Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Beveiliging is essentieel in de cloudomgeving van vandaag. Cyberbedreigingen ontwikkelen zich voortdurend en beschermen van uw gegevens, toepassingen en infrastructuur vereist een uitgebreide, meerlaagse benadering. Beveiliging is een taak in de cloud en het is belangrijk dat u nauwkeurige en tijdige informatie over Azure beveiliging vindt.
Dit artikel bevat een uitgebreid overzicht van de beveiliging die beschikbaar is met Azure. Zie Beveiliging in Azure voor een end-to-end weergave van Azure beveiliging die is georganiseerd op basis van beveiligings-, detectie- en responsmogelijkheden.
diepgaande beveiligingsbenadering van Azure
Azure maakt gebruik van een diepgaande verdedigingsstrategie, die meerdere beveiligingslagen biedt voor de hele stack, van fysieke datacenters tot berekening, opslag, netwerken, toepassingen en identiteit. Deze meerlaagse benadering zorgt ervoor dat als één laag wordt aangetast, extra lagen uw resources blijven beveiligen.
De infrastructuur van Azure is vanaf de basis zorgvuldig opgebouwd, waarbij alles omvat is, van fysieke faciliteiten tot toepassingen, om miljoenen klanten tegelijk veilig te hosten. Deze robuuste basis stelt bedrijven in staat om met vertrouwen te voldoen aan hun beveiligingsvereisten. Zie Azure infrastructuurbeveiliging voor informatie over hoe Microsoft het Azure platform zelf beveiligt. Zie Azure fysieke beveiliging voor meer informatie over de beveiliging van fysieke datacenters.
Azure is een platform voor openbare cloudservices dat ondersteuning biedt voor een brede selectie van besturingssystemen, programmeertalen, frameworks, hulpprogramma's, databases en apparaten. Het kan Linux-containers uitvoeren met Docker-integratie; apps bouwen met JavaScript, Python, .NET, PHP, Java en Node.js; en back-ends bouwen voor iOS-, Android- en Windows-apparaten. Azure openbare cloudservices bieden ondersteuning voor dezelfde technologieën als miljoenen ontwikkelaars en IT-professionals vertrouwen al op en vertrouwen.
Ingebouwde platformbeveiliging
Azure biedt standaard beveiligingsmaatregelen die zijn ingebouwd in het platform waarmee u uw resources kunt beschermen vanaf het moment dat ze worden geïmplementeerd. Zie Azure platformbeveiligingsoverzicht voor uitgebreide informatie over de platformbeveiligingsmogelijkheden van Azure.
- Network Protection: Azure DDoS Protection beschermt uw resources automatisch tegen gedistribueerde denial-of-service-aanvallen.
- Versleuteling standaard: Data encryption at rest is standaard ingeschakeld voor Azure Storage, SQL Database en vele andere services.
- Identity Security: Microsoft Entra ID biedt veilige verificatie en autorisatie voor alle Azure services.
- Detectie van bedreigingen: ingebouwde detectie van bedreigingen monitort verdachte activiteiten in uw Azure-resources.
- Compliance: Azure onderhoudt het grootste complianceportfolio in de branche, zodat u aan wettelijke vereisten kunt voldoen.
Deze fundamentele beveiligingscontroles werken continu op de achtergrond om uw cloudinfrastructuur te beveiligen, zonder dat er extra configuratie is vereist voor basisbeveiliging.
Gedeelde verantwoordelijkheid in de cloud
Hoewel Azure robuuste platformbeveiliging biedt, is beveiliging in de cloud een gedeelde verantwoordelijkheid tussen Microsoft en u. De verdeling van verantwoordelijkheden is afhankelijk van uw implementatiemodel (IaaS, PaaS of SaaS):
- Microsoft's verantwoordelijkheid: Azure beveiligt de onderliggende infrastructuur, waaronder fysieke datacenters, hardware, netwerkinfrastructuur en het hostbesturingssysteem.
- Uw verantwoordelijkheid: u bent verantwoordelijk voor het beveiligen van uw gegevens, toepassingen, identiteiten en toegangsbeheer.
Elke workload en toepassing verschillen, met unieke beveiligingsvereisten op basis van branchevoorschriften, gegevensgevoeligheid en bedrijfsbehoeften. Hier spelen Azure geavanceerde beveiligingsservices een rol. Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie over het model voor gedeelde verantwoordelijkheid.
Note
De primaire focus van dit document is gericht op klantgerichte besturingselementen die u kunt gebruiken om de beveiliging voor uw toepassingen en services aan te passen en te verbeteren.
Geavanceerde beveiligingsservices voor elke workload
Om te voldoen aan uw unieke beveiligingsvereisten, biedt Azure een uitgebreide suite geavanceerde beveiligingsservices die u kunt configureren en aanpassen voor uw specifieke behoeften. Deze services zijn ingedeeld in zes functionele gebieden: Bewerkingen, Toepassingen, Opslag, Netwerken, Compute en Identiteit. Zie Azure beveiligingsservices en -technologieën voor een uitgebreide catalogus met beveiligingsservices en -technologieën.
Bovendien biedt Azure u een breed scala aan configureerbare beveiligingsopties en de mogelijkheid om deze te beheren, zodat u de beveiliging kunt aanpassen om te voldoen aan de unieke vereisten van de implementaties van uw organisatie. Dit document helpt u te begrijpen hoe Azure beveiligingsmogelijkheden u kunnen helpen aan deze vereisten te voldoen.
Zie de Microsoft-cloudbeveiligingsbenchmark voor een gestructureerde weergave van Azure beveiligingscontroles en basislijnen. Dit biedt uitgebreide beveiligingsrichtlijnen voor Azure-services. Zie Azure technische mogelijkheden voor beveiliging voor meer informatie over de technische mogelijkheden van Azure.
Compute-beveiliging
Het beveiligen van uw virtuele machines en rekenresources is essentieel voor het beveiligen van uw workloads in Azure. Azure biedt meerdere lagen rekenbeveiliging, van hardwarebeveiliging tot op software gebaseerde bedreigingsdetectie. Zie Azure Virtual Machines beveiligingsoverzicht voor gedetailleerde beveiligingsinformatie voor virtuele machines.
Vertrouwde start
Trusted launch is de standaardinstelling voor nieuw gemaakte generatie 2 Azure-VM's en Virtual Machine Scale Sets. Vertrouwde lancering beschermt tegen geavanceerde en permanente aanvalstechnieken, waaronder opstartkits, rootkits en malware op kernelniveau.
Vertrouwde start biedt:
- Beveiligd opstarten: beschermt tegen installatie van op malware gebaseerde rootkits en opstartkits door ervoor te zorgen dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen opstarten
- vTPM (virtual Trusted Platform Module): een toegewezen beveiligde kluis voor sleutels en metingen die verificatie van attestation- en opstartintegriteit mogelijk maken
- Boot Integrity Monitoring: maakt gebruik van attestation via Microsoft Defender for Cloud om de integriteit van de opstartketen te controleren en waarschuwingen over fouten te controleren
U kunt vertrouwde lancering inschakelen op bestaande VM's en Virtual Machine Scale Sets.
Azure confidential computing
Azure confidential computing biedt het laatste, ontbrekende stukje gegevensbescherming. Hiermee kunt u uw gegevens altijd versleuteld houden - in rust, wanneer ze in beweging zijn via het netwerk, en nu, zelfs tijdens het laden in het geheugen en in gebruik. Door Remote Attestation mogelijk te maken, kunt u ook cryptografisch controleren of de VIRTUELE machine die u hebt geïmplementeerd, veilig is opgestart en correct is geconfigureerd, voordat u uw gegevens ontgrendelt.
Het spectrum van opties varieert van het inschakelen van 'lift-and-shift'-scenario's van bestaande toepassingen tot volledige controle van beveiligingsfuncties. Voor IaaS (Infrastructure as a Service) kunt u het volgende gebruiken:
- Vertrouwelijke virtuele machines mogelijk gemaakt door AMD SEV-SNP: op hardware gebaseerde geheugenversleuteling met maximaal 256 GB versleuteld geheugen
- Vertrouwelijke VM's met Intel TDX: Intel Trust Domain Extensions bieden verbeterde prestaties en beveiliging
- Vertrouwelijke VM's met NVIDIA H100 GPU's: met GPU versnelde vertrouwelijke computing voor AI/ML-workloads
- Vertrouwelijke toepassings enclaves met Intel SGX: isolatie op toepassingsniveau voor gevoelige code en gegevens
Voor PaaS (Platform as a Service) biedt Azure meerdere containergebaseerde opties voor vertrouwelijke computing, waaronder integraties met Azure Kubernetes Service (AKS).
Antimalware en antivirus
Met Azure IaaS kunt u antimalwaresoftware gebruiken van beveiligingsleveranciers zoals Microsoft, Symantec, Trend Micro, McAfee en Kaspersky om uw virtuele machines te beschermen tegen schadelijke bestanden, adware en andere bedreigingen. Microsoft Antimalware voor Azure Virtual Machines is een beveiligingsmogelijkheid waarmee virussen, spyware en andere schadelijke software kunnen worden geïdentificeerd en verwijderd. Microsoft Antimalware biedt configureerbare waarschuwingen wanneer bekende schadelijke of ongewenste software probeert zichzelf te installeren of uit te voeren op uw Azure systemen. U kunt Microsoft Antimalware ook implementeren met behulp van Microsoft Defender for Cloud.
Note
Overweeg voor moderne beveiliging Microsoft Defender voor servers die geavanceerde bedreigingsbeveiliging biedt, waaronder eindpuntdetectie en -respons (EDR) via integratie met Microsoft Defender for Endpoint.
Hardwarebeveiligingsmodule
Versleuteling en verificatie verbeteren de beveiliging niet, tenzij de sleutels zelf zijn beveiligd. U kunt het beheer en de beveiliging van uw kritieke geheimen en sleutels vereenvoudigen door ze op te slaan in Azure Key Vault. Key Vault biedt de mogelijkheid om uw sleutels op te slaan in HSM's (Hardware Security Modules) die zijn gecertificeerd voor FIPS 140-3 Niveau 3 standaarden. U kunt uw SQL Server versleutelingssleutels opslaan voor back-up of gebruiken met transparent gegevensversleuteling in Key Vault samen met sleutels of geheimen uit uw toepassingen. Microsoft Entra ID beheert machtigingen en toegang tot deze beveiligde items.
Zie Sleutelbeheer in Azure voor uitgebreide informatie over belangrijke beheeropties, waaronder Azure Key Vault, Beheerde HSM en Payment HSM.
Back-up van virtuele machine
Azure Backup is een oplossing waarmee uw toepassingsgegevens worden beschermd met nul kapitaalinvesteringen en minimale operationele kosten. Toepassingsfouten kunnen uw gegevens beschadigen en menselijke fouten kunnen fouten veroorzaken in uw toepassingen die kunnen leiden tot beveiligingsproblemen. Met Azure Backup worden uw virtuele machines waarop Windows en Linux worden uitgevoerd, beveiligd.
Azure Site Recovery
Een belangrijk onderdeel van de BCDR-strategie (Business Continuity/Disaster Recovery) van uw organisatie is het bepalen hoe zakelijke workloads en apps actief blijven wanneer geplande en ongeplande storingen optreden. Azure Site Recovery helpt bij het organiseren van replicatie, failover en herstel van workloads en apps, zodat deze beschikbaar zijn vanaf een secundaire locatie als uw primaire locatie uitvalt.
SQL VM TDE
Transparent Data Encryption (TDE) en versleuteling op kolomniveau (CLE) zijn SQL Server-versleutelingsfuncties. Voor deze vorm van versleuteling moet u de cryptografische sleutels beheren en opslaan die worden gebruikt voor versleuteling.
De Azure Key Vault (AKV)-service is ontworpen om de beveiliging en het beheer van deze sleutels op een veilige en maximaal beschikbare locatie te verbeteren. Met de SQL Server Connector kunnen SQL Server deze sleutels uit Azure Key Vault gebruiken.
Als u SQL Server uitvoert met on-premises machines, kunt u de stappen volgen om toegang te krijgen tot Azure Key Vault vanaf uw on-premises SQL Server exemplaar. Voor SQL Server in Azure VM's kunt u tijd besparen met behulp van de functie Azure Key Vault Integratie. Door enkele Azure PowerShell cmdlets te gebruiken om deze functie in te schakelen, kunt u de configuratie automatiseren die nodig is voor een SQL-VM om toegang te krijgen tot uw sleutelkluis.
Zie Azure controlelijst voor databasebeveiliging voor een uitgebreide lijst met aanbevolen procedures voor databasebeveiliging.
VM-schijfversleuteling
Belangrijk
Azure Disk Encryption is gepland voor buitengebruikstelling op September 15, 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.
Gebruik versleuteling op de host voor nieuwe VM's. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure-schijfencryptie naar encryptie bij de host voor meer informatie.
Voor moderne versleuteling van virtuele machines biedt Azure het volgende:
- Versleuteling op host: biedt end-to-end-versleuteling voor VM-gegevens, waaronder tijdelijke schijven en caches van besturingssysteem/gegevensschijven.
- Vertrouwelijke schijfversleuteling: beschikbaar met vertrouwelijke VM's voor hardwaregebaseerde versleuteling.
- Versleuteling aan de serverzijde met door de klant beheerde sleutels: Beheer uw eigen versleutelingssleutels via Azure Key Vault of Azure Key Vault Beheerde HSM.
Zie Overview van opties voor versleuteling van beheerde schijven voor meer informatie.
Virtueel netwerk
Virtuele machines hebben netwerkconnectiviteit nodig. Om deze vereiste te ondersteunen, moeten Azure virtuele machines zijn verbonden met een Azure Virtual Network. Een Azure Virtual Network is een logische constructie die is gebouwd op de fysieke Azure netwerkinfrastructuur. Elke logische Azure Virtual Network is geïsoleerd van alle andere Azure Virtuele netwerken. Deze isolatie zorgt ervoor dat netwerkverkeer in uw implementaties niet toegankelijk is voor andere Microsoft Azure klanten.
Patchupdates
Patchupdates bieden de basis voor het vinden en oplossen van potentiële problemen en vereenvoudigen het beheerproces voor software-updates. Ze verminderen het aantal software-updates dat u in uw onderneming moet implementeren en vergroten uw vermogen om naleving te bewaken.
Beheer en rapportage van beveiligingsbeleid
Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren. Het biedt u meer inzicht in en controle over de beveiliging van uw Azure resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure abonnementen. Het helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een breed ecosysteem van beveiligingsoplossingen.
Toepassingsbeveiliging
Toepassingsbeveiliging is gericht op het beveiligen van uw toepassingen tegen bedreigingen gedurende hun levenscyclus, van ontwikkeling tot implementatie en runtime. Azure biedt uitgebreide hulpprogramma's voor het veilig ontwikkelen, testen en beveiligen van toepassingen. Zie Ontwikkeling van beveiligde toepassingen op Azure voor richtlijnen voor het ontwikkelen van beveiligde toepassingen. Zie PaaS-implementaties beveiligen voor specifieke beveiligingsprocedures. Zie Beveiligingsprocedures voor IaaS-workloads in Azure voor beveiliging van IaaS-implementaties.
Penetratietests
Microsoft voert geen penetratietests van uw toepassing uit, maar begrijpt dat u wilt en moet testen op uw eigen toepassingen. U hoeft Microsoft niet langer op de hoogte te stellen van pentestactiviteiten, maar u moet nog steeds voldoen aan de regels voor penetratietests van Microsoft Cloud.
Web Application Firewall
De Web Application Firewall (WAF) in Azure Application Gateway beschermt webtoepassingen tegen veelvoorkomende webaanvallen, zoals SQL-injectie, cross-site scripting en sessiekaaping. Het is vooraf geconfigureerd om bescherming te bieden tegen de tien belangrijkste kwetsbaarheden die worden geïdentificeerd door het Open Web Application Security Project (OWASP).
Verificatie en autorisatie in Azure App Service
App Service-verificatie/-autorisatie is een functie waarmee uw toepassing gebruikers kan aanmelden, zodat u geen code hoeft te wijzigen in de back-end van de app. Het biedt een eenvoudige manier om uw toepassing te beveiligen en te werken met gegevens per gebruiker.
Gelaagde beveiligingsarchitectuur
Aangezien App Service Environments een geïsoleerde runtime-omgeving bieden die is geïmplementeerd in een Azure Virtual Network, kunnen ontwikkelaars een gelaagde beveiligingsarchitectuur maken die verschillende netwerktoegangsniveaus biedt voor elke toepassingslaag. Het is gebruikelijk om API-back-ends te verbergen voor algemene internettoegang en alleen API's toe te staan die worden aangeroepen door upstream-web-apps. U kunt Network Security Groups (NSG's) gebruiken op Azure Virtual Network subnetten met App Service Environments om de openbare toegang tot API-toepassingen te beperken.
App Service-web-apps bieden robuuste diagnostische mogelijkheden voor het vastleggen van logboeken van zowel de webserver als de webtoepassing. Deze diagnostische gegevens zijn onderverdeeld in webserverdiagnose en toepassingsdiagnose. Webserverdiagnose omvat aanzienlijke vooruitgang voor het diagnosticeren en oplossen van problemen met sites en toepassingen.
De eerste nieuwe functie is realtime statusinformatie over toepassingsgroepen, werkprocessen, sites, toepassingsdomeinen en actieve aanvragen. De tweede nieuwe functie is de gedetailleerde traceringsgebeurtenissen waarmee een aanvraag wordt bijgehouden tijdens het volledige proces voor aanvragen en antwoorden.
Als u de verzameling van deze traceringsevenementen wilt inschakelen, kunt u IIS 7 configureren om automatisch uitgebreide traceringslogboeken in XML-indeling vast te leggen voor specifieke aanvragen. De verzameling kan gebaseerd zijn op verstreken tijd of foutreactiecodes.
Opslagbeveiliging
Opslagbeveiliging is essentieel voor het beveiligen van uw gegevens in rust en tijdens overdracht. Azure biedt meerdere lagen versleuteling, toegangsbeheer en bewakingsmogelijkheden om ervoor te zorgen dat uw gegevens veilig blijven. Zie Azure versleutelingsoverzicht voor gedetailleerde informatie over gegevensversleuteling. Zie Sleutelbeheer in Azure voor opties voor sleutelbeheer. Zie Azure best practices voor gegevensbeveiliging en -versleuteling voor versleutelingsrichtlijnen.
Azure op rollen gebaseerd toegangsbeheer (Azure RBAC)
U kunt uw opslagaccount beveiligen met behulp van Azure op rollen gebaseerd toegangsbeheer (Azure RBAC). Als u beveiligingsbeleid voor gegevenstoegang wilt afdwingen, beperkt u de toegang op basis van de noodzaak om beveiligingsprincipes met minimale bevoegdhedente kennen. Verdeel deze toegangsrechten door de juiste Azure rol toe te wijzen aan groepen en toepassingen binnen een bepaald bereik. Gebruik Azure ingebouwde rollen, zoals Inzender voor opslagaccounts, om bevoegdheden toe te wijzen aan gebruikers. U kunt de toegang tot de opslagsleutels voor een opslagaccount beheren met behulp van het model Azure Resource Manager via Azure RBAC.
Gedeelde Toegangssignatuur
Een SAS (Shared Access Signature; handtekening voor gedeelde toegang) biedt gedelegeerde toegang tot bronnen in uw opslagaccount. Met behulp van de SAS kunt u een client beperkte machtigingen verlenen aan objecten in uw opslagaccount voor een opgegeven periode en met een opgegeven set machtigingen. Verdeel deze beperkte machtigingen zonder dat u de toegangssleutels van uw account hoeft te delen.
Versleuteling tijdens het transport
Versleuteling tijdens overdracht is een mechanisme voor het beveiligen van gegevens wanneer deze via netwerken worden verzonden. Met Azure Storage kunt u gegevens beveiligen met behulp van:
Versleuteling op transportniveau, zoals HTTPS wanneer u gegevens overdraagt naar of uit Azure Storage.
Wire encryption, zoals SMB 3.0-versleuteling voor Azure-bestandsshares.
Versleuteling aan de clientzijde om de gegevens te versleutelen voordat ze worden overgebracht naar de opslag en om de gegevens te ontsleutelen nadat deze buiten de opslag zijn overgebracht.
Versleuteling van gegevens in rusttoestand
Voor veel organisaties is gegevensversleuteling in rust een verplichte stap in de richting van gegevensprivacy, naleving en gegevenssoevereine. Drie Azure-beveiligingsfuncties voor opslag bieden versleuteling van gegevens die in rust zijn:
Storage Service Encryption versleutelt automatisch gegevens bij het schrijven naar Azure Storage.
Versleuteling aan de clientzijde biedt ook de functie van versleuteling in rust.
Opslaganalyse
Azure Storage Analytics voert logboekregistratie uit en levert metrische gegevens voor een opslagaccount. U kunt deze gegevens gebruiken om aanvragen te traceren, gebruikstrends te analyseren en problemen met uw opslagaccount vast te stellen. Storage Analytics registreert gedetailleerde informatie over geslaagde en mislukte aanvragen voor een opslagservice. U kunt deze informatie gebruiken om afzonderlijke aanvragen te bewaken en problemen met een opslagservice vast te stellen. Aanvragen worden vastgelegd op basis van best effort. De volgende typen geverifieerde aanvragen worden geregistreerd:
- Geslaagde aanvragen.
- Mislukte aanvragen, waaronder time-out, beperking, netwerk, autorisatie en andere fouten.
- Aanvragen die gebruikmaken van een Shared Access Signature (SAS), inclusief mislukte en geslaagde aanvragen.
- Aanvragen voor analysegegevens.
Browserclients inschakelen met CORS
Cross-Origin Resource Sharing (CORS) is een mechanisme waarmee domeinen elkaar toestemming kunnen geven voor toegang tot elkaars resources. De gebruikersagent verzendt extra headers om ervoor te zorgen dat de JavaScript-code die vanuit een bepaald domein is geladen, toegang heeft tot resources die zich in een ander domein bevinden. Het laatstgenoemde domein beantwoordt vervolgens met extra headers die toegang tot zijn resources voor het oorspronkelijke domein toestaan of weigeren.
Azure opslagservices bieden nu ondersteuning voor CORS. Zodra u de CORS-regels voor de service hebt ingesteld, wordt een correct geverifieerde aanvraag voor de service van een ander domein geëvalueerd om te bepalen of deze is toegestaan volgens de regels die u opgeeft.
Netwerkbeveiliging
Netwerkbeveiliging bepaalt hoe verkeer van en naar uw Azure resources stroomt. Azure biedt een uitgebreide set netwerkbeveiligingsservices, van basisfirewalling tot geavanceerde bedreigingsbeveiliging en wereldwijde taakverdeling. Zie Azure netwerkbeveiligingsoverzicht voor uitgebreide informatie over netwerkbeveiliging. Raadpleeg Azure best practices voor netwerkbeveiliging voor richtlijnen op het gebied van netwerkbeveiliging.
Besturingselementen voor netwerklagen
Netwerktoegangsbeheer is het beperken van de connectiviteit van en naar specifieke apparaten of subnetten en vertegenwoordigt de kern van netwerkbeveiliging. Het doel van netwerktoegangsbeheer is ervoor te zorgen dat uw virtuele machines en services alleen toegankelijk zijn voor gebruikers en apparaten die u autoriseert.
Netwerkbeveiligingsgroepen
Een netwerkbeveiligingsgroep (NSG) is een eenvoudige stateful pakketfilterfirewall. Hiermee kunt u de toegang beheren door middel van een vijfvoudige combinatie. NSG's bieden geen inspectie van toepassingslagen of geverifieerde toegangsbeheer. U kunt deze gebruiken om verkeer tussen subnetten binnen een Azure Virtual Network en verkeer tussen een Azure Virtual Network en internet te beheren.
Azure Firewall
Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die beveiliging tegen bedreigingen biedt voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het biedt zowel oost-west- als noord-zuid verkeersinspectie.
Azure Firewall wordt aangeboden in drie SKU's: Basic, Standard en Premium:
- Azure Firewall Basic - Ontworpen voor kleine en middelgrote bedrijven, die essentiële bescherming bieden tegen een betaalbare prijs.
- Azure Firewall Standard - biedt L3-L7 filteren, feeds voor bedreigingsinformatie van Microsoft Cyber Security en kan worden geschaald naar 30 Gbps.
-
Azure Firewall Premium - Advanced Threat Protection voor zeer gevoelige en gereglementeerde omgevingen met:
- TLS-inspectie: ontsleutelt uitgaand verkeer, verwerkt het voor bedreigingen en versleutelt vervolgens opnieuw voordat het naar de bestemming wordt verzonden.
- IDPS (Inbraakdetectie en preventiesysteem): op handtekeningen gebaseerde IDPS met meer dan 67.000 handtekeningen in meer dan 50 categorieën, dagelijks bijgewerkt met 20-40+ nieuwe regels.
- URL-filtering: breidt FQDN-filtering uit om rekening te houden met het hele URL-pad.
- Geavanceerde webcategorieën: verbeterde categorisatie op basis van volledige URL's voor zowel HTTP- als HTTPS-verkeer.
- Verbeterde prestaties: Schaalt tot 100 Gbps met ondersteuning voor 10 Gbps "fat flow".
- PCI DSS-naleving: voldoet aan de vereisten voor data security standard voor de betaalkaartindustrie.
Azure Firewall Premium is essentieel voor de bescherming tegen ransomware, omdat het in staat is om Command and Control (C&C) connectiviteit te detecteren en te blokkeren die door ransomware wordt gebruikt om versleutelingssleutels op te halen. Meer informatie over ransomware-beveiliging met Azure Firewall.
DDoS-beveiliging Azure
Azure DDoS Protection, gecombineerd met best practices voor het ontwerpen van toepassingen, biedt verbeterde functies ter bescherming tegen DDoS-aanvallen. Het wordt automatisch afgestemd om uw specifieke Azure resources in een virtueel netwerk te beveiligen. Het inschakelen van beveiliging is eenvoudig op elk nieuw of bestaand virtueel netwerk en vereist geen wijzigingen in uw toepassingen of resources.
Azure DDoS Protection biedt twee lagen: DDoS-netwerkbeveiliging en DDoS IP-beveiliging.
DDoS-netwerkbeveiliging : biedt verbeterde functies voor bescherming tegen DDoS-aanvallen (Distributed Denial of Service). Het werkt op netwerklagen 3 en 4 en omvat geavanceerde functies zoals DDoS rapid response support, cost protection en kortingen op Web Application Firewall (WAF).
DDoS IP Protection - Volgt een betaalt-per-beveiligd-IP-model. Het bevat dezelfde kernengineeringsfuncties als DDoS-netwerkbeveiliging, maar biedt niet de aanvullende services zoals DDoS-ondersteuning voor snelle respons, kostenbeveiliging en WAF-kortingen.
Routebeheer en geforceerde tunneling
De mogelijkheid om routeringsgedrag op uw Azure Virtuele netwerken te beheren, is een essentiële mogelijkheid voor netwerkbeveiliging en toegangsbeheer. Als u er bijvoorbeeld voor wilt zorgen dat al het verkeer van en naar uw Azure Virtual Network via dat virtuele beveiligingsapparaat gaat, moet u het routeringsgedrag kunnen beheren en aanpassen. U kunt deze controle en aanpassing uitvoeren door User-Defined Routes in Azure te configureren.
User-Defined Routes kunt u binnenkomende en uitgaande paden aanpassen voor verkeer dat wordt verplaatst naar en van afzonderlijke virtuele machines of subnetten om de veiligste route mogelijk te maken. Geforceerde tunneling is een mechanisme dat u kunt gebruiken om ervoor te zorgen dat uw services geen verbinding met apparaten op internet mogen initiëren.
Deze beperking verschilt van het accepteren van binnenkomende verbindingen en het beantwoorden ervan. Front-endwebservers moeten reageren op aanvragen van internethosts. Via het internet afkomstig verkeer is toegestaan om binnen te komen bij deze webservers, en de webservers kunnen reageren.
Gebruik meestal geforceerde tunneling om uitgaand verkeer naar het internet via on-premises beveiligingsproxy's en firewalls te geleiden.
Virtuele netwerkbeveiligingsapparaten
Hoewel netwerkbeveiligingsgroepen, User-Defined routes en geforceerde tunneling u een beveiligingsniveau bieden op de netwerk- en transportlagen van het OSI-model, kan het voorkomen dat u beveiliging op hogere niveaus van de stack wilt inschakelen. U hebt toegang tot deze verbeterde netwerkbeveiligingsfuncties met behulp van een Azure partneroplossing voor netwerkbeveiligingsapparaten. U vindt de meest recente Azure netwerkbeveiligingsoplossingen van partners door naar de Azure Marketplace te gaan en te zoeken naar security en network security.
Azure Virtual Network
Een Azure virtueel netwerk (VNet) is een weergave van uw eigen netwerk in de cloud. Het is een logische isolatie van de Azure netwerkinfrastructuur die is toegewezen aan uw abonnement. U kunt de IP-adresblokken, DNS-instellingen, beveiligingsbeleidsregels en routetabellen binnen dit netwerk volledig beheren. U kunt uw VNet segmenteren in subnetten en Azure virtuele IaaS-machines (VM's) op Azure virtuele netwerken plaatsen.
Daarnaast kunt u het virtuele netwerk verbinden met uw on-premises netwerk met behulp van een van de connectiviteitsopties beschikbaar in Azure. In wezen kunt u uw netwerk uitbreiden naar Azure, met volledige controle over IP-adresblokken met het voordeel van enterprise scale Azure biedt.
Azure netwerken ondersteunen verschillende scenario's voor veilige externe toegang. Enkele van deze scenario's zijn:
Afzonderlijke werkstations verbinden met een Azure Virtual Network
Verbind het on-premises netwerk met een Azure Virtual Network met een VPN
Verbind het lokale netwerk met een Azure Virtual Network met een speciale WAN-verbinding
Azure Virtual Network Manager
Azure Virtual Network Manager biedt een gecentraliseerde oplossing voor het beheren en beveiligen van uw virtuele netwerken op schaal. Er worden beveiligingsbeheerdersregels gebruikt om beveiligingsbeleid centraal te definiëren en af te dwingen binnen uw hele organisatie. Beveiligingsbeheerdersregels hebben voorrang op NSG-regels (network security group) en worden toegepast op het virtuele netwerk. Met deze prioriteit kunnen organisaties kernbeleid afdwingen met beveiligingsbeheerdersregels, terwijl downstreamteams nog steeds NSG's kunnen aanpassen aan hun specifieke behoeften op het subnet- en NIC-niveau.
Afhankelijk van de behoeften van uw organisatie, gebruikt u regelacties toestaan, weigeren of Altijd toestaan om beveiligingsbeleid af te dwingen:
| Regelactie | Description |
|---|---|
| Toestaan | Hiermee staat u standaard het opgegeven verkeer toe. Downstream-NSG's ontvangen dit verkeer nog steeds en kunnen dit weigeren. |
| Altijd toestaan | Sta altijd het opgegeven verkeer toe, ongeacht andere regels met een lagere prioriteit of NSG's. Gebruik deze regel om ervoor te zorgen dat bewakingsagent, domeincontroller of beheerverkeer niet wordt geblokkeerd. |
| Weigeren | Het opgegeven verkeer blokkeren. Downstream-NSG's evalueren dit verkeer niet nadat ze zijn geweigerd door een beveiligingsbeheerderregel, zodat uw poorten met een hoog risico voor bestaande en nieuwe virtuele netwerken standaard worden beveiligd. |
In Azure Virtual Network Manager kunt u met networkgroepen virtuele netwerken groeperen voor gecentraliseerd beheer en afdwingen van beveiligingsbeleid. Netwerkgroepen zijn een logische groepering van virtuele netwerken op basis van uw behoeften vanuit een topologie en beveiligingsperspectief. U kunt het lidmaatschap van het virtuele netwerk van uw netwerkgroepen handmatig bijwerken of u kunt voorwaardelijke instructies definiëren met Azure Policy om netwerkgroepen dynamisch bij te werken en het lidmaatschap van uw netwerkgroep automatisch bij te werken.
Azure Private Link
Azure Private Link kunt u toegang krijgen tot Azure PaaS-services (bijvoorbeeld Azure Storage en SQL Database) en Azure gehoste services van klanten/partners privé in uw virtuele netwerk via een private-eindpunt. Het instellen en verbruik met behulp van Azure Private Link is consistent in Azure PaaS-, klant- en gedeelde partnerservices. Verkeer van uw virtuele netwerk naar de Azure-service blijft altijd op het Microsoft Azure backbone-netwerk.
Met behulp van private-eindpunten kunt u uw kritieke Azure serviceresources alleen beveiligen voor uw virtuele netwerken. Azure Privé-eindpunt maakt gebruik van een privé-IP-adres van uw virtuele netwerk om u privé en veilig te verbinden met een service die wordt mogelijk gemaakt door Azure Private Link, waardoor de service effectief in uw virtuele netwerk wordt gebracht. Het beschikbaar maken van uw virtuele netwerk op het openbare internet is niet meer nodig om services op Azure te gebruiken.
U kunt ook uw eigen Private Link-service maken in uw virtuele netwerk. Azure Private Link service is de verwijzing naar uw eigen service die wordt mogelijk gemaakt door Azure Private Link. Uw service die draait achter Azure Standard Load Balancer kan worden ingeschakeld voor toegang via Private Link, zodat consumenten uw service privé kunnen benaderen vanuit hun eigen virtuele netwerken. Uw klanten kunnen een privé-eindpunt maken in hun virtuele netwerk en deze toewijzen aan deze service. Het beschikbaar maken van uw service aan het openbare internet is niet meer nodig om services weer te geven op Azure.
VPN-poort
Als u netwerkverkeer tussen uw Azure Virtual Network en uw on-premises site wilt verzenden, moet u een VPN-gateway maken voor uw Azure Virtual Network. Een VPN-gateway is een type virtuele netwerkgateway waarmee versleuteld verkeer via een openbare verbinding wordt verzonden. U kunt vpn-gateways ook gebruiken om verkeer tussen Azure virtuele netwerken via de Azure netwerkinfrastructuur te verzenden.
ExpressRoute
Microsoft Azure ExpressRoute is een toegewezen WAN-koppeling waarmee u uw on-premises netwerken kunt uitbreiden naar de Microsoft-cloud via een toegewezen privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider.
Met ExpressRoute kunt u verbindingen tot stand brengen met Microsoft-cloudservices, zoals Microsoft Azure en Microsoft 365. Via een connectiviteitsprovider in een colocatiefaciliteit is connectiviteit mogelijk vanuit een any-to-any (IP VPN) netwerk, een point-to-point Ethernet-netwerk of een virtuele overlappende verbinding.
ExpressRoute-verbindingen gaan niet via het openbare internet en zijn veiliger dan op VPN gebaseerde oplossingen. Met dit ontwerp kunnen ExpressRoute-verbindingen meer betrouwbaarheid, snellere snelheden, lagere latenties en hogere beveiliging bieden dan gewone verbindingen via internet.
Applicatie-gateway
Microsoft Azure Application Gateway biedt een Application Delivery Controller (ADC) as a service, met verschillende taakverdelingsmogelijkheden voor laag 7 voor uw toepassing.
Hiermee kunt u de productiviteit van webfarms optimaliseren door CPU-intensieve TLS-beëindiging te offloaden naar application gateway (ook wel TLS-offload of TLS-bridging genoemd). Het biedt ook andere routeringsmogelijkheden van Laag 7, waaronder round robin-distributie van binnenkomend verkeer, sessieaffiniteit op basis van cookies, routering op basis van URL-pad en de mogelijkheid om meerdere websites achter één Application Gateway te hosten. Azure Application Gateway is een load balancer van laag 7.
De gateway biedt failover en prestatiegericht routeren van HTTP-aanvragen tussen verschillende servers, of ze nu on-premises of in de cloud zijn.
De toepassing biedt veel ADC-functies (Application Delivery Controller), waaronder HTTP-taakverdeling, sessieaffiniteit op basis van cookies, TLS-offload, aangepaste statustests, ondersteuning voor meerdere sites en vele andere.
Web Application Firewall
Web Application Firewall is een functie van Azure Application Gateway die webtoepassingen beveiligt die gebruikmaken van application gateway voor ADC-functies (Standard Application Delivery Control). Web Application Firewall beschermt deze tegen de meeste van de OWASP top 10 veelvoorkomende webproblemen.
Beveiliging tegen SQL-injecties
Bescherming tegen veelvoorkomende webaanvallen, zoals opdrachtinjectie, HTTP-aanvraagsmokkel, HTTP-antwoord splitsen en externe bestandsopname
Beveiliging tegen schendingen van het HTTP-protocol
Beveiliging tegen afwijkingen in HET HTTP-protocol, zoals ontbrekende host, gebruikersagent en accepteren van headers
Beveiliging tegen bots, crawlers en scanners
Detectie van veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache, IIS)
Een gecentraliseerde WAF (Web Application Firewall) vereenvoudigt het beveiligingsbeheer en verbetert de beveiliging tegen webaanvallen. Het biedt betere zekerheid tegen inbraakbedreigingen en kan sneller reageren op beveiligingsrisico's door bekende beveiligingsproblemen centraal te patchen in plaats van elke afzonderlijke webtoepassing te beveiligen. U kunt eenvoudig bestaande toepassingsgateways upgraden om een webtoepassingsfirewall op te nemen.
Azure Front Door
Azure Front Door is een wereldwijd, schaalbaar toegangspunt dat gebruikmaakt van het wereldwijde edge-netwerk van Microsoft om snelle, veilige en breed schaalbare webtoepassingen te maken. Front Door biedt:
- Globale taakverdeling: Verkeer verdelen over meerdere back-ends in verschillende regio's
- Integrated Web Application Firewall: Bescherming tegen veelvoorkomende webproblemen en aanvallen
- DDoS-beveiliging: ingebouwde beveiliging tegen gedistribueerde denial-of-service-aanvallen
- SSL/TLS-offload: gecentraliseerd certificaatbeheer en verkeersversleuteling
- Routering op basis van URL: verkeer routeren naar verschillende back-ends op basis van URL-patronen
Front Door combineert levering van inhoud, toepassingsversnelling en beveiliging in één service.
Verkeersmanager
Microsoft Azure Traffic Manager kunt u de distributie van gebruikersverkeer voor service-eindpunten in verschillende datacenters beheren. Service-eindpunten die Door Traffic Manager worden ondersteund, zijn onder andere Azure VM's, Web Apps en cloudservices. U kunt Traffic Manager ook gebruiken met externe, niet-Azure eindpunten.
Traffic Manager gebruikt het Domain Name System (DNS) om clientaanvragen naar het meest geschikte eindpunt te leiden op basis van een verkeersrouteringsmethode en de status van de eindpunten. Traffic Manager biedt een reeks verkeersrouteringsmethoden die aansluiten bij verschillende toepassingsbehoeften, eindpuntstatusbewaking en automatische failover. Traffic Manager is bestand tegen fouten, inclusief de fout van een hele Azure regio.
Azure Load Balancer
Azure Load Balancer levert hoge beschikbaarheid en netwerkprestaties aan uw toepassingen. Het is een Layer 4-load balancer (TCP, UDP) die binnenkomend verkeer distribueert tussen gezonde exemplaren van services die zijn gedefinieerd in een set met gelijke taakverdeling. U kunt Azure Load Balancer configureren voor:
Taakverdeling voor inkomend internetverkeer naar virtuele machines. Deze configuratie wordt openbare taakverdeling genoemd.
Taakverdeling voor verkeer tussen virtuele machines in een virtueel netwerk, tussen virtuele machines in cloudservices of tussen on-premises computers en virtuele machines in een cross-premises virtueel netwerk. Deze configuratie wordt interne taakverdeling genoemd.
Extern verkeer doorsturen naar een specifieke virtuele machine
Interne DNS
U kunt de lijst met DNS-servers beheren die worden gebruikt in een VNet in de Azure-portal of in het netwerkconfiguratiebestand. U kunt maximaal 12 DNS-servers toevoegen voor elk VNet. Wanneer u DNS-servers opgeeft, controleert u of u uw DNS-servers in de juiste volgorde voor uw omgeving opgeeft. Lijsten met DNS-servers werken niet volgens een round-robin-principe. Ze worden gebruikt in de volgorde die u opgeeft. Als de eerste DNS-server in de lijst bereikbaar is, gebruikt de client die DNS-server, ongeacht of de DNS-server goed functioneert of niet. Als u de DNS-servervolgorde voor uw virtuele netwerk wilt wijzigen, verwijdert u de DNS-servers uit de lijst en voegt u deze weer toe in de gewenste volgorde. DNS ondersteunt het beschikbaarheidsaspect van de beveiligings triad 'CIA'.
Azure DNS
Het Domain Name System of DNS is verantwoordelijk voor het vertalen (of omzetten) van een website of servicenaam naar het IP-adres. Azure DNS is een hostingservice voor DNS-domeinen en biedt naamomzetting met behulp van Microsoft Azure infrastructuur. Door uw domeinen in Azure te hosten, kunt u uw DNS-records beheren met dezelfde referenties, API's, hulpprogramma's en facturering als uw andere Azure-services. DNS ondersteunt het beschikbaarheidsaspect van de beveiligingstrias 'CIA'.
Azure Monitor registreert NSG's
U kunt de volgende categorieën voor diagnostisch logboeken inschakelen voor NSG's:
Gebeurtenis: Bevat vermeldingen waarvoor NSG-regels worden toegepast op VM's en exemplaarrollen op basis van MAC-adres. De status voor deze regels wordt elke 60 seconden verzameld.
Regelteller: bevat vermeldingen voor hoe vaak elke NSG-regel wordt toegepast om verkeer te weigeren of toe te staan.
Microsoft Defender for Cloud
Microsoft Defender for Cloud analyseert continu de beveiligingsstatus van uw Azure resources voor aanbevolen procedures voor netwerkbeveiliging. Wanneer Defender for Cloud potentiële beveiligingsproblemen identificeert, worden er aanbevelingen gemaakt die u begeleiden bij het configureren van de benodigde besturingselementen om uw resources te versterken en te beveiligen.
Advanced Container Networking Services (ACNS)
Advanced Container Networking Services (ACNS) is een uitgebreide suite die is ontworpen om de operationele efficiëntie van uw Azure Kubernetes Service (AKS)-clusters te verhogen. Het biedt geavanceerde beveiligings- en waarneembaarheidsfuncties, waarbij de complexiteit van het beheren van microservices-infrastructuur op schaal wordt aangepakt.
Deze functies zijn onderverdeeld in twee hoofdpijlers:
Security: Voor clusters die gebruikmaken van Azure CNI Powered by Cilium, bevatten netwerkbeleid een FQDN-filtering (Fully Qualified Domain Name) voor het oplossen van de complexiteit van het onderhouden van de configuratie.
Waarneembaarheid: met deze functie van de Advanced Container Networking Services-suite beschikt u over de kracht van het besturingsvlak van Hubble voor zowel Cilium- als niet-Cilium Linux-gegevensvlakken, waardoor u beter inzicht hebt in netwerken en prestaties.
Beveiligingsbewerkingen en -beheer
Het beheren en bewaken van de beveiliging van uw Azure-omgeving is essentieel voor het handhaven van een sterke beveiligingspostuur. Azure biedt uitgebreide hulpprogramma's voor beveiligingsbewerkingen, detectie van bedreigingen en reactie op incidenten. Zie Azure overzicht van beveiligingsbeheer en bewaking voor gedetailleerde dekking van beveiligingsbeheer en bewaking. Zie Azure best practices voor operationele beveiliging voor aanbevolen procedures voor operationele beveiliging. Zie Azure operationeel beveiligingsoverzicht voor een uitgebreid overzicht van operationele beveiliging.
Microsoft Sentinel
Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information and Event Management) en SOAR-oplossing (Security Orchestration, Automation and Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming, waarbij één oplossing wordt geboden voor aanvalsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.
Microsoft Sentinel is nu beschikbaar in de Microsoft Defender-portal voor alle klanten, met een uniforme ervaring voor beveiligingsbewerkingen waarmee werkstromen worden gestroomlijnd en de zichtbaarheid wordt verbeterd. Dankzij de integratie met Security Copilot kunnen analisten communiceren met Microsoft Sentinel gegevens met behulp van natuurlijke taal, opsporingsquery's genereren en onderzoeken automatiseren voor snellere reactie op bedreigingen.
Microsoft Defender for Cloud
Microsoft Defender for Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren door u meer inzicht te geven in en controle te krijgen over de beveiliging van uw Azure resources. Microsoft Defender for Cloud biedt geïntegreerd beveiligingsbewaking en beleidsbeheer voor uw Azure-abonnementen, helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een breed ecosysteem van beveiligingsoplossingen.
Microsoft Defender for Cloud biedt uitgebreide beveiliging met workloadspecifieke plannen, waaronder:
- Defender voor servers - Advanced Threat Protection voor Windows- en Linux-servers
- Defender for Containers - Beveiliging voor toepassingen in containers en Kubernetes
- Defender for Storage - Detectie van bedreigingen met malwarescans en detectie van gevoelige gegevens
- Defender for Databases - Beveiliging voor Azure SQL, Azure Database for MySQL en PostgreSQL
- Defender for Foundry Tools - Runtime-beveiliging voor Foundry Tools tegen jailbreakpogingen, gegevensblootstelling en verdachte toegangspatronen
- Defender CSPM - Beheer van cloudbeveiligingspostuur met analyse van aanvalspaden, beveiligingsbeheer en AI-beveiligingspostuurbeheer
Bovendien helpt Defender voor Cloud met beveiligingsbewerkingen door u één dashboard te bieden waarmee waarschuwingen en aanbevelingen worden weergegeven waarop u onmiddellijk kunt reageren. Integratie van beveiliging Copilot biedt door AI gegenereerde samenvattingen, herstelscripts en delegatiemogelijkheden om risicoherstel te versnellen.
Zie Azure threat protection voor uitgebreide mogelijkheden voor bedreigingsdetectie in Azure.
VM-schijfversleuteling
Standaard helpt versleuteling op de host u bij het versleutelen van uw schijven van virtuele IaaS-machines. Het biedt versleuteling aan de serverzijde op vm-hostniveau met behulp van AES 256-versleuteling, die compatibel is met FIPS 140-2. Deze versleuteling vindt plaats zonder CPU-resources van de VM te verbruiken en biedt end-to-end-versleuteling voor tijdelijke schijven, caches van besturingssysteem-/gegevensschijven en gegevensstromen naar Azure Storage. Standaard worden door het platform beheerde sleutels gebruikt zonder dat er aanvullende configuratie is vereist. U kunt de oplossing desgewenst configureren met door de klant beheerde sleutels die zijn opgeslagen in Azure Key Vault of Azure Key Vault Beheerde HSM wanneer u uw eigen schijfversleutelingssleutels moet beheren en beheren. De oplossing zorgt ervoor dat alle gegevens op de schijven van de virtuele machine in rust worden versleuteld in uw Azure-opslag. Zie Key-beheer in Azure voor meer informatie over opties voor sleutelbeheer.
Azure Resource Manager
Azure Resource Manager kunt u als groep met de resources in uw oplossing werken. U kunt alle resources voor uw oplossing implementeren, bijwerken of verwijderen in een enkele, gecoördineerde bewerking. U gebruikt een Azure Resource Manager-sjabloon voor implementatie en die sjabloon kan werken voor verschillende omgevingen, zoals testen, faseren en productie. Resource Manager biedt functies voor beveiliging, controle en taggen om u te helpen bij het beheren van uw resources na de implementatie.
Azure Resource Manager implementaties op basis van sjablonen helpen de beveiliging van oplossingen die zijn geïmplementeerd in Azure te verbeteren, omdat standaardinstellingen voor beveiligingsbeheer kunnen worden geïntegreerd in gestandaardiseerde implementaties op basis van sjablonen. Sjablonen verminderen het risico op beveiligingsconfiguratiefouten die kunnen plaatsvinden tijdens handmatige implementaties.
Application Insights
Application Insights is een flexibele APM-service (Application Performance Management) die is ontworpen voor webontwikkelaars. Hiermee kunt u uw live webtoepassingen bewaken en prestatieproblemen automatisch detecteren. Met behulp van krachtige analysehulpprogramma's kunt u problemen diagnosticeren en inzicht krijgen in gebruikersinteracties met uw apps. Application Insights bewaakt uw toepassing continu, van ontwikkeling tot testen en productie.
Application Insights genereert inzichtelijke grafieken en tabellen die piekmomenten van gebruikersactiviteiten, reactiesnelheid van apps en de prestaties van externe services die hierop afhankelijk zijn, zichtbaar maken.
Als er crashes, fouten of prestatieproblemen zijn, kunt u de gegevens in detail doorzoeken om de oorzaak te diagnosticeren. De service stuurt u e-mailberichten als er wijzigingen zijn in de beschikbaarheid en prestaties van uw app. Application Insight wordt dus een waardevol beveiligingshulpprogramma omdat het helpt bij de beschikbaarheid in de vertrouwelijkheid, integriteit en beschikbaarheidsbeveiliging.
Azure Monitor
Azure Monitor biedt visualisaties, query's, routering, waarschuwingen, automatisch schalen en automatisering voor gegevens uit zowel het Azure-abonnement (Activity Log) als elke afzonderlijke Azure resource (ResourceLogboeken). U kunt Azure Monitor gebruiken om u te waarschuwen over beveiligingsgebeurtenissen die worden gegenereerd in Azure logboeken.
Azure Monitor-logboeken
Azure Monitor logboeken biedt een IT-beheeroplossing voor zowel on-premises als cloudinfrastructuur van derden (zoals Amazon Web Services) naast Azure resources. Gegevens van Azure Monitor kunnen rechtstreeks naar Azure Monitor logboeken worden gerouteerd, zodat u op één plaats metrische gegevens en logboeken voor uw hele omgeving kunt zien.
Azure Monitor logboeken kunnen een nuttig hulpmiddel zijn in forensische en andere beveiligingsanalyses, omdat u met het hulpprogramma snel kunt zoeken naar grote hoeveelheden beveiligingsgerelateerde vermeldingen met een flexibele querybenadering. Bovendien kunnen on-premises firewall- en proxylogboeken worden geëxporteerd naar Azure en beschikbaar worden gesteld voor analyse met behulp van Azure Monitor logs.
Azure Advisor
Azure Advisor is een gepersonaliseerde cloudconsultant waarmee u uw Azure implementaties kunt optimaliseren. Hiermee worden uw resourceconfiguratie- en gebruiksgegevens geanalyseerd. Vervolgens worden oplossingen aanbevolen om de performance te verbeteren, security en betrouwbaarheid van uw resources terwijl u op zoek bent naar mogelijkheden om uw totale Azure uitgaven te verlagen. Azure Advisor biedt beveiligingsaanbeveling, waardoor uw algehele beveiligingspostuur aanzienlijk kan worden verbeterd voor oplossingen die u in Azure implementeert. Deze aanbevelingen worden gedaan op basis van een beveiligingsanalyse die wordt uitgevoerd door Microsoft Defender for Cloud.
Identiteits- en toegangsbeheer
Identiteit is de primaire beveiligingsperimeter in cloudcomputing. Het beveiligen van identiteiten en het beheren van de toegang tot resources is essentieel voor het beveiligen van uw Azure omgeving. Microsoft Entra ID biedt uitgebreide mogelijkheden voor identiteits- en toegangsbeheer. Zie Azure overzicht van identiteitsbeheer voor gedetailleerde informatie. Zie Azure best practices voor identiteitsbeheer en toegangsbeheer voor aanbevolen procedures voor identiteitsbeheer. Zie vijf stappen voor het beveiligen van uw identiteitsinfrastructuur voor hulp bij het beveiligen van uw identiteitsinfrastructuur.
Microsoft Entra ID
Microsoft Entra ID is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Het biedt:
- Eenmalige Sign-On (SSO): gebruikers toegang geven tot meerdere toepassingen met één set referenties
- Multi-Factor Authentication (MFA): vereist meerdere verificatievormen voor het aanmelden
- Voorwaardelijke toegang: toegang tot resources beheren op basis van gebruikers, apparaten, locaties en risico's
- Identiteitsbeveiliging: risico's op basis van identiteit detecteren en erop reageren
- Privileged Identity Management (PIM): Net op tijd geautoriseerde toegang bieden tot Azure-bronnen
- Identiteitsbeheer: identiteitslevenscyclus en toegangsrechten beheren
Op rollen gebaseerd toegangsbeheer (RBAC)
Azure op rollen gebaseerd toegangsbeheer (RBAC) helpt u bij het beheren van wie toegang heeft tot Azure resources, wat ze met deze resources kunnen doen en tot welke gebieden ze toegang hebben. RBAC biedt gedetailleerd toegangsbeheer voor Azure resources, zodat u gebruikers alleen de rechten kunt verlenen die ze nodig hebben om hun taken uit te voeren.
Microsoft Entra Privileged Identity Management
Microsoft Entra Privileged Identity Management (PIM) stelt u in staat de toegang tot belangrijke resources in uw organisatie te beheren, controleren en bewaken. PIM biedt op tijd gebaseerde en op goedkeuring gebaseerde rolactivering om de risico's van overmatige, onnodige of misbruikte toegangsmachtigingen te beperken.
Beheerde identiteiten voor Azure resources
Beheerde identiteiten voor Azure-resources verschaffen Azure-services een automatisch beheerde identiteit in Microsoft Entra ID. Gebruik deze identiteit om te authenticeren bij elke service die ondersteuning biedt voor Microsoft Entra-authenticatie, zonder dat u referenties in uw code hoeft te hebben.
Patchupdates bieden de basis voor het vinden en oplossen van potentiële problemen en vereenvoudigen het beheerproces voor software-updates. Ze verminderen het aantal software-updates dat u in uw onderneming moet implementeren en vergroten uw vermogen om naleving te bewaken.
Beheer en rapportage van beveiligingsbeleid
Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren. Het biedt u meer inzicht in en controle over de beveiliging van uw Azure resources. Het biedt geïntegreerde beveiligingsbewaking en beleidsbeheer voor uw Azure abonnementen. Het helpt bedreigingen te detecteren die anders onopgemerkt kunnen worden en werkt met een breed ecosysteem van beveiligingsoplossingen.
Beveiligde identiteit
Microsoft maakt gebruik van meerdere beveiligingsprocedures en -technologieën in de producten en services om identiteit en toegang te beheren.
Voor meervoudige verificatie moeten gebruikers meerdere methoden gebruiken voor toegang, on-premises en in de cloud. Het biedt sterke verificatie met een scala aan eenvoudige verificatieopties, terwijl gebruikers worden voorzien van een eenvoudig aanmeldingsproces.
Microsoft Authenticator biedt een gebruiksvriendelijke meervoudige verificatie-ervaring die werkt met zowel Microsoft Entra ID als Microsoft-accounts. Het bevat ondersteuning voor draagbare apparaten en goedkeuringen op basis van vingerafdrukken.
Het afdwingen van wachtwoordbeleid verhoogt de beveiliging van traditionele wachtwoorden door lengte- en complexiteitsvereisten, geforceerde periodieke rotatie en accountvergrendeling op te leggen na mislukte verificatiepogingen.
Tokengebaseerde verificatie maakt verificatie via Microsoft Entra ID mogelijk.
Azure op rollen gebaseerd toegangsbeheer (Azure RBAC) kunt u toegang verlenen op basis van de toegewezen rol van de gebruiker. Het is eenvoudig om gebruikers alleen de hoeveelheid toegang te geven die ze nodig hebben om hun taken uit te voeren. U kunt Azure RBAC aanpassen volgens het bedrijfsmodel en de risicotolerantie van uw organisatie.
Met geïntegreerd identiteitsbeheer (hybride identiteit) kunt u de toegang van gebruikers in interne datacenters en cloudplatforms beheren. Er wordt één gebruikersidentiteit gemaakt voor verificatie en autorisatie voor alle resources.
Apps en gegevens beveiligen
Microsoft Entra ID, een uitgebreide cloudoplossing voor identiteits- en toegangsbeheer, helpt de toegang tot gegevens in toepassingen op locatie en in de cloud te beveiligen en vereenvoudigt het beheer van gebruikers en groepen. Het combineert kerndirectoryservices, geavanceerde identiteitsbeheer, beveiliging en toegangsbeheer voor toepassingen en maakt het voor ontwikkelaars eenvoudig om identiteitsbeheer op basis van beleid in hun apps te bouwen. Als u uw Microsoft Entra ID wilt verbeteren, kunt u betaalde mogelijkheden toevoegen met behulp van de Microsoft Entra Basic-, Premium P1- en Premium P2-edities.
Cloud-appdetectie is een premium-functie van Microsoft Entra ID waarmee u cloudtoepassingen kunt identificeren die werknemers in uw organisatie gebruiken.
Microsoft Entra ID Protection is een beveiligingsservice die gebruikmaakt van Microsoft Entra mogelijkheden voor anomaliedetectie om een geconsolideerde weergave te bieden van risicodetecties en mogelijke beveiligingsproblemen die van invloed kunnen zijn op de identiteiten van uw organisatie.
Microsoft Entra Domain Services kunt u Azure VM's toevoegen aan een domein zonder dat u domeincontrollers hoeft te implementeren. Gebruikers melden zich aan bij deze VM's met hun zakelijke Active Directory referenties en hebben naadloos toegang tot resources.
Microsoft Entra B2C is een maximaal beschikbare, globale identiteitsbeheerservice voor consumentengerichte apps die kunnen worden geschaald tot honderden miljoenen identiteiten en kunnen worden geïntegreerd in mobiele en webplatforms. Uw klanten kunnen zich aanmelden bij al uw apps via aanpasbare ervaringen die gebruikmaken van bestaande sociale media-accounts of u kunt nieuwe zelfstandige referenties maken.
Microsoft Entra B2B Collaboration is een veilige partnerintegratieoplossing die uw relaties tussen bedrijven ondersteunt door partners in staat te stellen toegang te krijgen tot uw bedrijfstoepassingen en -gegevens selectief met behulp van hun zelfbeheerde identiteiten.
Microsoft Entra gekoppeld stelt u in staat de cloudmogelijkheden naar Windows 10-apparaten uit te breiden voor gecentraliseerd beheer. Het maakt het mogelijk dat gebruikers via Microsoft Entra ID verbinding maken met de bedrijfs- of organisatiecloud en de toegang tot apps en resources vereenvoudigt.
Microsoft Entra toepassingsproxy biedt Single Sign-On (SSO) en beveiligde externe toegang voor webtoepassingen die op locatie worden gehost.
Volgende stappen
Inzicht in uw gedeelde verantwoordelijkheid in de cloud.
Meer informatie over hoe Microsoft Defender for Cloud u kan helpen bedreigingen te voorkomen, te detecteren en erop te reageren door meer zichtbaarheid en controle te bieden over de beveiliging van uw Azure resources.
Verken Azure beveiligingsbest practices en patronen op het gebied van beveiliging voor aanvullende beveiligingsaanbevelingen.
Bekijk de Microsoft-cloudbeveiligingsbenchmark voor uitgebreide beveiligingsrichtlijnen.
Zie End-to-end-beveiliging in Azure voor een beveiligings-, detectie- en responsweergave van Azure beveiligingsarchitectuur.