Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure biedt uitgebreide beveiligingsservices en -technologieën in alle lagen van uw cloudimplementaties. In dit artikel worden de belangrijkste beveiligingsmogelijkheden geïntroduceerd die zijn georganiseerd op domein, met koppelingen naar gedetailleerde overzichtsartikelen voor meer informatie.
Raadpleeg de domeinspecifieke overzichtsartikelen die in dit document zijn gekoppeld voor specifieke beveiligingsprocedures en gedetailleerde implementatierichtlijnen.
Identiteits- en toegangsbeheer
| Dienst | Beschrijving |
|---|---|
| Microsoft Entra-id | Cloudgebaseerde identiteits- en toegangsbeheerservice die ondersteuning biedt voor eenmalige aanmelding (SSO), meervoudige verificatie (MFA), voorwaardelijke toegang en verificatie zonder wachtwoord. |
| Toegangsbeheer op basis van rollen in Azure (RBAC) | Fijnmazig toegangsbeheer met ingebouwde en aangepaste rollen, toe te wijzen aan beheergroep, abonnement, resourcegroep of resourcebereik. |
| Microsoft Entra Privileged Identity Management | Just-In-Time bevoegde toegang tot Azure- en Microsoft Entra-rollen met goedkeuringswerkstromen, toegangsbeoordelingen en controlegeschiedenis. |
| Microsoft Entra-toegangsbeoordelingen | Geplande beoordelingen van groepslidmaatschappen, toegang tot toepassingen en roltoewijzingen met geautomatiseerde aanbevelingen en herstel. |
| Microsoft Entra-toepassingsproxy | Beveilig externe toegang tot on-premises webtoepassingen zonder VPN, met behulp van Microsoft Entra-verificatie en voorwaardelijke toegang. |
| Microsoft Entra Connect / Cloud Sync | Hybride identiteitssynchronisatie tussen on-premises Active Directory en Microsoft Entra ID voor geïntegreerd identiteitsbeheer. |
Zie het overzicht van Azure Identity Management-beveiliging voor gedetailleerde mogelijkheden en aanbevolen procedures voor identiteitsbeveiliging.
Netwerkbeveiliging
| Dienst | Beschrijving |
|---|---|
| Azure Virtual Network | Geïsoleerd privénetwerk met subnetten, routetabellen en DNS-instellingen. Basis voor alle Azure-netwerkbeveiliging. |
| Netwerkbeveiligingsgroepen (NSG's) | Stateful pakketfiltering met 5 tuple-regels, servicetags en toepassingsbeveiligingsgroepen voor gedetailleerd toegangsbeheer. |
| Azure Firewall | Cloudeigen stateful firewall met ingebouwde hoge beschikbaarheid. Standard SKU biedt L3-L7 filteren; Premium SKU voegt IDPS- en TLS-inspectie toe. |
| Web Application Firewall (WAF) | Gecentraliseerde beveiliging tegen OWASP Top 10-beveiligingsproblemen, SQL-injectie, cross-site scripting en botaanvallen. |
| Azure DDoS-beveiliging | Altijd-actieve verkeersbewaking met adaptieve afstemming, real-time mitigatie en aanvalsanalyse voor volumetrische en protocolaanvallen. |
| Azure Private Link | Privéconnectiviteit met Azure PaaS-services via een privé-eindpunt in uw virtuele netwerk, waardoor openbare internetblootstelling wordt geëlimineerd. |
| Service-eindpunten voor virtueel netwerk | Directe connectiviteit met Azure-services via het Backbone-netwerk van Azure, waardoor alleen de toegang tot uw virtuele netwerken wordt beperkt. |
| Azure VPN Gateway | Versleutelde cross-premises connectiviteit met behulp van IPsec/IKE VPN-tunnels voor site-naar-site- en punt-naar-site-verbindingen. |
| Azure ExpressRoute | Toegewezen privé-WAN-verbinding met Microsoft-cloudservices, waarbij het openbare internet wordt overgeslagen voor verbeterde beveiliging en betrouwbaarheid. |
| Azure Application Gateway | Laag 7 load balancer met TLS-beëindiging, sessieaffiniteit op basis van cookies, op URL's gebaseerde routering en geïntegreerde WAF. |
| Azure Front Door | Wereldwijde HTTP-load balancer met edge-versnelling, geïntegreerde WAF, DDoS-bescherming op platformniveau en back-end-origines van Private Link. |
| Azure Network Watcher - | Netwerkbewaking, diagnose en beveiligingsanalyse, waaronder NSG-stroomlogboeken, pakketopname en verbindingsproblemen oplossen. |
Zie het overzicht van azure-netwerkbeveiliging voor uitgebreide richtlijnen en aanbevolen procedures voor netwerkbeveiliging.
Gegevensversleuteling
| Dienst | Beschrijving |
|---|---|
| Azure Storage Service Encryption | Automatische AES 256-versleuteling voor alle gegevens in rusttoestand in Azure Blob-opslag, Azure-bestanden, wachtrijopslag en tabelopslag. |
| TDE (Transparent Data Encryption) van Azure SQL Database | Realtime versleuteling van databases, back-ups en transactielogboeken in rust. Standaard ingeschakeld met ondersteuning voor door de klant beheerde sleutels. |
| Altijd versleuteld | Versleuteling aan de clientzijde voor Azure SQL Database om ervoor te zorgen dat gegevens gedurende de gehele levenscyclus versleuteld blijven, zelfs van databasebeheerders. |
| Azure Disk Encryption | Versleuteling voor besturingssysteem- en gegevensschijven met behulp van door platform beheerde sleutels, door de klant beheerde sleutels of dubbele versleuteling met beide. |
| Azure Cosmos DB-versleuteling | Automatische versleuteling in rust met behulp van door de service beheerde sleutels, met optionele ondersteuning voor door de klant beheerde sleutels (CMK). |
| Azure Data Lake-versleuteling | Transparante versleuteling-at-rest is standaard ingeschakeld met opties voor door Microsoft beheerde of door de klant beheerde sleutels. |
| TLS-versleuteling tijdens overdracht | Transport Layer Security (TLS 1.2+) voor alle Azure-servicecommunicatie met PfS (Perfect Forward Secrecy). |
| MACsec-gegevenskoppelingsversleuteling | Punt-naar-punt-versleuteling met behulp van IEEE 802.1AE voor al het Azure-verkeer tussen datacenters. |
Zie het overzicht van Azure-versleuteling voor gedetailleerde versleutelingsopties en aanbevolen procedures.
Sleutel- en geheimenbeheer
| Dienst | Beschrijving |
|---|---|
| Azure Key Vault- | Beveilig opslag voor sleutels, geheimen en certificaten met FIPS 140-2 Niveau 1 (Standard-laag) of FIPS 140-3 Niveau 3 (Premium-laag met HSM)-validatie. |
| Beheerde HSM van Azure Key Vault | Single-tenant, FIPS 140-3 Niveau 3 gevalideerde HSM-service met volledige klantcontrole en ondersteuning voor vertrouwelijke sleutels. Integreert met Azure PaaS-services. |
| Azure Cloud HSM | Volledig beheerd, single-tenant FIPS 140-3 Level 3 gevalideerd HSM-cluster dat PKCS#11, SSL/TLS-ontlasting en on-premises migratiescenario's ondersteunt. Alleen IaaS. |
| Azure Payment HSM | Eén tenant, FIPS 140-2 Level 3 gevalideerd, PCI HSM v3-compatibele HSM voor betalingsverwerkingsbewerkingen. |
Zie Sleutelbeheer in Azure voor uitgebreide opties voor sleutelbeheer.
Detectie en reactie van bedreigingen
| Dienst | Beschrijving |
|---|---|
| Microsoft Defender voor Cloud | Geïntegreerde cloudbeveiliging met postuurbeheer (CSPM), workloadbeveiliging (CWP) en geavanceerde detectie van bedreigingen in Azure, AWS, GCP en hybride omgevingen. Geïntegreerd met de Microsoft Defender-portal. |
| Microsoft Sentinel | Cloudeigen SIEM- en SOAR-oplossing met machine learning, gebruikers- en entiteitsgedragsanalyse (UEBA), integratie van bedreigingsinformatie en geautomatiseerde playbooks. |
| Microsoft Entra ID-beveiliging | Identiteitsbeveiliging op basis van risico's detecteert afwijkend aanmeldingsgedrag en gecompromitteerde accounts met behulp van machine learning. |
| Microsoft Defender voor Cloud Applicaties | Cloud Access Security Broker (CASB) biedt zichtbaarheid, gegevensbeheer en bedreigingsbeveiliging voor cloudtoepassingen, waaronder schaduw-IT-detectie. |
| Microsoft Antimalware voor Azure | Realtime-beveiliging, gepland scannen en automatisch malwareherstel voor Azure Cloud Services en virtuele machines. |
Zie Azure Threat Protection voor uitgebreide informatie over mogelijkheden voor detectie van bedreigingen en aanbevolen procedures.
Platformintegriteit
| Dienst | Beschrijving |
|---|---|
| Firmwarebeveiliging | Veilige verificatie van supply chain- en firmware-integriteit voor Azure-hardware vanaf productie via implementatie. |
| UEFI Secure Boot | Zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's kunnen worden opgestart, bescherming tegen malware op firmwareniveau. |
| Integriteit van platformcode | Code-integriteitsbeleid dat alle code valideert voordat deze wordt uitgevoerd in de Azure-infrastructuur. |
| Gemeten opstart- en hostattestation | Cryptografische verificatie van de opstartvolgorde om ervoor te zorgen dat hosts een veilige en betrouwbare status hebben. |
| Project Cerberus | Hardware-vertrouwensanker dat zorgt voor platformidentiteits- en integriteitsverificatie. |
| Beveiliging van hypervisor | Geharde hypervisor met sterke isolatie tussen virtuele machines en de hostomgeving. |
Beveiliging van virtuele machines
| Dienst | Beschrijving |
|---|---|
| Vertrouwde start | Standaard voor Gen2-VM's met Beveiligd opstarten, vTPM en Bewaking van opstartintegriteit tegen opstartkits, rootkits en malware op kernelniveau. |
| Azure Confidential Computing | Op hardware gebaseerde, vertrouwde uitvoeringsomgevingen (TEE) met AMD SEV-SNP of Intel TDX voor gegevensbeveiliging tijdens gebruik. |
| vertrouwelijke VM's | Volledige VM-geheugenversleuteling met hardwarematig afgedwongen isolatie van de hypervisor en host-beheercode. |
| Microsoft Defender voor Servers | Detectie van bedreigingen met Microsoft Defender voor Endpoint, kwetsbaarheidsbeoordeling, Just-in-time VM-toegang en bewaking van bestandsintegriteit. |
| Just-In-Time-VM-toegang (JIT) | Vermindert de kwetsbaarheid voor aanvallen door inkomend verkeer te vergrendelen en tijdsbeperkingen in te schakelen voor beheerpoorten op aanvraag. |
| Adaptieve toepassingsbesturingselementen | Toepassingen gebaseerd op machine learning om een applicatietoestemmingslijst te creëren voor welke toepassingen op uw virtuele machines kunnen worden uitgevoerd. |
| Azure Backup | Onafhankelijke, geïsoleerde back-ups met ransomwarebeveiliging, zachte verwijdering en Recovery Services-kluisbeheer. |
| Azure Site Recovery | Indeling voor herstel na noodgevallen voor replicatie, failover en herstel naar Azure of een secundaire site. |
Zie het beveiligingsoverzicht van Azure Virtual Machines voor uitgebreide VM-beveiligingsfuncties en -richtlijnen.
Containerbeveiliging
| Dienst | Beschrijving |
|---|---|
| Microsoft Defender voor Containers | Runtimebeveiliging, evaluatie van beveiligingsproblemen en Detectie van Kubernetes-bedreigingen in AKS-, EKS-, GKE- en on-premises clusters. |
| Azure Container Registry- | Beheerd containerregister met scannen op kwetsbaarheden, inhoudsvertrouwen (ondertekening van afbeeldingen), georeplicatie en privé-eindpunten. |
| AKS-beveiliging (Azure Kubernetes Service) | Beheerde Kubernetes met Microsoft Entra-integratie, Azure RBAC, netwerkbeleid, podbeveiliging en geheimenbeheer. |
| Vertrouwelijke containers in ACI | Op hardware gebaseerde TEE-beveiliging met AMD SEV-SNP met verifieerbaar uitvoeringsbeleid en externe attestation. |
| Implementatie met kubernetes-gated | Toegangsbeheer dat voorkomt dat containerafbeeldingen worden geïmplementeerd die beveiligingsregels schenden in audit- of weigeringsmodus. |
| Scannen van containerafbeeldingen | Agentloze beoordeling van kwetsbaarheden voor containerafbeeldingen in registries en runtimecontainers in AKS-clusters. |
Zie voor uitgebreide richtlijnen voor containerbeveiliging Containerbeveiliging in Microsoft Defender voor Cloud.
Databasebeveiliging
| Dienst | Beschrijving |
|---|---|
| Azure SQL Database-beveiliging | Uitgebreide beveiliging met netwerkisolatie, Microsoft Entra-verificatie, TDE-versleuteling, Always Encrypted en controle. |
| Microsoft Defender voor SQL | Advanced Threat Protection detecteert SQL-injectie, brute-force aanvallen, afwijkende activiteiten en kwetsbaarheidsuitbuitingen. |
| Evaluatie van SQL-beveiligingsproblemen | Detecteert, volgt en helpt bij het oplossen van beveiligingsproblemen in databases met bruikbare beveiligingsaanaanvelingen. |
| Row-Level Beveiliging (RLS) | Hiermee beperkt u rijtoegang op basis van gebruikersidentiteit, rol of uitvoeringscontext voor gedetailleerd toegangsbeheer voor gegevens. |
| Dynamische gegevensmaskering | Maskert gevoelige gegevens voor niet-bevoegde gebruikers zonder onderliggende gegevens te wijzigen, waardoor het blootstellingsrisico wordt verminderd. |
| Azure SQL Database-grootboek | Manipulatie-ongevoelige mogelijkheden met onveranderbare transactierecords voor verificatie van gegevensintegriteit en naleving. |
| Azure Cosmos DB-beveiliging | Versleuteling in rust en tijdens overdracht, netwerkisolatie, RBAC, en auditlogregistratie voor NoSQL- en workloads met meerdere modellen. |
DevOps-beveiliging
| Dienst | Beschrijving |
|---|---|
| Microsoft Defender voor DevOps | Geünificeerde DevOps-beveiliging die Azure DevOps en GitHub verbindt met codescans, IaC-scans (Infrastructure-as-Code) en detectie van geheimen. |
| Integratie van GitHub Advanced Security | Code-naar-cloud-kwetsbaarheid-opsporing met prioritering van runtimecontext en door AI aangedreven Copilot Autofix-remediëring. |
| Container scannen in de pijplijn | CLI-gebaseerd scannen van containerbeveiligingsproblemen tijdens CI/CD-werkstromen met realtime feedback voordat naar de registry wordt doorgevoerd. |
| Scannen op afhankelijkheidskwetsbaarheden | Trivy-aangedreven detectie van kwetsbaarheden in besturingssystemen en bibliotheken in GitHub- en Azure DevOps-repositories. |
Zie DevOps-beveiliging in Defender for Cloud voor aanbevolen procedures voor DevOps-beveiliging.
Bewaking en beheer
| Dienst | Beschrijving |
|---|---|
| Azure Monitor | Uitgebreide bewaking met metrische gegevens, logboeken, Log Analytics-werkruimten, Application Insights, waarschuwingen en werkmappen. |
| Azure Policy | Governanceservice die organisatiestandaarden afdwingt met beleidsdefinities, initiatieven, nalevingsrapportage en automatisch herstel. |
| Naleving van de Microsoft Defender voor de Cloud-regelgeving | Ingebouwde en aangepaste nalevingsbeoordelingen die zijn afgestemd op de Microsoft-cloudbeveiligingsbenchmark, ISO 27001, NIST, PCI DSS en andere standaarden. |
| Azure-activiteitenlogboek | Auditlogboeken op abonnementsniveau registreren beheerbewerkingen, servicestatusgebeurtenissen en resourcewijzigingen met 90 dagen retentie. |
| Azure Update Manager | Geïntegreerd patchbeheer voor Virtuele Windows- en Linux-machines in Azure, on-premises en multicloud met geplande patching en hotpatching. |
| Azure Resource Graph | Snelle abonnementsoverschrijdende query's om resources te identificeren met specifieke configuraties of beveiligingshouding op schaal. |
| Microsoft Cost Management | Kostenbewaking, budgetten en anomaliedetectie om niet-geautoriseerde resource-implementaties te identificeren die kunnen duiden op beveiligingsincidenten. |
Zie het overzicht van Azure-beveiligingsbeheer en -bewaking voor gedetailleerde mogelijkheden en aanbevolen procedures voor beveiligingsbeheer.
Back-up en herstel na noodgevallen
| Dienst | Beschrijving |
|---|---|
| Azure Backup | Onafhankelijke, geïsoleerde back-ups met nul kapitaalinvesteringen, ransomwarebeveiliging, voorlopig verwijderen en herstel in meerdere regio's. |
| Azure Site Recovery | Indeling voor bedrijfscontinuïteit en herstel na noodgevallen (BCDR) voor replicatie, failover en herstel naar Azure of een secundaire site. |
Zie de documentatie voor Azure Backup voor uitgebreide back-ups.
PaaS-implementatiebeveiliging
Zie PaaS-implementaties beveiligen voor hulp bij het beveiligen van platform-as-a-service-implementaties, waaronder App Service, Azure Functions en containerservices.
Volgende stappen
- End-to-end-beveiliging in Azure - Uitgebreid overzicht van de beveiligingsarchitectuur en -mogelijkheden van Azure
- Best practices en patronen voor Azure-beveiliging : verzameling aanbevolen beveiligingsprocedures voor verschillende scenario's
- Microsoft Cloud Security Benchmark - Uitgebreide beveiligingsrichtlijnen voor Azure-services
- Gedeelde verantwoordelijkheid in de cloud - Inzicht in de beveiligingsverantwoordelijkheden die worden gedeeld tussen u en Microsoft