10 Azure security tools die je niet mag missen

Security in Microsoft Azure

Hackers zijn constant in beweging en zoeken steeds naar nieuwe mogelijkheden om kwetsbaarheden uit te buiten. Denk aan diefstal van gevoelige gegevens, netwerkinbraken, DDoS-aanvallen, ongeautoriseerde toegang, en dergelijke.

Daarom is het noodzakelijk dat je proactieve maatregelen treft en je cloudomgeving dienovereenkomstig configureert met de juiste tools en diensten. Alleen dan kun je je workloads in de cloud beveiligen.

Gelukkig bevat Microsoft Azure vele diensten en tools die organisaties kunnen gebruiken om hun apps en infrastructuur te beheren. Deze beveiligingstools en -maatregelen zijn gebaseerd op het concept van Zero Trust en volgen een gelaagde beveiligingsaanpak (defence-in-depth), inclusief:

• Identity and Access Management (IAM)
• Network Security
• Threat Detection and Monitoring
• Data Encryption
• Compliance Management

Lijst met Azure Security Tools

Tool	Lagen van beveiliging	Beschrijving
1. Microsoft Entra ID (voorheen Azure AD)	Identity and Access Management (IAM)	Biedt single sign-on SSO, MFA, RBAC en identiteitsbescherming.
2. Azure Key Vault	Data Encryption	Beheert en slaat encryptiesleutels, applicatiegeheimen en certificaten op.
3. Azure Firewall	Network Security	Volledig beheerde cloud-firewall voor Azure Virtual Networks met geavanceerde filtering.
4. Azure Bastion		Verbindt met Azure VM's zonder ze bloot te stellen aan het openbare internet.
5. Azure DDoS Protection		Beschermt Azure-resources tegen DDoS-aanvallen.
6. Azure Private Link		Private endpoints voor Azure PaaS-diensten om verkeer buiten het openbare internet te houden.
7. Microsoft Sentinel (voorheen Azure Sentinel)	Threat Detection and Monitoring	Cloud-native SIEM en SOAR voor het detecteren, onderzoeken en reageren op bedreigingen.
8. Microsoft Defender for Cloud (voorheen Azure Defender)	Threat Detection	Beveiligingshouding en bedreigingsbescherming voor hybride en multi-cloud.
9. Azure Monitor	Monitoring	Metrics, logs en telemetrie voor prestatie- en incidentdetectie.
10. Azure Policy	Compliance	Resources voldoen aan organisatorische normen en beleidsautomatisering.

 

 

10 Onmisbare Azure Beveiligingstools

Identity and Access Management (IAM)

1. Microsoft Entra ID (voormalig Azure Active Directory)

Azure Active Directory (AD), hernoemd naar Microsoft Entra ID, is Microsofts cloudgebaseerde enterprise identity en access management (IAM) service. IAM zorgt ervoor dat gebruikers beperkte, passende toegang hebben, ter bescherming tegen ongeautoriseerde acties.

Microsoft Entra ID beheert toegang tot Microsoft 365 SaaS, Azure PaaS en IaaS diensten. Hiermee kunnen organisaties hun gebruikersidentiteiten beschermen en mogelijke beveiligingsdreigingen detecteren. Het biedt verschillende functies zoals:

• Single sign-on (SSO)
• Multifactor authenticatie (MFA)
• Role-based access controls (RBAC)
• Conditional access om 99% van de cyberaanvallen te weren

Belangrijke kenmerken

• Single sign-on (SSO): Met SSO kunnen gebruikers zich eenmaal aanmelden en hun inloggegevens gebruiken om toegang te krijgen tot meerdere bronnen en apps van verschillende aanbieders.
• Fijnmazige toegangscontroles: Entra ID gebruikt RBAC om nauwkeurige toegangscontrole te implementeren, waarbij identiteiten worden gebruikt om ervoor te zorgen dat gebruikers precies de toestemmingen hebben die ze nodig hebben voor hun rol. Hier wordt het principe van het minste privilege gevolgd, wat betekent dat gebruikers en apparaten alleen het minimale toegangsniveau krijgen dat nodig is om hun taken uit te voeren.
• Multifactor authenticatie (MFA): Naast een gebruikersnaam en wachtwoord stelt Microsoft Entra ID je in staat een extra authenticatielaag toe te voegen: MFA. Dit combineert:
  • Iets dat je weet (bijv. een wachtwoord)
  • Iets dat je hebt (bijv. een apparaat)
  • Iets dat je bent (bijv. een vingerafdruk)
• Identiteitsbescherming: Deze functie gebruikt geavanceerde machine learning (ML) en risicogebaseerde beleidsmaatregelen om verdachte aanmeldingen te detecteren en erop te reageren. Het beschermt gebruikersidentiteiten tegen potentiële bedreigingen.
• Wachtwoordloze authenticatie: Azure biedt ook methoden voor wachtwoordloze authenticatie. Deze zijn handiger omdat ze de noodzaak voor een wachtwoord wegnemen, en dit vervangen door iets dat je hebt of iets dat je weet. Bijvoorbeeld, je computer is iets dat je hebt. Zodra deze is geregistreerd of ingeschreven, associeert Azure deze met je identiteit. Vanaf daar kun je authenticeren met iets dat je weet, zoals een PIN, of iets dat je bent, zoals een vingerafdruk, zonder een wachtwoord nodig te hebben.

Data-encryptie

2. Azure Key Vault

Azure Key Vault is een platform-as-a-service (PaaS) van Azure, ontworpen om encryptiesleutels, applicatiegeheimen en certificaten veilig op te slaan en te beheren.

Key Vault ondersteunt:

• Sleutelbeheer
• Certificaatbeheer
• Geheimenbeheer
• Opslag van geheimen ondersteund door hardwaremodellen (HSMs)

Schijven die je in Azure maakt, bevatten doorgaans besturingssysteeminformatie en applicatiegegevens, en alle informatie op deze schijven moet worden gecodeerd (encryptie gebruikt sleutels om de gegevens te beveiligen). Standaard codeert Azure schijven met door het platform beheerde sleutels. Maar je kunt je eigen encryptiesleutels gebruiken om virtuele machine drives te beveiligen en te ontcijferen, die veilig kunnen worden opgeslagen in Azure Key Vault.

Belangrijke kenmerken

• Beheerde service voor het beveiligen van gevoelige informatie (PaaS)
• Veilige opslagdienst voor
  • Sleutels
  • Geheimen
  • Certificaten
  • Geheimen ondersteund door hardwaremodellen (HSMs)
• Hoog geïntegreerd met andere Azure-diensten (VM's, Logic Apps, Data Factory, Web Apps, etc.)
• Gecentraliseerd beheer: Vermindert operationele complexiteit voor grote applicaties door beheer te centraliseren zodat meerdere diensten naadloos toegang hebben tot bijgewerkte geheimen.
• Zichtbaarheid in toegang en gebruik: Het monitoren biedt zichtbaarheid in toegang en gebruik.
• Opslag voor app-geheimen: Azure Key Vault slaat app-geheimen op zoals serveradressen, gebruikersnamen en wachtwoorden. Ideaal voor scenario's zoals een webapp die verbinding maakt met een SQL-database.
• Integratie met Azure-diensten: Sla geheimen op en haal ze op zonder extra code, dwars door vele Azure-diensten heen.

Als je webapps inhoud over HTTPS leveren, gebruik je certificaten. Certificaten zijn cryptografische objecten die verkeer tussen je webserver en gebruikers versleutelen.

Ze kunnen ook beveiligde communicatie tussen meerdere diensten tot stand brengen. Azure Key Vault is een veilige opslag voor certificaten, dus het is een centrale en veilige repository voor deze gevoelige cryptografische sleutels.

Netwerkbeveiliging

3. Azure Firewalls

Azure Firewall is een volledig beheerde en automatisch schalende cloudgebaseerde netwerkbeveiligingsdienst die je kunt gebruiken om je bronnen in een Azure Virtual Network te beschermen. Het stelt je in staat beleid te definiëren en af te dwingen voor applicatie- en netwerkverbindingen.

In tegenstelling tot Network Security Groups (NSGs), die zich richten op het beheren van verkeer binnen subnetten en het regelen van intern netwerkverkeer, biedt Azure Firewall complete bescherming tegen externe dreigingen. Dit maakt het ideaal voor het beveiligen van publiek toegankelijke apps waar schaalbaarheid en sterke beveiliging vereist zijn.

Belangrijke kenmerken

• Hoge schaalbaarheid en beschikbaarheid: Azure Firewall is automatisch schaalbaar, wat betekent dat het automatisch kan schalen wanneer de vraag naar netwerkverkeer toeneemt. Bovendien biedt het (ingebouwde) beschikbaarheid via verschillende beschikbaarheidszones, waardoor de beschikbaarheidstijd toeneemt tot 99,99%.
• Naadloze integratie: Werkt goed samen met Azure Monitoring en Azure Policies.
• Geavanceerde beveiligingsmogelijkheden: Biedt DDoS-bescherming, dreigingsinformatie en verkeersfiltering.
• Service tags: Het maken van netwerkregels wordt vereenvoudigd met service tags om een groep IP-adressen voor een Azure-dienst te definiëren.
• Application FQDN filtering rules: Azure Firewall filtert uitgaand verkeer op basis van volledig gekwalificeerde domeinnamen (FQDN's). Dit voegt gedetailleerde controle toe over applicatietoegang.
• Ondersteuning voor meerdere openbare IP's: Staat het koppelen van maximaal 250 openbare IP-adressen aan de firewall toe.
• Volledig beheerde dienst: Volledig beheerd door Microsoft, waardoor er geen behoefte is aan onderhoud of operationele overhead door de gebruiker.

4. Azure Bastion

Het is geen verstandige keuze om een VM bloot te stellen aan het openbare internet en de RDP- of SSH-poort te openen. Hier komt Azure Bastion van pas.

Azure Bastion is een volledig beheerde (PaaS) dienst die veilige verbindingen met virtuele machines (VM's) via een privé-IP-adres mogelijk maakt. Met andere woorden, het biedt een veilige manier om op afstand verbinding te maken met servers (zowel Windows als Linux) zonder de server bloot te stellen aan het openbare internetadres.

Met andere woorden, bij het verbinden via het internet hoeft de server waarmee je verbinding maakt niet openbaar toegankelijk te zijn. Ook hebben je VM's geen agent of speciale clientsoftware nodig. Hun functies zijn vergelijkbaar met die van proxyservices, maar het is veel veiliger en efficiënter.

Azure Bastion functioneert als een volledig beheerde gateway, door jou ingezet en geschaald in je eigen Azure vNets.

Belangrijke Kenmerken

• Geen openbaar IP-adres op Azure VM's: RDP- en SSH-poorten worden niet langer blootgesteld aan het openbare internet, wat het aanvalsoppervlak vermindert.
• Bescherming tegen Zero-Day Exploits: Bastion fungeert als een veilige perimeter, die je VM's beschermt tegen directe aanvallen.
• Verminderde VM-verharding: Aangezien VM's niet langer direct aan het internet zijn blootgesteld, is de behoefte aan uitgebreide verharding verminderd. Het beveiligen van alle systemen blijft echter een goede praktijk.
• Moderne authenticatie: Het inloggen op Azure Bastion is beveiligd met moderne authenticatiemethoden, inclusief MFA en Conditional Access en Microsoft Entra ID Protection.
• Geen gedoe met NSG's: Verkeer via Bastion vereist geen configuratie of beheer van Network Security Groups (NSGs). Dit maakt het beheer van beveiliging eenvoudiger en efficiënter.

Met nieuwe functies zoals IP-gebaseerde verbindingen en ondersteuning voor native cliënten, stelt Bastion nu verbindingen mogelijk naar on-premises of multi-cloud VM's (via site-to-site VPN of ExpressRoute). Bovendien maakt het gebruik van native RDP- of SSH-clients mogelijk voor extra flexibiliteit.

5. Azure DDoS Protection

Een Distributed Denial-of-Service (DDoS) aanval is een poging van een kwaadwillende actor om normaal websiteverkeer te verstoren door het te overweldigen met enorme hoeveelheden vals verkeer.

Stel je voor dat een DDoS-aanval plaatsvindt in Azure terwijl je webserver wordt gehost op een Azure-dienst, zoals Azure App Service. Dan zou Azure DDoS-beveiliging het kwaadaardige verkeer filteren zodat alleen legitieme gebruikers kunnen verbinden.

Het grote voordeel is dat Azure's DDoS Protection gratis is omdat het standaard bij alle Azure-diensten is inbegrepen. Azure biedt twee soorten DDoS-beveiliging:

1. DDoS Protection Basic: Gratis inbegrepen bij alle Azure-diensten.
2. DDoS Protection Standard: Ontworpen voor meer waardevolle apps, aangezien het kan beschermen tegen geavanceerde aanvallen. Het kost ongeveer $3000 per maand en biedt SLA's voor applicatie- en kostenbescherming.

Belangrijke Kenmerken

• DDoS-beschermingsdienst in Azure
• Ontworpen om:
  • kwaadaardig verkeer te detecteren en te beperken terwijl het legitieme gebruikers in staat stelt om te verbinden.
  • extra kosten voor auto-scaling omgevingen te voorkomen
• Het heeft twee niveaus
  • 1. Basic - inbegrepen en automatisch ingeschakeld voor het Azure-platform
  • 2. Standard – extra mitigatie- en monitoringcapaciteiten voor Azure Virtual Network bronnen
• Gebruikt machine learning (ML) om verkeerspatronen te analyseren voor verbeterde nauwkeurigheid

6. Azure Private Link (Private EndPoints)

Je kunt de netwerkbeveiliging in je omgeving verder verbeteren door Azure Private Link te gebruiken om Azure PaaS-diensten (Azure Storage, Azure SQL Database, Azure SQL Managed Instance) te beschermen met Azure Virtual Networks. Azure Private Link maakt verbinding via een Private Endpoint binnen je VNet mogelijk.

Private Endpoints zijn netwerkinterfaces voor Azure PaaS-diensten zoals opslagaccounts, app-diensten, automatiseringsaccounts, key vaults, en dergelijke. Diensten zoals Azure Migrate en Azure Arc ondersteunen ook Private Endpoints. Private Endpoints gebruiken privé-IP-adressen om veilig toegang te krijgen tot diensten, waarbij verkeer op de backbone van Microsoft blijft en weg van het openbare internet. Je kunt ook controle over het verkeer verkrijgen door functies zoals Network Security Groups (NSGs) en User Defined Routes (UDRs) te gebruiken.

Voorbeeld: als je een interne website hebt die je wilt beperken tot je interne netwerk, kun je een Private Endpoint gebruiken. Het privé-IP kan verkeer routeren via je ExpressRoute of VPN in plaats van het openbare internet.

Private Endpoints bieden meer beveiliging, snelheid en stabiliteit. En om de deal te zoeten, zijn er meer voordelen:

• Privétoegang tot diensten: Beheert veilige connectiviteit tussen consumenten en diensten via het Azure-backbonenetwerk.
• Kosteneffectief: Private Endpoints kosten ongeveer $0,01 per uur en $0,01 per GB aan verkeer.
• Verbeterde beveiliging: Private endpoints helpen tegen gegevenslekken te beschermen door ervoor te zorgen dat alleen specifieke bronnen toegankelijk zijn, waardoor het risico op ongeautoriseerde toegang wordt verminderd.
• On-prem en gepeerde netwerken: toegang tot bronnen van on-prem via VPN-tunnels, gepeerde virtuele netwerken of ExpressRoute private peering. Er is geen noodzaak voor internettraversering, wat een veiligere manier biedt om workloads naar Azure te migreren.
• Globaal bereik: Je kunt privé verbinding maken met diensten die draaien in andere regio's. Bijvoorbeeld, een virtueel netwerk van een consument in Regio A kan veilig toegang krijgen tot diensten achter een private link in Regio B.

Het opzetten van een Azure private link is eenvoudig en beschermt je cloudwerklasten tegen ongeautoriseerde toegang en gegevenslekken. Prioriteer het beveiligen van je netwerk om potentiële inbreuken te voorkomen.

Threat Detection and Monitoring

7. Microsoft Sentinel

Microsoft Sentinel (Azure Sentinel) is een cloud-native Security Information and Event Management (SIEM) oplossing die intelligente beveiligingsanalyses en dreigingsinformatie biedt voor het hele bedrijf. Het is ook een oplossing voor beveiligingsorkestratie, automatisering en respons (SOAR). Met deze Azure beveiligingstool kunnen organisaties bedreigingen vinden, onderzoeken en erop reageren, waarschuwingen creëren en beveiligingsdreigingen in hun omgeving beperken.

Microsoft Sentinel verzamelt gegevens van vele bronnen en analyseert deze op beveiligingsincidenten en dreigingen. Het correleert beveiligingslogs en signalen van alle bronnen binnen je apps, diensten, infrastructuur en gebruikers.

Belangrijke kenmerken

• Werkt overal: Zichtbaarheid en detectie zowel on-premise, in Azure, gehost in een andere cloud, of een combinatie van clouds – multi-cloud.
• Geïntegreerde oplossing: Als een geïntegreerd platform voor dreigingszichtbaarheid biedt het functies zoals proactieve dreigingsjacht, snelle incidentrespons en detectie van beveiligingswaarschuwingen.
• Automatiseer beveiligingsoperaties: Je kunt beveiligingsplaybooks bouwen en uitvoeren, die met Azure Logic Apps kunnen worden gecreëerd en specifieke acties uitvoeren (kwaadaardige IP's blokkeren, gecompromitteerde accounts uitschakelen, enz.) gebaseerd op beveiligingsevents.
• Gebruiksvriendelijke playbooks: Het maken van playbooks is eenvoudig en je hebt geen ontwikkelaarsvaardigheden nodig. Ze kunnen zowel op aanvraag als in realtime worden geactiveerd.
• Integratie met Azure Notebooks: Gebaseerd op Jupyter Notebooks, waarmee je onderzoeksstappen kunt automatiseren, gegevens kunt verrijken en resultaten kunt visualiseren.
• Dreigingsjachttools: Op de jachtpagina kun je vooraf gebouwde queries vinden die door Microsoft beveiligingsexperts zijn gemaakt om naar anomalieën en beveiligingsdreigingen in je logs te zoeken.

Omdat het realtime intelligentie biedt, vinden we het een krachtiger hulpmiddel dan Microsoft Defender for Cloud. Bovendien ondersteunt het Zero Trust terwijl het geavanceerde analyses en AI gebruikt om je netwerk te dienen.