Delen via

Zero Trust-beveiliging in Azure

Zero Trust is een beveiligingsstrategie die ervan uitgaat dat er inbreuk wordt gemaakt en elke aanvraag wordt geverifieerd alsof deze afkomstig is van een onbeheerd netwerk. In dit artikel wordt uitgelegd hoe u Zero Trust-principes toepast op de infrastructuur en services van Microsoft Azure.

Zie Wat is Zero Trust?voor uitgebreide informatie over Zero Trust als een beveiligingsmodel en de bijbehorende toepassing in Microsoft-producten.

Zero Trust-principes voor Azure

Tegenwoordig hebben organisaties een beveiligingsmodel nodig dat zich effectief aanpast aan de complexiteit van de moderne omgeving, de mobiele werknemers omarmt en mensen, apparaten, toepassingen en gegevens beschermt waar ze zich ook bevinden.

Het Zero Trust-beveiligingsmodel is gebaseerd op drie uitgangspunten:

  • Expliciet verifiëren - Altijd verifiëren en autoriseren op basis van alle beschikbare gegevenspunten, waaronder gebruikersidentiteit, locatie, apparaatstatus en service of workload.
  • Gebruik toegang tot minimale bevoegdheden : beperk gebruikerstoegang met Just-In-Time en Just-Enough-Access (JIT/JEA), op risico gebaseerd adaptief beleid en gegevensbeveiliging.
  • Veronderstel een inbreuk - Minimaliseer het impactgebied en segmenteer de toegang. Controleer end-to-end-versleuteling en gebruik analyse om zichtbaarheid te krijgen, detectie van bedreigingen te stimuleren en verdediging te verbeteren.

Principes toepassen op Azure-workloads

Bij het implementeren van Zero Trust in Azure worden deze principes omgezet in specifieke architectuurpatronen:

Verifieer expliciet dat elke toegangsaanvraag voor Azure-resources moet worden geverifieerd en geautoriseerd met behulp van Microsoft Entra ID, waarbij Voorwaardelijke Toegangsbeleid risico's evalueert op basis van meerdere signalen, waaronder gebruiker, apparaat, locatie en workloadcontext.

Als u toegang met minimale bevoegdheden gebruikt , moet u op rollen gebaseerd toegangsbeheer (RBAC) gebruiken met minimale machtigingen, Just-In-Time -toegang (JIT) voor beheerbewerkingen en beheerde identiteiten in plaats van referenties op te slaan.

Ga uit van een inbreuk stuurt netwerksegmentatie aan om laterale verplaatsing te beperken, versleuteling voor gegevens die stilstaan en onderweg zijn te implementeren, continue bewaking en detectie van bedreigingen uit te voeren, en onveranderbare back-ups in te stellen ter bescherming tegen destructieve aanvallen.

Zero Trust-architectuur in Azure

Een Zero Trust-benadering breidt zich uit over het hele digitale domein en fungeert als een geïntegreerde beveiligings filosofie en end-to-end strategie. Wanneer dit wordt toegepast op Azure, is een multidisciplinaire benadering vereist die de infrastructuur, netwerken, identiteit en gegevensbescherming systematisch aanpakt.

In deze afbeelding ziet u een weergave van de primaire elementen die bijdragen aan Zero Trust.

Zero Trust-architectuur

In de afbeelding:

  • Het afdwingen van beveiligingsbeleid bevindt zich in het centrum van een Zero Trust-architectuur. Dit omvat meervoudige verificatie met voorwaardelijke toegang die rekening houdt met risico's van gebruikersaccounts, apparaatstatus en andere criteria en beleidsregels die u instelt.
  • Identiteiten, apparaten (ook wel eindpunten genoemd), gegevens, toepassingen, netwerken en andere infrastructuuronderdelen worden allemaal geconfigureerd met de juiste beveiliging. Beleidsregels die voor elk van deze onderdelen zijn geconfigureerd, worden gecoördineerd met uw algehele Zero Trust-strategie.
  • Met bedreigingsbeveiliging en intelligentie wordt de omgeving bewaakt, worden de huidige risico's aan het oppervlak gebracht en wordt geautomatiseerde actie ondernomen om aanvallen te verhelpen.

Van perimeter-gebaseerd naar Zero Trust

De traditionele benadering van toegangsbeheer voor IT is gebaseerd op het beperken van de toegang tot een bedrijfsnetwerkperimeter. Dit model beperkt alle resources tot een netwerkverbinding in bedrijfseigendom en is te beperkend geworden om te voldoen aan de behoeften van een dynamische onderneming.

Overstappen van traditionele netwerkperimeter naar Zero Trust-benadering

In Azure-omgevingen is de overstap naar Zero Trust met name belangrijk omdat cloudresources buiten traditionele netwerkperimeters bestaan. Organisaties moeten een Zero Trust-benadering voor toegangsbeheer omarmen wanneer ze extern werken omarmen en cloudtechnologie gebruiken om hun bedrijfsmodel te transformeren.

Zero Trust-principes helpen bij het vaststellen en continu verbeteren van beveiligingsgaranties en het behoud van de flexibiliteit die nodig is in moderne cloudomgevingen. De meeste Zero Trust-trajecten beginnen met toegangsbeheer en richten zich op identiteit als voorkeurs- en primair beheer. Netwerkbeveiligingstechnologie blijft een belangrijk element, maar het is niet de dominante benadering in een volledige strategie voor toegangsbeheer.

Zie het toegangsbeheer van het Cloud Adoption Framework voor meer informatie over de Zero Trust-transformatie van toegangsbeheer in Azure.

Zero Trust implementeren voor Azure-infrastructuur

Voor het toepassen van Zero Trust op Azure is een methodische benadering vereist waarmee verschillende lagen van uw infrastructuur worden aangepakt, van basiselementen tot volledige workloads.

Onderdelen van Azure IaaS en infrastructuur

Zero Trust voor Azure IaaS heeft betrekking op de volledige infrastructuurstack: opslagservices met versleutelings- en toegangsbeheer, virtuele machines met vertrouwde start- en schijfversleuteling, spoke-netwerken met microsegmentatie, hubnetwerken met gecentraliseerde beveiligingsservices en PaaS-integratie via privé-eindpunten. Zie Zero Trust-principes toepassen op het overzicht van Azure IaaS voor gedetailleerde richtlijnen.

Azure-netwerken

Netwerkbeveiliging richt zich op vier belangrijke gebieden: versleuteling van al het netwerkverkeer, segmentatie met behulp van netwerkbeveiligingsgroepen en Azure Firewall, zichtbaarheid via verkeersbewaking en het beëindigen van verouderde OP VPN gebaseerde controles ten gunste van identiteitsgerichte benaderingen. Zie Zero Trust-principes toepassen op Azure-netwerken voor gedetailleerde richtlijnen.

Identiteit als het besturingsvlak

Identiteit is het primaire besturingsvlak voor Zero Trust in Azure. Voorwaardelijke toegang fungeert als de belangrijkste beleidsengine, het evalueren van toegangsaanvragen op basis van meerdere signalen om toegang te verlenen, te beperken of te blokkeren. Raadpleeg Voorwaardelijke toegang voor Zero Trust en Azure Identity Management-beveiligingsoverzicht voor meer informatie.

Gegevens beveiligen en beschikbaarheid garanderen

Voor gegevensbeveiliging in Azure zijn meerdere lagen vereist: versleuteling at rest en in transit, op identiteit gebaseerde toegangsbeheer met behulp van beheerde identiteiten en RBAC, en voor zeer gevoelige workloads, vertrouwelijke computing om gegevens tijdens de verwerking te beveiligen. Tolerantie voor destructieve aanvallen vereist resourcevergrendelingen, onveranderbare back-ups, geo-replicatie en het beveiligen van de herstelinfrastructuur zelf. Zie Uw Azure-resources beschermen tegen destructieve cyberaanvallen voor gedetailleerde richtlijnen.

Detectie en reactie van bedreigingen

Zero Trust vereist continue bewaking met de veronderstelling dat er al bedreigingen aanwezig zijn. Microsoft Defender voor Cloud biedt geïntegreerd beveiligingsbeheer en bedreigingsbeveiliging voor Azure-resources, terwijl integratie met Microsoft Defender XDR gecorreleerde detectie mogelijk maakt in uw hele omgeving. Zie het overzicht van azure-bedreigingsdetectie en Microsoft Sentinel en Microsoft Defender XDR voor gedetailleerde informatie.

Gedeelde verantwoordelijkheid en Azure-beveiliging

Beveiliging in Azure is een gedeelde verantwoordelijkheid tussen Microsoft en klanten. Microsoft beveiligt de fysieke infrastructuur en het Azure-platform, terwijl klanten verantwoordelijk zijn voor identiteit, gegevens en toepassingsbeveiliging, waarbij de verdeling verschilt per servicemodel (IaaS, PaaS, SaaS). Voor het implementeren van Zero Trust moeten controles op platformniveau worden gecoördineerd met klantconfiguratieopties. Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie.

Azure-beveiligingsmogelijkheden

Hoewel dit artikel is gericht op de conceptuele toepassing van Zero Trust naar Azure, is het belangrijk om inzicht te hebben in de breedte van de beschikbare beveiligingsmogelijkheden. Azure biedt uitgebreide beveiligingsservices voor alle lagen van uw infrastructuur.

Zie Inleiding tot Azure-beveiliging voor een overzicht van de beveiligingsmogelijkheden van Azure, georganiseerd op functioneel gebied. Zie End-to-end beveiliging in Azure voor een overzicht van de beveiliging, detectie en reactiemogelijkheden van Azure.

Aanvullende gedetailleerde richtlijnen zijn beschikbaar voor specifieke domeinen:

Toepassingsontwikkeling en Zero Trust

Toepassingen die zijn geïmplementeerd in Azure, moeten elke aanvraag verifiëren en autoriseren in plaats van te vertrouwen op impliciete vertrouwensrelatie vanaf de netwerklocatie. Belangrijke principes zijn het gebruik van Microsoft Entra-id voor identiteitsverificatie, het aanvragen van minimale machtigingen, het beveiligen van gevoelige gegevens en het gebruik van beheerde identiteiten in plaats van opgeslagen referenties. Zie Ontwikkelen met zero Trust-principes en apps bouwen die gereed zijn voor Zero Trust met behulp van het Microsoft Identity Platform voor uitgebreide richtlijnen.

Volgende stappen

Als u Zero Trust in uw Azure-omgeving wilt implementeren, begint u met deze resources:

Voor bredere Microsoft Zero Trust-resources:

  • Last updated on