14 Azure Security Best Practices die je niet mag missen

Azure Security Shared Responsibility Model (SRM)

Voordat we ingaan op onze Azure security best practices tips, kunnen we niet genoeg benadrukken dat je eerst je verantwoordelijkheden in cloudbeveiliging moet onthouden. Ga er niet van uit dat Microsoft alles voor je regelt. Bijvoorbeeld:

• Als je Infrastructure-as-a-Service (IaaS) gebruikt, ben je verantwoordelijk voor beveiligingsconfiguraties, software, besturingssystemen en gegevens.
• Als je Platform-as-a-Service (PaaS) gebruikt, blijf je verantwoordelijk voor de beveiliging van applicaties en de bescherming van gegevens, terwijl Azure de middle ware-lagen en runtime afhandelt.
• Als je Software-as-a-Service (SaaS) gebruikt, regelt Microsoft meer beveiliging, maar je hebt nog steeds verantwoordelijkheden.

Dit betekent dat je altijd moet weten welke componenten je verantwoordelijk voor bent versus wat Azure regelt.

Dat gezegd hebbende, hier zijn de meest relevante best practices voor het beveiligen van je workloads in Microsoft Azure.

 

Azure Security Best Practices

1. Gebruik Microsoft Defender for Cloud

We beginnen met het introduceren van een van de belangrijkste tools op de best practice lijst: Microsoft Defender for Cloud (voorheen Azure Security Center).

Microsoft Defender for Cloud is een cloud-native applicatieplatform (CNAPP) met een reeks beveiligingsmaatregelen en praktijken om je cloudgebaseerde applicaties te beschermen tegen cyberdreigingen en kwetsbaarheden.

Deze Azure-service fungeert als een beveiligingscentrum dat je algehele beveiligingshouding bewaakt. Het toont je beveiligingstoestand, wat je moet verbeteren en hoe je dat moet doen. Je kunt Microsoft Defender for Cloud gebruiken om periodiek de beveiliging van je resources te controleren en gewaarschuwd te worden wanneer iets je aandacht nodig heeft.

 

Functies:

• Threat detection: gebruikt machine learning (ML) en andere technologieën om cyberdreigingen (phishing, malware, enz.) te detecteren en te voorkomen.
• Vulnerability management: Als Microsoft Defender for Cloud ongebruikelijke activiteiten of aanvallen detecteert, helpt aanvalsanalyse je bij het onderzoeken van incidenten.
• Security alerts loggen verdachte gebeurtenissen: Je kunt e-mailmeldingen instellen om beveiligingsteams of de servicedesk te waarschuwen op basis van ernst (hoog, middelmatig of laag).

Bovendien is er iets dat security score wordt genoemd. Zoals de naam al aangeeft, weerspiegelt het de score van de beveiligingshouding van je omgeving. Microsoft biedt best practice aanbevelingen om deze te verbeteren. Bijvoorbeeld, ontbrekende systeem patches kunnen je beveiligingspunten kosten.

Ontdek meer Azure security tools om je Azure-omgeving te versterken.

Bovendien breidt Defender for Cloud zijn bescherming uit naar andere cloudplatforms zoals AWS, waardoor je een uniforme beveiligingshouding hebt over meerdere clouds. Je kunt bedreigingen monitoren, naleving afdwingen en kwetsbaarheden detecteren - en dat allemaal vanuit één enkel overzicht.

Als dat nog niet genoeg was, integreert het ook met hybride omgevingen. Zo kun je je servers, VM's en workloads beveiligen terwijl je naar Azure migreert.

 

2. Adopteer Zero Trust

Het benaderen van cloudbeveiliging met de klassieke aanpak “vertrouw maar verifieer” is niet meer van deze tijd, aangezien cyberaanvallers meedogenlozer zijn dan ooit en alle nieuwste technologieën zoals AI gebruiken. Daarom moet je als organisatie Zero Trust adopteren, dat is gebaseerd op het principe van “nooit vertrouwen, altijd verifiëren”.

Het houdt in dat je standaard niemand vertrouwt; personen, machines, apps – als we zeggen niemand, bedoelen we niets. Aangezien beveiligingsbedreigingen zowel van buitenaf als van binnenuit kunnen ontstaan, vereist elk toegangsverzoek verificatie.

• Verifieer expliciet: Authenticeer en autoriseer elk toegangsverzoek met alle beschikbare gegevens (gebruiker, locatie, apparaatstatus, service of workload, gegevensclassificatie, anomalieën). Alleen goede verzoeken krijgen toegang tot de resources.
• Minimaal privilege: Verleen alleen toegang op basis van het principe van “minimaal privilege”. Gebruikers en apparaten mogen alleen hebben wat ze nodig hebben om hun werk te doen. Dit vermindert het aanvalsoppervlak en de mogelijkheid om lateraal in het netwerk te bewegen.
• Ga uit van een inbreuk: Zero Trust gaat ervan uit dat inbreuken zullen gebeuren. Dus we richten ons op het minimaliseren van de impact van de inbreuk door het segmenteren van het netwerk en het toepassen van sterke beveiligingscontroles om de mogelijkheid van aanvallers om lateraal te bewegen te beperken. Continu monitoren en analyseren is essentieel om snel te reageren op beveiligingsbedreigingen.

 

3. Schakel Multi-Factor Authentication in als je dat nog niet hebt gedaan

Vertrouwen op alleen een gebruikersnaam en wachtwoord is achterhaald. Tegenwoordig worden cloudservices dagelijks geconfronteerd met meer dan 300 miljoen frauduleuze inlogpogingen. Geen wonder dat de meeste organisaties Multi-Factor Authentication (MFA) gebruiken. Het toevoegen van meer verificatiestappen naast alleen een wachtwoord vermindert het risico op ongeautoriseerde toegang aanzienlijk, zelfs als wachtwoorden zijn gecompromitteerd. Wist je dat MFA 99,9% van de aanvallen op je accounts kan voorkomen?

Het verbetert de beveiliging door meerdere lagen van verificatie toe te voegen:

• Wachtwoord: Iets dat alleen de gebruiker weet.
• Mobiele telefoon voor OTP: Iets dat alleen de gebruiker heeft.
• Vingerafdrukken: Iets unieks voor de gebruiker.

Maar hoe je Multi-Factor Authentication (MFA) inschakelt, is belangrijk. We kunnen het op verschillende manieren toestaan, dus laten we ze eens nader bekijken:

1. Gebruik security defaults
Microsoft Security Defaults zijn een set basisbeveiligingsinstellingen die door Microsoft worden aanbevolen voor je Entra ID-tenant. Ze zijn ontworpen om een basisniveau van beveiliging te bieden voor organisaties die mogelijk geen geavanceerdere beveiligingsmaatregelen hebben.

De eenvoudigste manier om basisbeveiliging af te dwingen:

• Vereist dat alle gebruikers zich binnen 14 dagen registreren voor MFA.
• Beheerders moeten altijd MFA gebruiken.
• Blokkeert legacy authenticatie (bijv. basisauthenticatie voor Exchange Online).

Je kunt ofwel Security Defaults of Conditional access policies inschakelen, maar niet beide tegelijkertijd.

2. Conditional Access-Based MFA (P1 Feature)

Conditional access is een set beleidsregels gebaseerd op "if-then" logica. Je kunt regels maken die op specifieke voorwaarden reageren. Bijvoorbeeld, je kunt een beleid instellen zoals dit:

• Als de gebruiker inlogt vanuit een onbekende locatie → Vereist MFA.
• Als de gebruiker op kantoor is op een vertrouwd netwerk → Geen MFA nodig.

Voorwaarden kunnen apparaat type, applicatie, gebruikersrisiconiveau en meer omvatten. Dit is de beste benadering om MFA in je tenant toe te passen, omdat het gedetailleerde controle biedt. Zo wordt MFA precies toegepast wanneer dat nodig is.

3. Risk-Based Conditional Access (P2 Feature)

Deze optie biedt meer geavanceerde controle, maar komt met hogere kosten. Microsoft bepaalt wat een risicovolle gebruiker is. Denk aan verdachte activiteiten zoals:

• Ongebruikelijke reis: Een gebruiker logt om 12:00 uur in vanuit Nederland en om 12:30 uur vanuit Australië.
• Anomalous token: Ongebruikelijk authenticatiegedrag.
• Verdachte browsers of IP-adressen: Inloggen vanaf gemarkeerde locaties of apparaten.
• Password spray attacks: Herhaalde inlogpogingen met veelvoorkomende wachtwoorden.

Als een gebruiker als risicovol wordt gemarkeerd, moet hij zijn identiteit verifiëren via MFA voordat hij toegang krijgt.

Conditional Access is zonder twijfel een beveiliging must-have. Maar zorg ervoor dat je de methoden niet mixt.

 

4. Implementeer Role-Based Access Control (RBAC)

Bij het implementeren van resources in Azure moet je ze beveiligen. Role-Based Access Control (RBAC) is een geweldige manier om te beginnen. Het is een systeem dat toegang tot resources beheert. RBAC stelt je in staat om gedetailleerde machtigingen of privileges aan beheerders te geven om specifieke taken op specifieke objecten uit te voeren. Zo kun je controleren welke mensen toegang hebben tot welke resources door deze toegangscontroles toe te passen. Je kunt het toepassen op al je Azure-resources, inclusief resourcegroepen en abonnementen.

In de afbeelding hierboven zie je een Entra ID-instantie met gebruikers die zijn toegewezen aan rollen in verschillende delen van het Azure portaal.

RBAC werkt op meerdere niveaus:

• Management groepen: Als je deze gebruikt om je subscripties te groeperen, is een rol die op dit niveau is toegewezen van toepassing op alle subscripties in de groep.
• Subscription level: Van toepassing op alle Azure resources in de subscriptie.
• Resourcegroep level: Beperk de toegang tot specifieke resources in Microsoft Azure.
• Single resource level: Een gebruiker kan worden beperkt tot slechts één VM, opslagaccount of een andere individuele resource.

RBAC effectief toepassen kan een uitdaging zijn, maar is noodzakelijk. Het probleem is dat het toewijzen van een rol of machtigingen vaak meer toegang verleent dan nodig is. Dus, hoe beheer je het goed?

Het is geen best practice om te veel Global Admins in je omgeving te hebben of iedereen eigenaarsrechten te geven voor alle subscripties.

In plaats daarvan, gebruik een fijnmazige toegangs methode om toegang te krijgen tot je resources en pas het concept van minimaal toegangsrecht toe – zodat gebruikers alleen toegang hebben tot wat ze nodig hebben. Dit vermindert de kans dat onnodige privileges aan beheerders worden toegewezen.

Wanneer dit effectief en op de juiste manier wordt gedaan, minimaliseer je het aantal machtigingen en toegang van beheerders, waardoor je het aanvalsoppervlak minimaliseert.

Aanbevolen leesmateriaal: 5 Best practices om je Azure-abonnementen te beschermen tegen cryptojacking

 

5. Gebruik meerdere beveiligingslagen

Om je gebruikers veiliger te maken binnen je tenants, moet je beveiliging in lagen aanbrengen. Je begint met een wachtwoord, voegt vervolgens MFA toe, conditional access en ten slotte PIM. Elke laag bouwt voort op de andere, alsof je je fort bouwt, maar dit keer een digitaal fort.

Azure’s Privileged Identity Management (PIM) is een functie binnen Entra ID die tijdelijke toegang verleent aan een beheerder om high-level beheertaken uit te voeren.

PIM vermindert de risico's van overmatige, onnodige of misbruikte toegangsrechten op resources. Het doet dit door tijdgebaseerde en goedkeuringsgebaseerde rolactivering te bieden.

Bijvoorbeeld: je kunt PIM gebruiken om just-in-time bevoorrechte toegang tot Azure-resources te verlenen. Als gebruikers een virtuele machine moeten onderhouden, kun je ze maandagochtend toegang geven als Virtual Machine Contributor. Buiten die tijd zijn ze gewoon een reguliere gebruiker.

Belangrijkste functies zijn onder andere:

• Just-in-time bevoorrechte toegang
• Tijdgebonden toegang toewijzen met start- en einddatums
• Goedkeuring vereist om bevoorrechte rollen te activeren (wat ervoor zorgt dat hun manager op de hoogte is van wat de gebruiker in de tenant doet).
• Multifactor authenticatie afdwingen om elke rol te activeren (zodat de juiste persoon toegang krijgt tot de rol).
• Gebruikers moeten een reden opgeven voor hun activiteit
• Alle globale beheerders in de tenant worden op de hoogte gebracht van de activering en de opgegeven reden.

Het is een Premium P2-functie en je kunt licenties kopen voor alleen de beheerders die het nodig hebben, wat het ook een kosteneffectieve oplossing maakt.

Nu gaan we kijken naar gegevensbeveiliging in Microsoft Azure.

 

6. Versleutel gegevens in rust en tijdens transport.

Het versleutelen van onze gegevens in rust en tijdens transport zijn zeer belangrijke taken om uit te voeren als je gegevens gaat opslaan en ophalen van en verzenden naar Azure-opslag. In eenvoudige bewoordingen betekent dit dat je je gegevens codeert met een geheime sleutel of code. Dus, wanneer dingen misgaan en gevoelige gegevens in verkeerde handen vallen, blijven ze onleesbaar.

Data Encryption at-rest

Alle Azure-opslag en opslagaccounts of virtuele machines en virtuele schijven hebben versleuteling in rust. Laten we aannemen dat een aanvaller erin slaagt om die VM's, virtuele schijven of opslagaccounts uit Azure te halen. Vervolgens proberen ze ze op een lokale machine te koppelen en worden ze gevraagd om een BitLocker-versleutelingssleutel wanneer ze in rust zijn versleuteld.

Wanneer je je apparaat of service implementeert, gebruikt het Platform Manage Keys, of PMK's, wat betekent dat Microsoft de versleutelingssleutels voor je beheert. Maar je kunt ook je eigen sleutels meenemen – Customer Managed keys (CMK's).

Soms moet je om nalevingsredenen CMK's beheren. Echter, we raden aan om PMK's te gebruiken en Microsoft dat voor je te laten beheren

tenzij er een specifieke niche use case scenario is dat ze nodig heeft.

Azure SQL database en servers

Transparante gegevensversleuteling is geweldig voor het beveiligen van de gegevens binnen de database. Binnenin worden gegevens beschermd door de functie Transparante Gegevensversleuteling (TDE), die standaard is ingeschakeld.

Azure Policy biedt een paar manieren om TDE te beheren, zoals het instellen van een audit-only beleid, dat databases of SQL-servers zonder TDE markeert in het Azure Policy-portaal. Dit helpt niet-conforme resources te identificeren, maar dwingt geen wijzigingen af.

Om vertrouwelijke bestanden die in je cloudopslag of server zijn opgeslagen te versleutelen, gebruik je AES-256 om een extra laag toe te voegen voor het beschermen van gevoelige gegevens.

Data in transit

Je moet er ook voor zorgen dat gegevens tijdens transport zijn beveiligd. Dit beveilig je met TLS, kort voor Transport Layer Security. Voor de meeste services is veilige gegevensoverdracht standaard ingeschakeld, of je kunt het zelf inschakelen.

Gebruik TLS 1.3 om gegevens tijdens transport over het internet te beveiligen.

De best practices om te onthouden zijn:

• Versleutel altijd gegevens in rust.
• Versleutel altijd gegevens tijdens transport.