding hebt geïnstalleerd.
E. Bewaken in Microsoft Sentinel-logboeken van Amazon Virtual Private Cloud (Amazon VPC), AWS CloudTrail en Amazon GuardDuty
Eerder hebt u Microsoft Sentinel verbonden met AWS met behulp van de Amazon Simple Storage Service (Amazon S3)-connector. De Amazon S3-bucket verzendt logboeken naar uw Log Analytics-werkruimte, het onderliggende hulpprogramma dat wordt gebruikt om er query's op uit te voeren. De volgende tabellen worden gemaakt in de werkruimte:
- AWSCloudTrail - AWS CloudTrail-logboeken bevatten al uw gegevens- en beheergebeurtenissen van uw AWS-account.
- AWSGuardDuty - Amazon GuardDuty Findings vertegenwoordigen een mogelijk beveiligingsprobleem dat in uw netwerk is gedetecteerd. Amazon GuardDuty genereert een bevinding wanneer er onverwachte en mogelijk schadelijke activiteiten in uw AWS-omgeving worden gedetecteerd.
- Met STROOMlogboeken van AWSVPCFlow - Amazon Virtual Private Cloud (Amazon VPC) kunt u IP-verkeer vastleggen van en naar uw Amazon VPC-netwerkinterfaces.
U kunt query's uitvoeren op Amazon VPC-stroomlogboeken, AWS CloudTrail en Amazon GuardDuty in Microsoft Sentinel. Hier volgen queryvoorbeelden voor elke service en de bijbehorende tabel in Log Analytics:
Voor Amazon GuardDuty-logboeken:
AWSGuardDuty | waarbij ernst > 7 | summarize count() by ActivityType
Voor Amazon VPC Flow-logboeken:
AWSVPCFlow | where Action == "REJECT" | where Type == "Ipv4" | nemen 10
Voor AWS CloudTrail-logboeken:
AWSCloudTrail | where EventName == "CreateUser" | summarize count() by AWSRegion
In Microsoft Sentinel gebruikt u de Amazon S3-werkmap om meer details te analyseren.
Voor AWS CloudTrail kunt u het volgende analyseren:
- Gegevensstroom in de loop van de tijd
- Account-id's
- Lijst met gebeurtenisbronnen
Voor Amazon GuardDuty kunt u het volgende analyseren:
- Amazon GuardDuty per kaart
- Amazon GuardDuty per regio
- Amazon GuardDuty per IP
F. Ingebouwde detectieregels van Microsoft Sentinel gebruiken om regels voor detectie van bedreigingen in uw omgeving te maken en te onderzoeken
Nu u uw gegevensbronnen hebt verbonden met Microsoft Sentinel, gebruikt u ingebouwde detectieregelsjablonen van Microsoft Sentinels om u te helpen bij het maken en onderzoeken van regels voor bedreigingsdetectie in uw omgeving. Microsoft Sentinel biedt standaard ingebouwde sjablonen om u te helpen bij het maken van regels voor bedreigingsdetectie.
Het microsoft-team van beveiligingsexperts en analisten ontwerpt regelsjablonen op basis van bekende bedreigingen, veelvoorkomende aanvalsvectoren en escalatieketens van verdachte activiteiten. Regels die op basis van deze sjablonen zijn gemaakt, zoeken automatisch in uw omgeving naar activiteiten die verdacht lijken. Veel van de sjablonen kunnen worden aangepast om te zoeken naar activiteiten of ze te filteren op basis van uw behoeften. De waarschuwingen die door deze regels worden gegenereerd, maken incidenten die u in uw omgeving kunt toewijzen en onderzoeken.
Stap 3: uw algehele beveiligingspostuur verbeteren
In deze sectie leert u hoe Microsoft Entra-machtigingsbeheer u helpt ongebruikte en overmatige machtigingen te bewaken. U doorloopt hoe u belangrijke gegevens configureert, onboardt en bekijkt. Het zero Trust-principe voor toegang met minimale bevoegdheden wordt bereikt door de toegang tot uw resources te beheren, te beheren en te bewaken.
Stappen | Opdracht |
---|---|
A | Machtigingenbeheer en Privileged Identity Management configureren. |
B | Onboarding van een AWS-account. |
E | Belangrijke statistieken en gegevens weergeven. |
Machtigingenbeheer configureren
Permissions Management is een CIEM-oplossing (Cloud Infrastructure Entitlement Management) die detecteert, automatisch de juiste grootten detecteert en continu ongebruikte en overmatige machtigingen bewaakt in uw infrastructuur met meerdere clouds.
Met Permissions Management worden zero Trust-beveiligingsstrategieën dieper in het gebruik van het principe voor toegang met minimale bevoegdheden vergroot, zodat klanten het volgende kunnen doen:
- Krijg uitgebreide zichtbaarheid: ontdek welke identiteit doet wat, waar en wanneer.
- Automatiseer toegang met minimale bevoegdheden: gebruik toegangsanalyse om ervoor te zorgen dat identiteiten op het juiste moment over de juiste machtigingen beschikken.
- Toegangsbeleid samenvoegen tussen IaaS-platforms: consistent beveiligingsbeleid implementeren in uw cloudinfrastructuur.
Permissions Management biedt een overzicht van belangrijke statistieken en gegevens voor AWS en Azure. De gegevens bevatten metrische gegevens met betrekking tot vermijdbare risico's. Met deze metrische gegevens kan de beheerder van machtigingenbeheer gebieden identificeren waar risico's met betrekking tot het zero trust-principe van toegang met minimale bevoegdheden kunnen worden verminderd.
Gegevens kunnen worden ingevoerd in Microsoft Sentinel voor verdere analyse en automatisering.
Als u taken wilt implementeren, raadpleegt u:
- A. Machtigingenbeheer inschakelen in uw organisatie
- B. Een AWS-account onboarden voor machtigingenbeheer
- C. Belangrijke statistieken en gegevens weergeven
Stap 4: Infrastructuur beveiligen als code
In deze sectie wordt een belangrijke pijler van DevSecOps behandeld, uw infrastructuur scannen en beveiligen als code. Voor infrastructuur als code moeten beveiligings- en DevOps-teams controleren op onjuiste configuraties die kunnen leiden tot beveiligingsproblemen in uw infrastructuurimplementaties.
Door doorlopende controles te implementeren op Azure Resource Manager-, Bicep- of Terraform-sjablonen, voorkomt u schendingen en aanvallen vroeg in de ontwikkeling, wanneer ze goedkoper zijn om te herstellen. U wilt ook de controle over beheerders en serviceaccountgroepen in Microsoft Entra ID en uw DevOps-hulpprogramma strikt beheren.
U implementeert het zero trust-principe voor toegang met minimale bevoegdheden door:
- Het uitvoeren van robuuste beoordelingen van uw infrastructuurconfiguraties met identiteitstoegang met minimale bevoegdheden en netwerkconfiguraties.
- Gebruikers op rollen gebaseerd toegangsbeheer (RBAC) toewijzen aan resources op opslagplaatsniveau, teamniveau of organisatieniveau.
Vereisten:
- Codeopslagplaatsen bevinden zich in Azure DevOps of GitHub
- Pijplijnen worden gehost in Azure DevOps of GitHub
Stappen | Opdracht |
---|---|
A | DevSecOps inschakelen voor infrastructuur als code (IaC). |
B | RBAC implementeren voor DevOps-hulpprogramma's. |
E | Schakel GitHub Advanced Security in. |
D | Bekijk de resultaten van code- en geheimscans. |
A. DevSecOps inschakelen voor IaC
Defender voor DevOps biedt inzicht in de beveiligingspostuur van uw omgeving met meerdere pijplijnen, ongeacht of uw code en pijplijnen zich in Azure DevOps of GitHub bevinden. Het heeft het extra voordeel van het implementeren van één deelvenster glas, waar beveiligings- en DevOps-teams scanresultaten van al hun opslagplaatsen in één dashboard kunnen zien en een pull-aanvraagproces kunnen instellen om eventuele problemen op te lossen.
Zie voor meer informatie:
B. RBAC implementeren voor DevOps-hulpprogramma's
U moet goede governanceprocedures voor uw team beheren en implementeren, zoals machtigingen voor op rollen gebaseerd toegangsbeheer. Als dit model niet wordt gespiegeld voor DevOps-automatisering, laat uw organisatie mogelijk een beveiligingsachterdeur open. Bekijk een voorbeeld waarbij een ontwikkelaar geen toegang heeft via ARM-sjablonen. De ontwikkelaar heeft mogelijk nog steeds voldoende machtigingen om toepassingscode of infrastructuur als code te wijzigen en een automatiseringswerkstroom te activeren. De ontwikkelaar kan indirect via DevOps toegang krijgen tot en destructieve wijzigingen aanbrengen in uw ARM-sjablonen.
Wanneer u cloudoplossingen implementeert voor uw infrastructuurimplementaties, moet beveiliging altijd uw belangrijkste probleem zijn. Microsoft houdt de onderliggende cloudinfrastructuur veilig. U configureert beveiliging in Azure DevOps of GitHub.
Beveiliging configureren:
- In Azure DevOps kunt u beveiligingsgroepen, beleidsregels en instellingen gebruiken op organisatie-/verzamelings-, project- of objectniveau.
- In GitHub kunt u gebruikers toegang tot resources toewijzen door ze rollen te geven op opslagplaatsniveau, teamniveau of organisatieniveau.
C. Geavanceerde beveiliging van GitHub inschakelen
Om proactief omgevingen te beveiligen, is het belangrijk dat u DevOps-beveiliging continu bewaakt en versterkt. GitHub Advanced Security automatiseert controles in uw pijplijn om te zoeken naar blootgestelde geheimen, beveiligingsproblemen met afhankelijkheden en meer. GitHub maakt extra beveiligingsfuncties beschikbaar voor klanten onder een Advanced Security-licentie.
GitHub Advanced Security is standaard ingeschakeld voor openbare opslagplaatsen. Voor uw privéopslagplaatsen moet u de GitHub Advanced Security-licentie gebruiken. Zodra deze functie is ingeschakeld, kunt u de vele functies gebruiken die worden geleverd met de GitHub Advanced Security-suite:
- Code scannen
- Scannen op afhankelijkheden
- Geheim scannen
- Toegangsbeheer
- Waarschuwingen voor beveiligingsproblemen
- Auditlogboek
- Vertakkingsbeveiligingsregels
- Beoordelingen van pull-aanvragen
Met deze functies kunt u ervoor zorgen dat uw code veilig is en voldoet aan de industriestandaarden. U kunt ook geautomatiseerde werkstromen maken om u te helpen bij het snel detecteren en oplossen van beveiligingsproblemen in uw code. Daarnaast kunt u vertakkingsbeveiligingsregels gebruiken om onbevoegde wijzigingen in uw codebase te voorkomen.
Zie GitHub Advanced Security inschakelen voor meer informatie.
D. Scanresultaten voor code en geheim weergeven
Defender for DevOps, een service die beschikbaar is in Defender voor Cloud, stelt beveiligingsteams in staat devOps-beveiliging te beheren in omgevingen met meerdere pijplijnen. Defender voor DevOps maakt gebruik van een centrale console om beveiligingsteams de mogelijkheid te bieden om toepassingen en resources te beveiligen, van code tot de cloud in omgevingen met meerdere pijplijnen, zoals GitHub en Azure DevOps.
Defender for DevOps toont beveiligingsresultaten als aantekeningen in pull-aanvragen (PR). Beveiligingsoperators kunnen pr-aantekeningen inschakelen in Microsoft Defender voor Cloud. Blootgestelde problemen kunnen worden opgelost door ontwikkelaars. Met dit proces kunnen potentiële beveiligingsproblemen en onjuiste configuraties worden voorkomen en opgelost voordat ze in de productiefase terechtkomen. U kunt pr-aantekeningen configureren in Azure DevOps. U kunt pr-aantekeningen krijgen in GitHub als u een GitHub Advanced Security-klant bent.
Zie voor meer informatie:
- De GitHub-actie Microsoft Security DevOps configureren
- De Microsoft Security DevOps Azure DevOps-extensie configureren
- Aantekeningen voor pull-aanvragen inschakelen in GitHub en Azure DevOps
Volgende stappen
Meer informatie over de Azure-services die in dit artikel worden besproken:
Meer informatie over AWS- en Amazon-services en -resources die in dit artikel worden besproken:
- Amazon Elastic Compute Cloud (Amazon EC2)
- AWS CloudTrail
- Amazon Virtual Private Cloud (Amazon VPC)
- Amazon GuardDuty
- Amazon Simple Storage Service (Amazon S3)
- Amazon Simple Queue Service (SQS)
- AWS Identity and Access Management (IAM)