Azure Security Framework: belangrijkste principes en best practices

Microsoft Azure Ecosystem helpt bedrijven hun gegevens en cloudgebaseerde bronnen veilig op te slaan met behulp van het Azure Security Framework. Azure Security Framework biedt organisaties gedetailleerde richtlijnen en leert hen best practices om volledig te profiteren van het framework, nu steeds meer van deze bedrijven hun activiteiten naar de cloud verplaatsen, waardoor ze kwetsbaar worden en dringend behoefte hebben aan beveiliging.

Azure Security Framework is een belangrijke functie, vooral voor bedrijven die een schaalbare oplossing voor hun beveiligingsbehoeften willen en tegelijkertijd de best practices willen volgen. Het framework is afgestemd op de moderne Zero Trust-principes, die de oude netwerkperimeter met zijn cloudgebaseerde oplossingen afschaffen.

In dit bericht bespreken we hoe Azure Security Framework de Zero Trust-principes implementeert, hoe de diepgaande verdedigingsstrategie van het framework werkt en hoe bedrijven Azure kunnen gebruiken om op een compliancevriendelijke manier te werken.

Inzicht in Azure Security Framework

Azure Security Framework is ontworpen om de cloudresources binnen de Azure-omgeving van Microsoft te beveiligen. Het helpt bedrijven te voldoen aan hun compliancevereisten en tegelijkertijd zorg te dragen voor hun gegevens, applicaties en infrastructuur. Dit framework biedt dus een uniform en uitgebreid beveiligingsframework voor alle Azure-services.

Het Azure Security Framework bestaat uit een reeks beveiligingsmaatregelen die helpen om de kwaliteit van de Azure-workload te beveiligen en te verbeteren. Het omvat een breed scala aan vaardigheden die een aanpak bieden voor het beveiligen van cloudresources in Microsoft Azure.

Het framework richt zich niet alleen op de bescherming van gegevens en cloudresources, maar helpt ook bij de implementatie van best practices voor cloudbeveiliging te implementeren, die vervolgens door bedrijven kunnen worden gebruikt om een sterke verdediging tegen cyberdreigingen op te bouwen en te onderhouden. Het volgt een diepgaande verdedigingsstrategie, waarbij meerdere beschermingslagen worden gecreëerd om veilig te zijn tegen alle soorten kwetsbaarheden of aanvalsvectoren.

Het raamwerk biedt een vaste methodologie om ervoor te zorgen dat wijzigingen in de Azure-omgeving uniform zijn, waardoor het risico op gemiste potentiële kwetsbaarheden wordt verminderd. Deze methode is ook schaalbaar, waardoor beveiligingspraktijken kunnen meegroeien met de groei van de cloudinfrastructuur van een organisatie. Daarnaast maakt de afstemming van het raamwerk op regelgevingsnormen compliance-activiteiten voor organisaties eenvoudiger. Het helpt de efficiëntie te verbeteren door tijd te besparen op dubbel werk.

Wat zijn de vijf pijlers van het Azure-framework?

Hieronder staan de vijf pijlers van het Azure Security Framework, die de bouwstenen vormen van deze cloudbeveiligingsaanpak:

1. Identiteits- en toegangsbeheer

Het volgt een eenvoudige regel dat alleen geautoriseerde gebruikers en services toegang hebben tot bronnen. Het maakt gebruik van Azure Active Directory (nu bekend als Microsoft Entra ID) voor authenticatie en autorisatie. Deze pijler houdt rekening met identiteitsverificatie, meervoudige authenticatie en het principe van minimale rechten om het aanvalsoppervlak te verkleinen.

2. Netwerkbeveiliging

Deze pijler richt zich op het beschermen van uw netwerkbronnen en het beïnvloeden van de manier waarop het verkeer binnen uw Azure-omgeving verloopt. Functies zoals netwerkbeveiligingsgroepen, Azure-firewalls en DDoS-bescherming zijn in deze pijler opgenomen. Wanneer netwerken worden gesegmenteerd en veilige netwerkconnectiviteit wordt toegepast, wordt het potentiële risico van ongeoorloofde toegang en datalekken binnen de organisatie verminderd.

3. Gegevensbescherming

Deze laag richt zich op het beschermen van de gegevens van een organisatie. Het helpt bij het versleutelen van gegevens in beide stadia, zowel in rust als tijdens het transport. Het helpt ook bij het voorkomen van gegevensverlies, met zijn preventiebeleid en het beheer van geheime sleutels met behulp van Azure Key Vault. Het zorgt ervoor dat zelfs als de beveiligingsmaatregelen worden gecompromitteerd, de vertrouwelijke gegevens niet worden blootgesteld.

4. Applicatiebeveiliging

Deze pijler heeft alles te maken met applicaties die in Azure worden geïmplementeerd. Dit omvat veilige ontwikkelingspraktijken, regelmatige kwetsbaarheidsbeoordelingen en het gebruik van ingebouwde beveiligingsfuncties voor applicaties op Azure. Het benadrukt de noodzaak om applicaties gedurende hun hele levenscyclus te beveiligen, van ontwikkeling en implementatie tot onderhoud.

5. Beveiligingsbeheer en -monitoring

Deze laag richt zich op de zichtbaarheid van de beveiligingsstatus van Azure-resources en biedt effectieve reacties op gebeurtenissen. Het maakt gebruik van Azure Security Center (nu bekend als Microsoft Defender for Cloud ) en Azure Sentinel voor continue beveiligingsvalidatie, detectie van bedreigingen en incidentresponsmogelijkheden. Daardoor kunnen organisaties een proactieve beveiligingshouding handhaven en snel werken om potentiële bedreigingen te identificeren en op te lossen voordat er zich een ernstig beveiligingsincident voordoet.

Hoe weet u of uw Azure-framework geoptimaliseerd is?

Om te bepalen of het gegeven Azure Security-framework geoptimaliseerd is, moet een gedetailleerde beoordeling worden uitgevoerd, waarbij verschillende aspecten van de cloudomgeving en beveiligingspraktijken aan bod komen.

Ten eerste moet uw framework gebaseerd zijn op de aanbevelingen van Microsoft in Azure Security Benchmark, een beveiligingsbaseline voor Azure-services en een praktische reeks aanbevelingen die voldoen aan sectorspecifieke vereisten zodra deze bekend zijn. Om nauwkeurig te kunnen meten in hoeverre uw beveiligingsframework is geoptimaliseerd, moet u identiteiten en toegang effectief kunnen beheren. Hiervoor moet Azure Active Directory met een juiste implementatie van meervoudige authenticatie voor alle medewerkers aanwezig zijn.

De netwerkbeveiligingsfuncties van het raamwerk, waaronder goede bescherming met behulp van Network Security Groups, Azure Firewall en effectieve netwerksegmentatie, moeten ook worden geëvalueerd.

Wat gegevensbeveiliging betreft, moet u ervoor zorgen dat gegevens zowel in rust als tijdens het transport worden versleuteld.

Ook de applicatiebeveiliging moet worden geëvalueerd, waarbij effectieve bescherming van applicaties een belangrijk onderdeel is van uw ontwikkelingscyclus, regelmatige beveiligingsbeoordelingen en de implementatie van een webapplicatie-firewall voor webapplicaties.

Het monitoren van beveiligingsincidenten moet ook inzicht geven in de mate van optimalisatie van uw beveiligingsraamwerk, en omvat het gebruik van Azure Sentinel voor dreigingsdetectie, geavanceerde dreigingsanalyse, uitgebreide logboekregistratie en goed geoefende incidentresponsplannen.

De laatste factor die moet worden geëvalueerd, is de optimalisatie van beveiligingsmaatregelen en het beheer van de kosten daarvan, maar tegelijkertijd moet de uiteindelijke evaluatie worden overgelaten aan de organisatie, evenals training en bewustwording.

Kernprincipes van het Azure Security Framework

Het Azure Security Framework is gebaseerd op twee principes: Zero Trust-architectuur en een diepgaande verdedigingsstrategie. Deze principes helpen bij het creëren van een sterke en gedetailleerde beveiligingshouding voor Azure-omgevingen.

• Het Zero Trust-model werkt volgens het principe 'Vertrouw nooit, controleer altijd'. Daarom moet iedereen die toegang wil tot een bron, worden geauthenticeerd en toegang hebben tot de bron. Dit is onafhankelijk van de locatie van de entiteit, of deze zich nu binnen of buiten het netwerk van de organisatie bevindt. In Azure worden het Zero Trust-model of de principes toegepast door middel van expliciete verificatie, toegang met minimale rechten en het uitgaan van inbreuken.
• Daarentegen gelooft Defense-in-Depth in het creëren van meerdere beveiligingslagen. Deze lagen omvatten fysieke beveiliging, identiteits- en toegangsbeheer, perimeterbeveiliging, netwerkbeveiliging, computerbeveiliging, applicatiebeveiliging en gegevenscontrole in Azure. Azure Firewall, Network Security Groups, Azure DDoS Protection, Azure Security Center en Azure Sentinel zijn enkele van de tools die Azure biedt om deze aanpak te volgen.

Identiteits- en toegangsbeheer in Azure

Identiteits- en toegangsbeheer is essentieel voor het beveiligingsraamwerk van Microsoft Azure. Azure biedt verschillende tools en services waarmee identiteit en toegang in de cloud en op locatie kunnen worden beheerd. Deze omvatten:

Azure Active Directory (AAD)

Azure Active Directory is een cloudgebaseerde identiteits- en toegangsbeheer dienst ontwikkeld door Microsoft. Het vormt de kern van IAM voor het grootste deel van het Infrastructure as a Service-aanbod in Azure. De oplossing beschermt gevoelige informatie en zorgt voor naleving van de regelgeving, maakt naadloze toegang tot voorkeursapplicaties vanaf elke locatie mogelijk en verbetert de beheerbaarheid door gebruik te maken van één enkele identiteits- en toegangsbeheeroplossing voor alle on-premises, SaaS en andere applicaties.

Meervoudige authenticatie (MFA) en voorwaardelijke toegangsbeleidsregels

Azure helpt een extra beschermingslaag toe te voegen met behulp van meervoudige verificatie (MFA). Deze functie vereist dat gebruikers nog een extra verificatielaag doorlopen voordat ze toegang krijgen tot een bron. Voorwaardelijke toegangsbeleidsregels maken de implementatie van toegangscontroles mogelijk, waarmee in feite bepaalde voorwaarden kunnen worden geconfigureerd waaraan moet worden voldaan voordat toegang wordt verleend.

Privileged Identity Management (PIM)

Privileged Identity Management is een functie in Azure waarmee de toegang tot belangrijke bronnen in Azure Active Directory kan worden beheerd, gecontroleerd en bewaakt. Met PIM zijn de risico's die gepaard gaan met beheerdersrechten moeilijk te compromitteren. PIM kan ervoor zorgen dat geprivilegieerde toegang alleen wordt verleend wanneer dat nodig is en voor een korte periode, waarbij het principe van minimale rechten wordt gehandhaafd.

Azure AD B2B en B2C

Azure AD B2B (Business-to-Business) en B2C (Business-to-Consumer) zijn uitbreidingen van Azure AD op het gebied van extern gebruikersbeheer.

Met Azure AD B2B kan de gebruiker gastgebruikers van andere bedrijven uitnodigen via Azure AD-apps. De externe gebruikers kunnen zich aanmelden met hun eigen inloggegevens, wat mogelijk de administratieve inspanningen voor het onderhoud van een volledig eindpunt voor de externe gebruikers vermindert.

Azure AD B2C is een oplossing voor identiteits- en toegangsbeheer voor klanten. Het is een oplossing voor klantidentiteits- en toegangsbeheer (CIAM) waarmee u kunt bepalen en aanpassen hoe gebruikers zich aanmelden, inloggen en hun profielen beheren wanneer ze hun applicaties gebruiken.

Netwerk-, applicatie- en gegevensbeveiliging implementeren in Azure

Azure biedt een breed scala aan tools en services om netwerk-, applicatie- en gegevensbeveiliging te implementeren. De combinatie van deze technologieën zorgt voor een meerlaagse beveiligingsaanpak die systemen beschermt tegen verschillende soorten bedreigingen en problemen.

Virtuele netwerken (VNets) en netwerkbeveiligingsgroepen (NSG's)

Dit is de basis van het privé-netwerk dat gebruikers in de cloud kunnen maken en waarmee ze resources met elkaar, met internet en het lokale netwerk kunnen verbinden. Virtuele netwerken (VNets) bieden isolatie, segmentatie, IP-adresruimte en subnettingmogelijkheden, en maken de configuratie van DNS mogelijk. Elke instantie van bronnen die aan een VNet wordt toegevoegd, communiceert alleen met andere instanties in dat netwerk. Het filteren van inkomend en uitgaand verkeer wordt gedaan door Azure Network Security Group, een beschermingslaag. Network Security Groups (NSG) is in wezen een ingebouwde firewall met beveiligingsregels die verkeer toestaan of weigeren op basis van bron- en bestemmings-IP-adressen, poorten en protocollen.

Azure Firewall en DDoS-bescherming

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die Azure Virtual Network-bronnen beschermt. Het is een firewall als service en heeft ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. De firewall kan op een centrale manier applicatie- en netwerkconnectiviteitsbeleid creëren, afdwingen en loggen voor abonnementen en virtuele netwerken. Met Azure DDoS Protection-toepassingen die op Azure worden uitgevoerd, worden ze beschermd tegen Distributed Denial of Service-aanvallen. DDoS Protection biedt altijd actieve verkeersmonitoring en realtime beheer van veelvoorkomende aanvallen op netwerkniveau.

Azure Storage Service Encryption (SSE) en schijfversleuteling

Azure Storage Service Encryption (SSE) versleutelt automatisch gegevens die zijn opgeslagen in Azure Storage. Dit garandeert de veiligheid van gegevens en helpt de organisatie om te voldoen aan haar verplichtingen op het gebied van beveiliging en compliance. De opgeslagen gegevens worden versleuteld met 256-bits AES-versleuteling, een van de sterkste blokcijfers die beschikbaar zijn. Met schijfversleuteling kunt u de schijven van uw Windows- en Linux IaaS-virtuele machines versleutelen. De versleuteling is beschikbaar voor zowel OS- als gegevensschijven en maakt gebruik van BitLocker voor Windows en de Dm-Crypt-functie voor Linux.

Azure Key Vault voor geheimen- en sleutelbeheer

Azure Key Vault is een cloudservice voor het beschermen en opslaan van geheimen. Deze geheimen kunnen versleutelingssleutels, certificaten en wachtwoorden zijn. Key Vault helpt u de controle te behouden over sleutels die toegang geven tot uw gegevens en deze versleutelen. Het biedt monitoringtools die ervoor zorgen dat alleen geautoriseerde gebruikers en applicaties toegang hebben tot uw sleutels en geheimen.

Gegevensversleuteling tijdens verzending en opslag

Azure kan ons helpen gegevens te beschermen met behulp van gegevensversleutelingstechnieken. Als de gegevens zich in de transitfase bevinden, past Azure de standaardregels toe tussen het gebruiksapparaat en het datacenter en zelfs binnen het datacenter zelf. Als de gegevens in rust zijn, kunnen ze worden beschermd met behulp van versleutelingstechnologieën.

Best practices voor het implementeren van het Azure-framework

Hieronder volgen enkele best practices die moeten worden gevolgd voor de implementatie van het Azure-framework:

#1. Implementeer het principe van minimale rechten

Het principe van minimale rechten staat voor het idee om minimale toegangsniveaus of machtigingen te verlenen die nodig zijn om bepaalde taken uit te voeren. In Azure wordt dit principe toegepast door middel van op rollen gebaseerde toegangscontrole. Elke rol impliceert een bepaalde set machtigingen. Gebruikers, groepen en applicaties krijgen vervolgens deze machtigingen toegewezen en kunnen niet verder gaan dan dat. Gebruik Azure AD Privileged Identity Management, dat just-in-time geprivilegieerde toegang verleent om het risico te verminderen dat een aanvaller een hoog niveau van machtigingen verkrijgt.

#2. Just-in-time (JIT)-toegang inschakelen en configureren

JIT VM Access is een unieke functie binnen Microsoft Defender for Cloud die inkomend verkeer naar de bewaakte VM's blokkeert. Wanneer er toegang wordt gevraagd, wordt het verkeer naar die geïdentificeerde bronnen gedurende de opgegeven tijd opengesteld. Wanneer een gebruiker toegang vraagt tot een virtuele machine, kan Microsoft Defender for Cloud opzoeken of de gebruiker RBAC-machtigingen heeft. Als de toestemming wordt verleend, opent Microsoft Defender for Cloud de poorten die door de JIT-oplossing worden beheerd voor de opgegeven tijd en vergrendelt deze vervolgens weer zodra deze tijd is verstreken.

#3. Netwerk- en microsegmentatie implementeren

Netwerksegmentatie verwijst naar het proces waarbij één netwerk wordt opgesplitst in meerdere kleinere netwerken en beveiliging wordt toegepast op deze microsegmenten. Overweeg het gebruik van virtuele netwerken (VNets) en subnetten in Azure om een netwerkstructuur te faciliteren. Gebruik netwerkbeveiligingsgroepen (NSG's) in uw subnetten om deze functies te implementeren.

#4. Automatiseer beveiligingsbeleid en nalevingscontroles

Er moet een hoge mate van automatisering worden gehandhaafd om een uniform beveiligingsniveau voor Azure te garanderen. Azure Policy kan uw normen in een bepaalde configuratie afdwingen en de mate van naleving in uw omgeving beoordelen. Het kan de fouten in de architectuur automatisch verhelpen en deze combineren met de beveiligingsaanbevelingen van Azure Security Center.

#5. Regelmatige beveiligingsbeoordelingen en penetratietests uitvoeren

Men moet de bescherming van zijn Azure-omgeving regelmatig beoordelen en penetratietests uitvoeren. Azure Security Center kan worden gebruikt om uw Azure-bronnen continu te beoordelen. Voor uitgebreidere tests is het raadzaam om gebruik te maken van de ingebouwde kwetsbaarheidsbeoordelingsfuncties van Azure of om penetratietesttools van derden te koppelen.

SentinelOne voor Azure-beveiliging en -monitoring

SentinelOne’s Singularity Endpoint is een krachtig platform voor endpointdetectie en -respons (EDR) dat kan worden geïntegreerd met Azure voor extra beveiliging en monitoring.

1. AI-aangedreven bescherming: Door het gebruik van kunstmatige intelligentie en machine learning biedt het platform van SentinelOne realtime detectie van bedreigingen, volledig autonome respons en volledig inzicht in de Azure-omgeving. Als gevolg hiervan stelt de integratie met SentinelOne organisaties in staat om het niveau van geautomatiseerde beveiliging te verhogen en hun Azure-workloads goed te monitoren.
2. Uniforme eindpuntbeveiliging: Dankzij de integratie van SentinelOne met Azure kunnen we uniforme eindpuntbeveiliging bieden voor alle Azure VM's en cloudworkloads. Het platform kan met name alle bronnen in de Azure-infrastructuur scannen en beschermen met behulp van autonome dreigingsdetectie.
3. Verbeterde logboekregistratie en monitoring: De diepgaande zichtbaarheidsfuncties van SentinleOne omvatten de mogelijkheid om systeemactiviteiten bij te houden, zoals processen, wijzigingen in het bestandssysteem, netwerkverbindingen en andere activiteiten voor alle soorten processen en applicaties die op de servers worden uitgevoerd. De mogelijkheid van dit soort monitoring is belangrijk voor het detecteren van bedreigingen en forensische analyse in geval van een beveiligingsincident.
4. Geautomatiseerde reactie: In geval van een bedreiging blokkeert het platform van SentinleOne alle mogelijke verspreiding van de bedreiging, voert het een geautomatiseerde rollback uit van de wijzigingen die door de malware zijn veroorzaakt en herstelt het, indien nodig, het systeem naar de vorige staat.

Conclusie

Azure Security Framework is een uitgebreide en gedetailleerde beveiligingsaanpak die een meerlaagse verdediging biedt en tegelijkertijd vooroploopt op de ontwikkelingen op het gebied van moderne cyberbeveiligingsbedreigingen. Zoals besproken in de blog, zien we dat Azure Security Framework niet alleen een set beveiligingstools is, maar een compleet pakket dat is gebaseerd op Zero Trust-architectuur en defense-in-depth principes. Dit framework beveiligt de cloudactiviteiten van elk bedrijf en biedt hen een maximale flexibiliteit en capaciteit op het gebied van informatieopslag en het uitvoeren van digitale activiteiten in de cloud.

Een van de meest voor de hand liggende voordelen van het beveiligingsframework is dat het de complexiteit vermindert zonder dat dit ten koste gaat van de veiligheid. Azure Security Framework is zo ontworpen dat het schaalbaar is en een aanvulling vormt op elke fase van de ontwikkeling van cloudinfrastructuur. Belangrijk is dat het raamwerk specifiek zo is ontworpen, gezien het feit dat in de moderne wereld cloudgerelateerde cyberbeveiligingsrisico's de voordelen van cloudtransformatie vaak tenietdoen. Het gebruik van dit model is dus een perfecte manier voor bedrijven om voorop te blijven lopen en veilig naar de cloud te migreren en daar te opereren.

"

Veelgestelde vragen over Azure Security Framework