Beveiligingshouding beheren met Azure Security Benchmark

Beveiligingshouding beheren met Azure Security Benchmark

14/06/2025

Dit technische en educatieve artikel is bedoeld om beveiligingsanalisten, IT-beheerders en systeemingenieurs te begeleiden bij het gebruik van de Azure Security Benchmark (ASB) om de beveiligingspostuur van hun Azure-omgevingen te beheren en te verbeteren. In een steeds evoluerend cloudlandschap is het een voortdurende uitdaging om ervoor te zorgen dat bronnen veilig worden geconfigureerd en in overeenstemming zijn met best practices. ASB biedt, in combinatie met Microsoft Defender for Cloud, een uitgebreid raamwerk voor het beoordelen, monitoren en verbeteren van de beveiliging van uw cloudworkloads [1].

Introductie

Cloudbeveiliging is een gedeelde verantwoordelijkheid tussen de cloudprovider (Microsoft) en de klant. Hoewel Microsoft de onderliggende infrastructuur beschermt, is de beveiliging van gegevens, toepassingen en netwerkconfiguraties binnen uw omgeving uw verantwoordelijkheid. De complexiteit van clouddiensten en de snelheid van veranderingen kunnen het moeilijk maken om een ​​robuust en consistent beveiligingsbeleid te handhaven. Verkeerde configuraties, niet-gepatchte kwetsbaarheden en gebrek aan zichtbaarheid zijn veelvoorkomende aanvalsvectoren die kunnen leiden tot inbreuken op de beveiliging [2].

De Azure Security Benchmark (ASB) is een reeks beveiligingsrichtlijnen die specifiek zijn voor Azure, ontwikkeld door Microsoft, waarin best practices op het gebied van beveiliging en nalevingsaanbevelingen zijn opgenomen van toonaangevende raamwerken zoals CIS (Center for Internet Security) en NIST (National Institute of Standards and Technology). Het biedt een basis voor het beschermen van uw cloudbronnen en omvat gebieden als netwerkbeveiliging, identiteitsbeheer, gegevensbescherming, kwetsbaarheidsbeheer en meer. Microsoft Defender for Cloud (voorheen Azure Security Center) is het belangrijkste hulpmiddel voor het beoordelen en monitoren van ASB-compliance [3].

Deze praktische gids behandelt de vereisten, ASB-concepten, hoe u Microsoft Defender for Cloud kunt gebruiken om ASB-compliance te beoordelen, beveiligingsaanbevelingen te interpreteren, fouten te herstellen, uitzonderingen te configureren en de Secure Score te bewaken. Er worden stapsgewijze instructies, praktische voorbeelden en beknopte uitleg gegeven, zodat de lezer deze functies kan implementeren, testen en valideren. Daarnaast worden beveiligingstips, nalevingscontrole en best practices besproken om ervoor te zorgen dat uw beveiligingspositie in Azure voortdurend, autonoom, professioneel en betrouwbaar wordt verbeterd.

Waarom is de Azure Security Benchmark cruciaal voor uw beveiligingspositie?

  • Uitgebreide richtlijnen: Biedt een gedetailleerde reeks beveiligingsaanbevelingen voor Azure-services, die alle aspecten van cloudbeveiliging bestrijken.
  • Afstemming met industriestandaarden: Gebaseerd op wereldwijd erkende beveiligingsframeworks, zodat uw beveiligingspraktijken in lijn zijn met de beste praktijken.
  • Continu beoordeling: Geïntegreerd met Microsoft Defender for Cloud, biedt continue beoordeling van ASB-compliance en identificeert afwijkingen.
  • Aanbevelingen waar actie op ondernomen kan worden: Biedt duidelijke aanbevelingen en herstelstappen om beveiligingsproblemen op te lossen en de status te verbeteren.
  • Secure Score Monitoring: helpt bij het visualiseren en volgen van de voortgang bij het verbeteren van de beveiliging via een kwantificeerbare statistiek (Secure Score).
  • Naleving van regelgeving: Vergemakkelijkt de naleving van verschillende nalevingsvereisten door ASB-controles in overeenstemming te brengen met wettelijke normen.

Vereisten

Om uw beveiligingspostuur te beheren met Azure Security Benchmark, hebt u de volgende items nodig:

  1. Actief Azure-abonnement: een Azure-abonnement met geïmplementeerde bronnen.
  2. Beheerderstoegang: een account met de rol 'Eigenaar', 'Bijdrager' of 'Beveiligingsbeheerder' voor het abonnement of de resourcegroep.
  3. Microsoft Defender for Cloud ingeschakeld: Defender for Cloud moet zijn ingeschakeld in uw abonnement om beveiligingsbeoordelingen en aanbevelingen te kunnen bieden. Het gratis abonnement biedt al ASB [4].

Stap voor stap: Beveiligingspostuur beheren met Azure Security Benchmark

Laten we Security Center inschakelen, ASB-compliance beoordelen en aanbevelingen verhelpen.

1. Microsoft Defender voor Cloud en Azure Security Benchmark inschakelenASB wordt automatisch opgenomen in Security Center. Als u Defender for Cloud al hebt ingeschakeld, wordt ASB al geëvalueerd.

  1. Open uw browser en navigeer naar de Azure-portal: https://portal.azure.com.
  2. Log in met een account dat over de benodigde rechten beschikt.
  3. Typ 'Microsoft Defender for Cloud' in het bovenste zoekveld en selecteer dit uit de resultaten.
  4. Controleer op de overzichtspagina van Security Center of uw abonnement is geïntegreerd. Als dit niet het geval is, volgt u de instructies om uw abonnement te integreren.
  5. Selecteer in het linkernavigatievenster Omgevingsinstellingen.
  6. Selecteer de handtekening die u wilt beschermen.

  7. Zorg ervoor dat op de pagina Defender-abonnementen het 'Basic Cloud Security'-abonnement (inclusief ASB) op 'Aan' staat.

    • Uitleg: Het basisabonnement van Defender for Cloud biedt gratis een beoordeling van de beveiligingsstatus, inclusief Azure Security Benchmark-aanbevelingen. Betaalde abonnementen (zoals Defender for Servers, Defender for Storage) voegen workload protection (CWPP) toe.

2. Beoordeling van de naleving van de Azure Security Benchmark

Defender for Cloud geeft ASB-naleving weer via het dashboard voor naleving van regelgeving.

  1. Selecteer in het linkernavigatievenster van Defender for Cloud Naleving van regelgeving.
  2. Op het dashboard ziet u 'Azure Security Benchmark' vermeld als een van de nalevingsnormen.

  3. Klik op 'Azure Security Benchmark' om uw nalevingsgegevens te bekijken.

    • Uitleg: Dit dashboard toont een overzicht van uw ASB-compliance, inclusief hoeveel controles zijn geslaagd, hoeveel er zijn mislukt en hoeveel handmatige tussenkomst vereisen. U kunt dieper ingaan op de bedieningselementen om specifieke aanbevelingen te bekijken.

3. Beveiligingsaanbevelingen interpreteren en herstellen

Aanbevelingen vormen de basis voor het verbeteren van uw beveiligingspositie.

  1. Selecteer Aanbevelingen in het linkernavigatievenster van Defender for Cloud.
  2. Aanbevelingen zijn gegroepeerd op 'Veiligheidscontrole'. U kunt filteren op 'Standaard' = 'Azure Security Benchmark'.
  3. Zoek een aanbeveling met 'Status' = 'Ongezond' (bijvoorbeeld 'Beheerpoorten moeten worden beperkt tot vertrouwde IP-bereiken').

  4. Klik op de aanbeveling om de details te bekijken:

    • Beschrijving: legt het beveiligingsprobleem uit.
    • Herstelstappen: biedt stapsgewijze instructies om het probleem te verhelpen. Veel aanbevelingen bieden een 'Fix'-optie met één klik of een automatiseringsscript.
    • Betrokken bronnen: vermeldt alle bronnen (VM's, opslagaccounts, netwerken, enz.) die niet aan het beleid voldoen.
    • Nalevingsnormen: laat zien op welke ASB-controles (en andere normen) deze aanbeveling betrekking heeft.

  5. Een aanbeveling herstellen (bijvoorbeeld: beheerpoorten beperken):

    • Voor de aanbeveling 'Beheerpoorten moeten worden beperkt tot vertrouwde IP-bereiken' klikt u op de betreffende bronnen.
    • Voor elke functie kunt u op 'Repareren' klikken of de handmatige instructies volgen om een ​​Network Security Group (NSG) te configureren die de toegang tot RDP/SSH-poorten beperkt tot alleen specifieke, vertrouwde IP's.

    • Voorbeeld van een Azure CLI-opdracht om NSG bij te werken: bash az network nsg-regelupdate\ --resource-group <bron_groepsnaam> \ --nsg-naam <nsg_naam> \ --naam <rdp_ssh_regelnaam> \ --source-address-prefixes <uw_trust_ips> \ --bestemmingspoortbereik 3389 # of 22

    • Uitleg: Na herstel evalueert Security Center de bron opnieuw. Als de oplossing succesvol is, verandert de status van de bron in 'Gezond' en wordt de veilige score bijgewerkt.

4. Uitzonderingen voor aanbevelingen configureren

In sommige gevallen is een aanbeveling mogelijk niet van toepassing op een specifieke hulpbron, of kan er een zakelijke rechtvaardiging zijn om deze niet onmiddellijk te herstellen. U kunt een uitzondering maken.

  1. Klik op de detailpagina van een aanbeveling op ... (meer opties) en selecteer Maak uitzondering.
  2. Maak uitzondering:
    • Bereik: Selecteer of de uitzondering van toepassing is op het gehele abonnement, een groep bronnen of een specifieke bron.
    • Reden: Selecteer de reden voor de uitzondering (bijvoorbeeld 'Geaccepteerd risico', 'Mitigeerd door controle van derden').
    • Vervaldatum: Stel een vervaldatum in voor de uitzondering.
    • Opmerking: Geef een gedetailleerde rechtvaardiging voor de uitzondering.

  3. Klik op Maken.

    • Uitleg: Uitzonderingen moeten met voorzichtigheid worden gebruikt en gedocumenteerd. Ze verwijderen de aanbeveling uit uw veilige score, maar het onderliggende risico bestaat nog steeds. Controleer uitzonderingen regelmatig.

5. Bewaken van de veilige score

De beveiligingsscore is een kwantificeerbare maatstaf voor uw beveiligingspositie.

  1. Selecteer Overzicht in het linkernavigatievenster van Defender for Cloud.
  2. 'Veilige score' wordt prominent weergegeven en toont uw huidige score en mogelijkheden voor verbetering.

  3. Klik op 'Secure Score' om details te bekijken, inclusief aanbevelingen die het meest bijdragen aan de scoreverbetering.

    • Uitleg: De veilige score wordt berekend op basis van het percentage beveiligingsaanbevelingen dat u heeft opgelost. Geef prioriteit aan aanbevelingen die een grotere impact hebben op uw score en die het meest kritisch zijn voor uw omgeving.

Validatie en testen

Het is van cruciaal belang om te valideren dat de herstelacties werken en dat uw beveiligingspositie verbetert.

1. Aanbevelingsherstel verifiëren

  1. Scenario: Nadat u een herstelactie voor een aanbeveling hebt toegepast (bijvoorbeeld het beperken van beheerpoorten), wacht u een paar minuten totdat Security Center de bron opnieuw heeft geëvalueerd.
  2. Verwachte actie: de resourcestatus voor die aanbeveling moet veranderen van 'Ongezond' in 'Gezond'.
  3. Verificatie:
    • Navigeer naar Microsoft Defender for Cloud > Aanbevelingen.
    • Filter op de aanbeveling die u heeft hersteld en controleer de status van de getroffen bronnen.

2. Monitoren van de evolutie van de beveiligde score

  1. Scenario: nadat u verschillende aanbevelingen heeft verholpen, kunt u observeren hoe uw veilige score in de loop van de tijd evolueert.
  2. Verwachte actie: uw beveiligingsscore zou moeten stijgen, wat de verbetering van uw beveiligingspositie weerspiegelt.
  3. Verificatie:
    • Navigeer naar Microsoft Defender for Cloud > Overzicht en bekijk de trendgrafiek 'Secure Score'.

Beveiligingstips en best practices

  • Geef prioriteit aan kritieke aanbevelingen: Concentreer u eerst op de aanbevelingen die de grootste impact hebben op uw veilige score en die de meest kritieke risico's voor uw omgeving aanpakken.
  • Herstel automatiseren: gebruik 'Herstel'-opties of automatiseringsscripts met één klik (Azure Policy, Azure Automation) om aanbevelingen op schaal te herstellen.
  • Integreren met Azure Policy: gebruik Azure Policy om ASB-compliance af te dwingen, waarbij u ervoor zorgt dat nieuwe resources al in overeenstemming worden geïmplementeerd en dat bestaande resources niet afwijken van het beleid.
  • Regelmatige evaluatie: Controleer regelmatig beveiligingsaanbevelingen, uitzonderingen en veilige scores om een ​​proactieve beveiligingshouding te behouden.
  • Teambewustzijn: Zorg ervoor dat ontwikkelings- en operationele teams op de hoogte zijn van ASB-aanbevelingen en hoe hun acties de beveiligingspositie beïnvloeden.
  • Verdedig de cloud met betaalde abonnementen: hoewel ASB gratis is, kunt u overwegen betaalde Defender for Cloud-abonnementen in te schakelen (bijvoorbeeld Defender for Servers, Defender for Storage, Defender for SQL) om werklastbescherming (CWPP) en geavanceerde detectie van bedreigingen te krijgen.

Algemene probleemoplossing

  • Aanbevelingen worden niet bijgewerkt na herstel:
    • Het kan enige tijd duren voordat Security Center de bronnen opnieuw evalueert en de status bijwerkt. Wacht een paar minuten en vernieuw de pagina.
    • Controleer of het herstel correct is toegepast. Soms bevatten herstelinstructies specifieke details die nauwkeurig moeten worden opgevolgd.
    • Controleer de Azure-activiteitenlogboeken om te bevestigen dat de wijziging op de bron is toegepast.
  • Veilige score neemt niet toe:
    • De veilige score weerspiegelt het percentage opgeloste aanbevelingen. Als u slechts enkele aanbevelingen met een lage impact heeft verholpen, kan de stijging minimaal zijn.
    • Zorg ervoor dat er geen nieuwe ‘ongezonde’ aanbevelingen zijn die uw herstelmaatregelen tenietdoen.
  • Bronnen worden niet weergegeven in aanbevelingen:
    • Controleer of Security Center is ingeschakeld voor het abonnement waarin de bronnen zich bevinden.
    • Zorg ervoor dat de functies worden ondersteund door Security Center en ASB.
    • Er kan vertraging optreden bij het ontdekken van nieuwe bronnencursussen via Defender for Cloud.
  • Vragen over een specifieke aanbeveling:
    • Zie de officiële Azure Security Benchmark-documentatie op Microsoft Learn voor meer informatie over elke controle en aanbeveling.
    • Gebruik de Feedback optie in de Azure portal om vragen of opmerkingen naar Microsoft te sturen.

Conclusie

De Azure Security Benchmark is, in combinatie met Microsoft Defender for Cloud, een onmisbaar hulpmiddel voor elke organisatie die op zoek is naar een robuust en conform beveiligingsbeleid in Azure. Door een duidelijk raamwerk van best practices en een platform voor voortdurende beoordeling en herstel te bieden, stelt het beveiligingsteams in staat om proactief beveiligingsinbreuken te identificeren en op te lossen. Het adopteren en actief onderhouden van ASB is van cruciaal belang voor het beschermen van uw cloudactiva tegen cyberdreigingen en het waarborgen van de integriteit van uw activiteiten. Met deze praktische gids zijn beveiligingsprofessionals en IT-beheerders goed uitgerust om de beveiligingshouding van hun Azure-omgevingen autonoom, professioneel en betrouwbaar te configureren, valideren en beheren.

Referenties:

[1] Microsoft Leer. Overzicht van Azure Security Benchmark v3. Beschikbaar op: https://learn.microsoft.com/pt-br/security/benchmark/azure/overview-v3 [2] Microsoft Leer. Security Control v3: houdings- en kwetsbaarheidsbeheer. Beschikbaar op: https://learn.microsoft.com/pt-br/security/benchmark/azure/security-controls-v3-posture-vulnerability-management [3] Microsoft Leer. Wat is Microsoft Defender voor Cloud?. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/defender-for-cloud-introduction [4] Microsoft Leer. Verbeter de naleving van de regelgeving - Azure. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/regulatory-compliance-dashboard [5] Microsoft Leer. Defender for Cloud-beveiligingsscore. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/secure-score-security-controls [6] Microsoft Leer. Aanbevelingen voor herstel - Microsoft Defender voor Cloud. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/implement-security-recommendations [7] Microsoft Leer. Bekijk beveiligingsaanbevelingen - Azure. Beschikbaar op: https://learn.microsoft.com/pt-br/azure/defender-for-cloud/review-security-recommendations