Netwerkbeveiliging

Netwerkbeveiliging beschermt cloudworkloads tegen bedreigingen zoals onbevoegde toegang, gegevensschendingen en serviceonderbreking door verkeer op meerdere grenzen te beheren. In tegenstelling tot traditionele perimetergerichte verdediging, eisen moderne cloudomgevingen diepgaande verdedigingsstrategieën met segmentatie, privéconnectiviteit en edge-beveiliging om dynamische aanvalsoppervlakken aan te pakken, waaronder blootgestelde services, zijdelingse verplaatsingspaden en opdrachten- en controlekanalen. Organisaties die uitgebreide netwerkcontroles implementeren, onderhouden veilige standaardomgevingen, terwijl degenen die deze besturingselementen negeren, onbeperkte zijwaartse verplaatsing en langdurige blootstelling aan bedreigingen ondervinden.

Hier volgen de drie kernpijlers van het netwerkbeveiligingsdomein.

Netwerkgrenzen beveiligen: Dwing strikte controles af aan de netwerkranden en tussen segmenten via een diepgaande verdediging met meerdere lagen, waarbij firewalls, DDoS-beveiliging, firewalls voor webtoepassingen en privéconnectiviteit worden opgenomen, volgens het principe van minimale bevoegdheden om onbevoegd verkeer standaard te weigeren.

Gerelateerde besturingselementen:

• NS-2: Cloudservices beveiligen met netwerkbesturingselementen
• NS-3: Firewall implementeren aan de rand van het bedrijfsnetwerk
• NS-5: DDOS-beveiliging implementeren
• NS-6: Web Application Firewall implementeren
• NS-9: Lokale of cloud-netwerk privé verbinden

Netwerkisolatie toepassen: Verdeel netwerken in geïsoleerde segmenten die zijn afgestemd op bedrijfssegmentatiestrategie en risiconiveaus om de verspreiding van bedreigingen te beperken, het kwetsbaarheid voor aanvallen te verminderen en onbevoegde zijdelingse verplaatsingen te voorkomen.

Gerelateerde besturingselementen:

• NS-1: netwerksegmentatiegrenzen vaststellen

Controleren en reageren: Behoud continue zichtbaarheid van netwerkactiviteiten via uitgebreide bewaking, inbraakdetectie en protocolbeveiliging om verdacht gedrag, beleidsschendingen en actieve bedreigingen snel te identificeren.

Gerelateerde besturingselementen:

• NS-4: Inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren
• NS-8: onveilige services en protocollen detecteren en uitschakelen
• NS-10: Dns-beveiliging (Domain Name System) garanderen

NS-1: netwerksegmentatiegrenzen vaststellen

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: NS-1.

Beveiligingsprincipe

Netwerksegmentatie omvat het verdelen van een netwerk in kleinere, geïsoleerde segmenten om de verkeersstroom tussen cloudresources onder controle te houden en te beperken om het impactgebied te verminderen.

Ontwerp uw netwerksegmentatie om ervoor te zorgen dat de implementatie van uw virtuele netwerk overeenkomt met uw bedrijfssegmentatiestrategie en verschillende risiconiveaus. Algemene segmentatiestrategie omvat:

• Het Corpnet scheiden met applicatienetwerken
• Afzonderlijke toepassingsnetwerken
• Afzonderlijke netwerken voor productie- en testomgevingen

Raadpleeg Azure Well-Architected Framework voor meer informatie over belangrijke strategieën voor netwerksegmentatie:

• Strategie voor Azure-segmentatie

Risico om te beperken

Zonder netwerksegmentatiegrenzen hebben organisaties te maken met onbeperkte zijwaartse beweging, waardoor aanvallers netwerkinfrastructuren kunnen passeren en hoogwaardige activa kunnen in gevaar komen.

• Vlakke netwerkblootstelling: Het ontbreken van segmentatie maakt onbeperkte zijwaartse verplaatsing mogelijk, waardoor kwaadwillende personen inbreuk kunnen maken op hoogwaardige activa door een niet-gepartitioneerde netwerktopologie te doorlopen.
• Escalatiepaden voor bevoegdheden: Onvoldoende grenzen maken onbevoegde toegangsvectoren mogelijk, waardoor escalatie van gebruikersbevoegdheden wordt vergemakkelijkt door toegang tot gevoelige subnetten en workloads.
• Doorgifte van malware: Onvoldoende segmentatie maakt snelle verspreiding van schadelijke code mogelijk, zoals ransomware op onderling verbonden knooppunten, waardoor de kwetsbaarheid voor aanvallen en de operationele impact wordt versterkt.
• Oost-west verkeersblindheid: Onbeperkt verkeer tussen segmenten belemmert anomaliedetectie en incidentrespons, waardoor de zichtbaarheid van interne bedreigingsbewegingen wordt verminderd en forensische analyse wordt gedupliceerd.

MITRE ATT&CK

• Eerste toegang (TA0001): onbevoegde toegang tot netwerken en blootgestelde services (bijvoorbeeld T1190 - Exploit Public-Facing Application).
• Lateral Movement (TA0008): aanval die draait om VNets en niet-beperkt intersubnetverkeer (bijvoorbeeld T1021 - Externe diensten).
• Exfiltratie (TA0010): gegevensexfiltratie door niet-geristrict verkeer voor ongeautoriseerde gegevensoverdrachten naar externe servers (bijvoorbeeld T1041 - Exfiltratie via C2-kanaal).
• Command and Control (TA0011): malwaredoorgifte door communicatie met schadelijke IP-adressen of domeinen via firewallregels en bedreigingsinformatie (bijvoorbeeld T1071 - Application Layer Protocol).

NS-1.1: Segmentatie maken met behulp van VNet en subnetten

Isolatie van virtuele netwerken brengt fundamentele beveiligingsgrenzen in cloudomgevingen tot stand, zodat organisaties workloads kunnen scheiden op vertrouwensniveau, organisatie-eenheid of toepassingsgroep. Deze aanpak voorkomt onbeperkte zijwaartse verplaatsing en vermindert de straalstraal wanneer er schendingen optreden, waarbij netwerkarchitectuur wordt afgestemd op bedrijfssegmentatiestrategieën en nulvertrouwensprincipes.

Implementeer segmentatie van virtuele netwerken door geïsoleerde netwerkgrenzen en onderverdelingen te maken:

• VNet-topologie ontwerpen op basis van segmentatiestrategie: Maak virtuele netwerken die zijn afgestemd op vertrouwenszones, organisatie-eenheden of toepassingsgroepen die zijn gedefinieerd in uw bedrijfssegmentatiestrategie, zodat elk VNet een afzonderlijke beveiligingsgrens vertegenwoordigt.

• Workloads met een hoog risico isoleren: Werkbelastingen identificeren waarvoor strikte isolatie is vereist (bijvoorbeeld productiedatabases, betalingsverwerkingssystemen) en deze implementeren in toegewezen, geïsoleerde VNets om blootstelling te minimaliseren en kruisbesmetting te voorkomen.

• Subnetten maken voor gedetailleerde segmentatie: Maak binnen elk VNet afzonderlijke niet-overlappende subnetten om het netwerk verder te segmenteren op basis van toepassingslagen (bijvoorbeeld weblaag, toepassingslaag, databaselaag) of functionele vereisten, waardoor nauwkeurige verkeersbeheer en microsegmentatie mogelijk zijn.

NS-1.2: Netwerkverkeer beperken met behulp van NSG

Netwerkbeveiligingsgroepen dwingen filteren van verkeer af op subnet- en netwerkinterfaceniveau, waardoor nauwkeurige controle mogelijk is over communicatiestromen tussen netwerksegmenten en externe netwerken. Door standaardbeleid voor weigeren te implementeren met expliciete toestaan-regels, zorgen organisaties ervoor dat alleen geautoriseerd verkeer de netwerkgrenzen doorloopt, waardoor onbevoegde toegang wordt voorkomen en het aanvalsoppervlak wordt verminderd.

Netwerkverkeersbeperking implementeren met behulp van NSG-regels:

• Communicatievereisten identificeren: Analyseer resources in elk VNet om inzicht te krijgen in de communicatiebehoeften noord-zuid (extern) en oost-west(intern), het documenteren van vereiste poorten, protocollen, bronadressen en doeladressen voor legitieme bedrijfsfuncties.

• Expliciete regels voor toestaan en weigeren definiëren: Voor goed gedefinieerde toepassingen (bijvoorbeeld architecturen met drie lagen), gebruikt u de benadering 'Standaard weigeren, toestaan op uitzondering' om NSG-regels te maken op basis van poort, protocol, bron-IP-adres en doel-IP-adres, waarbij alleen noodzakelijk verkeer wordt toegestaan terwijl alle andere communicatie wordt geweigerd.

• Toepassingsbeveiligingsgroepen gebruiken voor complexe scenario's: Wanneer veel toepassingen en eindpunten communiceren, vereenvoudigt u NSG-regelbeheer met behulp van toepassingsbeveiligingsgroepen (ASG's) om resources logisch te groeperen (bijvoorbeeld webservers, databaseservers), en definieert u NSG-regels op basis van deze groepen in plaats van expliciete IP-adressen, waardoor de onderhoudbaarheid wordt verbeterd en de complexiteit van de configuratie wordt verminderd.

• Bewaken en optimaliseren met stroomlogboeken: Schakel logboekregistratie van virtuele netwerkstromen in om verkeer te controleren dat is toegestaan of geweigerd door NSG-regels, waarbij vaak geweigerd verkeer wordt geïdentificeerd dat kan duiden op onjuiste configuratie of vaak toegestaan verkeer dat regeloptimalisatie kan informeren en logboekregistratieruis kan verminderen.

Voorbeeld van implementatie

Een organisatie moest een toepassing met meerdere lagen beveiligen met afzonderlijke productie-, ontwikkelings- en testomgevingen, terwijl onbevoegde zijwaartse verplaatsing en externe toegang worden voorkomen.

Uitdaging: De organisatie had een toepassing met drie lagen (web, toepassing, database) met alle resources in één groot netwerksegment, waardoor onbeperkte communicatie tussen alle lagen en omgevingen mogelijk is. Dit zorgde voor aanzienlijke beveiligingsrisico's, waaronder potentiële zijverplaatsing tussen productie en niet-productie, onbeperkte internettoegang van databaseservers en het niet kunnen isoleren van workloads met een hoog risico.

Oplossingsbenadering:

• VNet-segmentatie per omgeving: Er zijn afzonderlijke virtuele netwerken gemaakt voor productie (10.0.0.0/16), ontwikkeling (10.1.0.0/16) en tests (10.2.0.0/16) om netwerkisolatiegrenzen tot stand te brengen die toegang tot meerdere omgevingen voorkomen en de straalstraal van potentiële schendingen beperken.
• Subnetsegmentatie per laag: In het productie-VNet hebt u afzonderlijke niet-overlappende subnetten gemaakt voor elke toepassingslaag - weblaag (10.0.1.0/24), toepassingslaag (10.0.2.0/24) en databaselaag (10.0.3.0/24), waardoor gedetailleerde verkeersbeheer tussen lagen mogelijk is.
• NSG-regels voor verkeer in noord-zuid: Geconfigureerde NSG-regels om al het binnenkomende verkeer van internet (0.0.0.0.0/0) naar interne subnetten te weigeren en uitgaande internettoegang te beperken tot alleen vertrouwde bestemmingen, met specifieke regels die alleen noodzakelijke externe verbindingen voor de weblaag toestaan, terwijl alle internettoegang vanuit de databaselaag wordt geblokkeerd.
• NSG-regels voor verkeer in oost-west richting: Standaardbeleid voor weigeren geïmplementeerd met expliciete regels voor toestaan tussen lagen: weblaag alleen uitgaand naar toepassingslaag op alleen de vereiste poorten toegestaan, toepassingslaag alleen uitgaand naar databaselaag op poort 1433 (SQL) toegestaan, en databaselaag alle ander binnenkomend verkeer geweigerd behalve van het subnet van toepassingslaag.
• Toegang tot extern beheer: Beperkte poorten voor extern beheer (RDP 3389/TCP, SSH 22/TCP) om alleen verbindingen te accepteren van het subnet van de vertrouwde bastionhost (10.0.0.0/26), waardoor directe internettoegang tot beheerinterfaces wordt geëlimineerd.

Resultaat: De organisatie elimineerde onbeperkte laterale verplaatsing tussen toepassingslagen en omgevingen, aanzienlijk minder kwetsbaarheid voor aanvallen door directe internettoegang te verwijderen uit back-endsystemen en vastgestelde afdwingbare netwerkgrenzen die zijn afgestemd op nulvertrouwensprincipes. Stroomlogboeken bieden continue bewaking van toegestaan en geweigerd verkeer voor optimalisatie en validatie van de beveiligingsstatus.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-7, SC-32, AC-4, CM-7
• PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1
• CIS-maatregelen v8.1: 12.1, 12.2, 12.6
• NIST CSF v2.0: PR. IR-01, PR. AC-05
• ISO 27001:2022: A.8.20, A.8.21
• SOC 2: CC6.1, CC6.6

NS-2: Cloudeigen services beveiligen met netwerkbesturingselementen

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: NS-2.

Beveiligingsprincipe

Gebruik systeemeigen servicefuncties om netwerktoegang tot de resources te beveiligen om de blootstelling van de resources aan het niet-vertrouwde netwerk te voorkomen en te verminderen. Deze functies zijn onder andere:

• Configureer private toegangspunten voor bronnen om blootstelling van netwerkverkeer via het publieke netwerk te voorkomen.
• Implementeer de resource in virtuele netwerken, waar u het VNet kunt beperken tot het tot stand brengen van een privétoegangspunt voor de service.
• Configureer systeemeigen firewalls van de service om het binnenkomende verkeer te beperken of de toegang tot het openbare netwerk uit te schakelen.

Opmerking: naast het basisnetwerktoegangsbeheer en het filteren van verkeer moet u ook mogelijkheden voor detectie van bedreigingen gebruiken om services zoals DNS (NS-10) te bewaken om de mogelijke gegevensexfiltratie te detecteren.

Risico om te beperken

Bedreigingsactoren maken gebruik van openbaar blootgestelde cloudservices om gegevensexfiltratie, aanvallen op toepassingslagen en verkeersonderscheppingen uit te voeren.

• Gegevensexfiltratie via openbare eindpunten: Aanvallers misbruiken openbaar toegankelijke opslagaccounts, databases of API's om gevoelige gegevens te exfiltreren door onbevoegde verbindingen tot stand te brengen voor blootgestelde eindpunten, netwerksegmentatiecontroles te omzeilen en grootschalige gegevensdiefstal mogelijk te maken.
• Aanvallen op toepassingslaag tegen openbare eindpunten: DDoS-aanvallen (Distributed Denial of Service), SQL-injectie en andere toepassingsaanvallen richten zich op openbaar blootgestelde webservices, API's en databases, overweldigende resources of misbruik van beveiligingsproblemen om serviceonderbrekingen of inbreuk op gegevens te veroorzaken.
• Man-in-the-middle-aanvallen: Aanvallers onderscheppen verkeer dat via openbare netwerken stroomt naar openbaar blootgestelde services, het vastleggen van referenties, sessietokens of gevoelige gegevens die worden verzonden zonder voldoende versleuteling of privéconnectiviteit, waardoor accountovername of gegevensdiefstal mogelijk is.

MITRE ATT&CK

• Initiële toegang (TA0001): onbevoegde toegang door openbare internetblootstelling van cloudservices (bijvoorbeeld cloudopslagservices, databaseservices), misbruik te maken van openbare eindpunten (bijvoorbeeld T1190 - Exploit Public-Facing Application).
• Exfiltratie (TA0010): gegevensexfiltratie door verkeer via particuliere virtuele netwerkverbindingen te routeren, waardoor het risico op gegevenslekken naar externe servers (bijvoorbeeld T1041 - Exfiltratie via C2-kanaal) wordt verminderd.
• Lateral Movement (TA0008): aanvallers die zich binnen virtuele netwerken bewegen, onbevoegde toegang verkrijgen tussen cloudresources (bijvoorbeeld T1021 - Externe services).

NS-2.1 Private Link gebruiken voor serviceverbinding

Privéconnectiviteit elimineert openbare internetblootstelling voor cloudservices door directe netwerkpaden in uw virtuele infrastructuur tot stand te brengen. Private Link maakt privé-eindpunten met toegewezen IP-adressen in uw virtuele netwerken, zodat verkeer naar cloudservices nooit het openbare internet doorkruist terwijl DNS-toegangspatronen behouden blijven. Deze aanpak vermindert het kwetsbaarheid voor aanvallen aanzienlijk en voorkomt gegevensexfiltratie via openbaar toegankelijke eindpunten.

Implementeer privéconnectiviteit voor cloudservices via deze stappen:

• Privé-eindpunten implementeren voor ondersteunde services: Maak privé-eindpunten in uw virtuele netwerk voor Azure-resources die Private Link ondersteunen (bijvoorbeeld Azure Storage, Azure SQL Database, Azure Key Vault), het tot stand brengen van privé-IP-adressen (bijvoorbeeld 10.0.2.4) die alleen toegankelijk zijn vanuit uw VNet.

• Privé-DNS-zones configureren: Maak privé-DNS-zones van Azure om openbare DNS-omzetting te overschrijven, zodat FQDN's (Fully Qualified Domain Names), zoals mystorageaccount1.blob.core.windows.net omzetten naar privé-IP-adressen binnen uw VNet in plaats van openbare eindpunten, waardoor naadloze connectiviteit voor toepassingen met behulp van FQDN-toegang wordt gehandhaafd.

• Openbare toegang uitschakelen: Configureer instellingen op serviceniveau om de toegang tot openbare netwerken volledig uit te schakelen zodra privé-eindpunten zijn geïmplementeerd, zodat al het verkeer uitsluitend via privéconnectiviteit verloopt zonder terug te vallen op openbare eindpunten.

Notitie: Bepaalde Azure-services kunnen ook privécommunicatie toestaan via de functie voor service-eindpunten , hoewel Azure Private Link wordt aanbevolen voor veilige en privétoegang tot services die worden gehost op het Azure-platform. Voor implementaties zoals webservices die worden gehost op Virtuele Azure-machines, vermijdt u het rechtstreeks toewijzen van openbare IP-adressen aan VM's, tenzij sterk gerechtvaardigd; Gebruik in plaats daarvan Azure Application Gateway of Azure Load Balancer als front-end voor servicetoegang.

NS-2.2 Service implementeren in VNet

Dankzij de integratie van virtuele netwerken kunnen cloudservices binnen de grenzen van het privénetwerk werken, waardoor directe connectiviteit met door VNet gehoste resources zonder blootstelling aan openbaar internet tot stand is gebracht. Door services in virtuele netwerken te implementeren, krijgen organisaties gedetailleerde controle over netwerkverkeer via beveiligingsgroepen en routetabellen terwijl service-isolatie van externe bedreigingen behouden blijft.

Implementeer services met VNet-integratie, waar ondersteund:

• Services implementeren in virtuele netwerken: Voor services die VNet-integratie ondersteunen (bijvoorbeeld Azure App Service, Azure Functions, Azure Container Instances), configureert u de implementatie in nieuwe of bestaande virtuele netwerken, waarbij de juiste subnetten worden opgegeven die zijn afgestemd op uw segmentatiestrategie en het inschakelen van privécommunicatie met andere VNet-resources.

• Netwerkbeveiligingsbesturingselementen configureren: Pas netwerkbeveiligingsgroepregels (NSG)-regels toe op het subnet van de service om inkomend en uitgaand verkeer te beperken, waarbij toegang met minimale bevoegdheden wordt geïmplementeerd door alleen de benodigde communicatie naar specifieke bestemmingen toe te staan (bijvoorbeeld databasesubnetten, opslageindpunten) terwijl al het andere verkeer wordt geweigerd.

NS-2.3 Service-eigen firewall configureren

Firewalls op serviceniveau bieden diepgaande beveiliging door netwerktoegang op resourceniveau te beperken. Dit vormt een aanvulling op netwerklaagcontroles met toepassingsspecifieke beveiligingsgrenzen. Met deze systeemeigen firewallmogelijkheden kunnen organisaties de blootstelling aan specifieke IP-bereiken of virtuele netwerken beperken terwijl openbare toegang volledig wordt uitgeschakeld wanneer dat nodig is, waardoor de kwetsbaarheid voor aanvallen wordt verminderd zonder dat er complexe wijzigingen in de netwerktopologie nodig zijn.

Configureer servicefirewalls om de toegang te beperken:

• Servicefirewallfuncties inschakelen: Voor services die systeemeigen firewalls ondersteunen (bijvoorbeeld Azure Storage, Azure SQL Database, Azure Key Vault), schakelt u firewallfunctionaliteit in tijdens het maken van resources of op bestaande resources om te bepalen welke netwerken toegang hebben tot de service.

• Regels op basis van IP of VNet definiëren: Configureer firewallregels om alleen toegang toe te staan vanuit specifieke openbare IP-bereiken (bijvoorbeeld bedrijfskantoornetwerken) of specifieke subnetten van virtuele Azure-netwerken, waarbij toegang met minimale bevoegdheden wordt geïmplementeerd door alle andere bronnen te weigeren.

• Schakel, indien mogelijk, openbare toegang uit: Wanneer services alleen toegang van particuliere netwerken vereisen, gebruikt u de wisselknopoptie om de toegang tot openbare netwerken volledig uit te schakelen, zodat de service onbereikbaar is vanaf internet, ongeacht ip-regels.

NS-2.4 Netwerkbeveiligingsperimeter gebruiken voor PaaS-resourceisolatie

Netwerkbeveiligingsperimeter brengt een logische netwerkgrens tot stand rond meerdere PaaS-resources, waardoor beveiligde service-naar-service-communicatie binnen een expliciete vertrouwde perimeter mogelijk is, terwijl niet-geautoriseerde gegevensexfiltratie worden voorkomen. In tegenstelling tot controle per resource biedt de netwerkbeveiligingsperimeter een geïntegreerde beveiligingsgrens die communicatie binnen de perimeter zonder afzonderlijke toegangsregels mogelijk maakt, terwijl toegang van buitenaf standaard wordt geblokkeerd.

Implementeer netwerkbeveiligingsperimeter om PaaS-resources te beveiligen:

• Resources maken en koppelen: Stel een netwerkbeveiligingsperimeter in en voeg ondersteunde PaaS-resources (Azure Storage, SQL Database, Key Vault, Event Hubs, Cosmos DB) toe via resourcekoppelingen, waardoor intraperimetercommunicatie mogelijk is waar gekoppelde resources vrij kunnen communiceren.

• Toegangsmodi en -regels configureren: Begin met de overgangsmodus om inzicht te krijgen in toegangspatronen voordat u overgaat naar de afgedwongen modus voor maximale beveiliging. Definieer expliciete regels voor binnenkomende en uitgaande toegang met behulp van IP-adressen, abonnementen of FQDN's om verkeer buiten de perimeter te beheren terwijl de standaardstatus voor weigeren behouden blijft.

• Integratie van bewaking en Private Link inschakelen: Configureer diagnostische logboeken om toegangspogingen en beleidsschendingen vast te leggen. Privé-eindpuntverkeer wordt automatisch toegestaan in de perimeter, wat een aanvulling vormt op VNet-naar-PaaS-connectiviteit met exfiltratiebesturingselementen voor gegevens op perimeterniveau.

Voorbeeld van implementatie

Een organisatie moest de backend-database en opslagbronnen beveiligen en tegelijkertijd toegang vanuit applicatieservices mogelijk maken zonder de resources bloot te stellen aan het openbare internet.

Uitdaging: De organisatie had Azure SQL Database- en Azure Storage-accounts met standaard openbare eindpunten, waardoor ze toegankelijk zijn via internet en aanzienlijke risico's voor gegevensexfiltratie tot stand brengen. Toepassingsservices zijn geïmplementeerd met openbare IP-adressen en ontbreken VNet-integratie, waardoor toegangsbeheer op basis van een privénetwerk wordt voorkomen. Firewalls op serviceniveau zijn niet geconfigureerd, waardoor onbeperkte toegang vanaf elke bron mogelijk is nadat de verificatie is geslaagd.

Oplossingsbenadering:

• Private Link-eindpunten voor PaaS-services:Geïmplementeerde privé-eindpunten voor Azure SQL Database (toegewezen privé-IP 10.0.2.4) en Een Azure Storage-account (toegewezen privé-IP 10.0.2.5) binnen een toegewezen subnet van een privé-eindpunt (10.0.2.0/24), waardoor verkeer wordt gerouteerd via het Backbone-netwerk van Azure zonder blootstelling aan internet.
• Privé-DNS-zones voor naamomzetting: Er zijn azure-privé-DNS-zones gemaakt om openbare DNS-omzetting te overschrijven, zodat FQDN's van toepassingen (bijvoorbeeld mysqldb.database.windows.net, mystorageaccount.blob.core.windows.net) worden omgezet in privé-IP-adressen binnen het VNet in plaats van openbare eindpunten, waardoor naadloze connectiviteit voor toepassingen met behulp van FQDN-toegang wordt gehandhaafd.
• VNet-integratie voor toepassingsservices: Geconfigureerde VNet-integratie voor Azure App Service, het implementeren van de toepassing in een toepassingssubnet (10.0.1.0/24) om directe communicatie met privé-eindpunten mogelijk te maken zonder dat openbare IP-adressen of internetroutering vereist zijn.
• Systeemeigen servicefirewalls: Firewalls op serviceniveau in Azure Storage ingeschakeld om de toegang tot specifieke VNet-subnetten (toepassingssubnet 10.0.1.0/24) en vertrouwde Microsoft-services te beperken, terwijl de toegang tot openbare netwerken op serviceniveau voor Azure SQL Database volledig wordt uitgeschakeld om alleen-privé-connectiviteit af te dwingen.
• NSG-regels voor diepgaande verdediging: Toegepaste NSG-regels op het toepassingssubnet dat uitgaand verkeer alleen toestaat naar het subnet van het privé-eindpunt (10.0.2.0/24) op vereiste poorten (443 voor Opslag, 1433 voor SQL), waarbij toegangsbeheer met minimale bevoegdheden wordt geïmplementeerd dat een aanvulling is op beveiliging op serviceniveau.

Resultaat: De organisatie heeft blootstelling aan openbaar internet voor back-endresources geëlimineerd, waardoor gegevensexfiltratierisico's en kwetsbaarheid voor aanvallen aanzienlijk worden verminderd. Privéconnectiviteit zorgde ervoor dat al het verkeer tussen toepassingen en gegevensservices in het Backbone-netwerk van Azure bleef zonder het openbare internet te doorlopen, terwijl gelaagde besturingselementen (Private Link, DNS-zones, servicefirewalls, NSG's) diepgaande beveiliging bieden die is afgestemd op nulvertrouwensprincipes.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-7(4), SC-7(5), AC-4(21)
• PCI-DSS v4: 1.3.1, 1.3.2, 1.4.2
• CIS-besturingselementen v8.1: 12.4, 12.7
• NIST CSF v2.0: PR. AC-05, PR. DS-05
• ISO 27001:2022: A.8.20, A.8.22
• SOC 2: CC6.1, CC6.6

NS-3: Firewall implementeren aan de rand van het bedrijfsnetwerk

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: NS-3.

Beveiligingsprincipe

Gebruik firewall aan de netwerkrand om geavanceerde filters uit te voeren op netwerkverkeer naar en van externe netwerken, zoals internet, en tussen interne netwerksegmenten.

Firewallbeleid moet minimaal het volgende omvatten:

• Bekende ongeldige IP-adressen en sites blokkeren.
• Beperk protocollen met een hoog risico, zoals protocollen voor extern beheer en intranetprotocollen in edge-netwerken om onbevoegde toegang of laterale verplaatsing te voorkomen.
• Toepassingsregels afdwingen om alleen goedgekeurde externe bestemmingen toe te staan en niet-geautoriseerde of riskante sites te blokkeren.

Risico om te beperken

Kwaadwillende personen misbruiken beveiligingsproblemen die worden blootgesteld aan openbare of niet-vertrouwde netwerken via toegankelijke protocollen, schadelijke domeinen en zwakke netwerkcontroles.

• Onbevoegde toegang via blootgestelde protocollen: Met openbaar toegankelijke protocollen zoals RDP (TCP 3389) of SMB (TCP 445) kunnen aanvallers onbevoegde toegang krijgen, waardoor systeemintegriteit wordt aangetast door aanvallen zoals brute-force of CVE-gerichte aanvallen.
• Malware en phishing via schadelijke domeinen/IP-adressen: Schadelijke domeinen en IP-adressen vergemakkelijken het leveren van malware of phishingcampagnes, waardoor eindpunten en gevoelige gegevens in gevaar worden gebracht door middel van opdrachten en controle of social engineering-aanvallen.
• Gegevensexfiltratie via onbeperkt uitgaand verkeer: Niet-gecontroleerd uitgaand verkeer naar niet-goedgekeurde bestemmingen biedt kwaadwillende gebruikers de mogelijkheid om gevoelige gegevens te exfiltreren, risico's te lopen op schendingen en nalevingsschendingen via verborgen kanalen zoals HTTPS POST's.
• Zijwaartse beweging vanwege slechte segmentatie: Onvoldoende netwerksegmentatie stelt aanvallers in staat intern te bewegen en verkeer tussen segmenten (bijvoorbeeld SMB, Kerberos) te benutten om zich vanuit gecompromitteerde systemen te verspreiden.
• Beveiligingsproblemen van niet-vertrouwde toepassingen/URL's: Toegang tot riskante of niet-vertrouwde URL's en toepassingen verhoogt de blootstelling aan aanvallen, het verhogen van incidentrisico's en niet-naleving van regelgevingsnormen.

MITRE ATT&CK

• Initiële toegang (TA0001): onbevoegde toegang tot protocollen met een hoog risico (bijvoorbeeld RDP/TCP 3389, SSH/TCP 22) of schadelijke domeinen (bijvoorbeeld T1190 - Exploit Public-Facing Application).
• Command and Control (TA0011): malware die verbinding maakt met schadelijke IP-adressen/domeinen (bijvoorbeeld T1071 - Application Layer Protocol).
• Exfiltratie (TA0010): niet-geautoriseerde gegevensoverdrachten via uitgaand verkeer naar niet-goedgekeurde bestemmingen (bijvoorbeeld T1041 - Exfiltratie via C2-kanaal).
• Laterale beweging (TA0008): belemmert interne verplaatsing door niet-gefilterd intersegmentverkeer (bijvoorbeeld SMB/TCP 445, Kerberos/TCP 88) (bijvoorbeeld T1021 - Externe diensten).

NS-3.1 Voorbereiden op implementatie van Azure Firewall

Azure Firewall-implementatie vereist de juiste netwerktopologie die gecentraliseerde verkeersinspectie mogelijk maakt over de netwerkgrenzen. Hub-and-spoke-architecturen positioneren de firewall bij de netwerkkern, waarbij al het spoke-verkeer wordt gerouteerd via een centraal inspectiepunt, terwijl door de gebruiker gedefinieerde routes ervoor zorgen dat de verkeersstroom de beoogde paden volgt. Met deze voorbereiding wordt de basis gelegd voor uitgebreide randbeveiliging en filteren tussen segmenten.

Netwerkinfrastructuur voorbereiden voor Azure Firewall-implementatie:

• Topologie van virtuele hub-/spoke-netwerken instellen: Implementeer Azure Firewall in een hub-VNet om verkeer centraal te beheren en te beveiligen voor workloads van meerdere spoke-VNets die als host fungeren voor toepassingen, waarbij één afdwingingspunt voor netwerkbeveiligingsbeleid wordt gemaakt.

• Deelnemen aan virtuele spoke-netwerken: Gebruik VNet-peering om elk spoke-VNet te verbinden met het hub-VNet waar Azure Firewall is geïmplementeerd, waardoor communicatie tussen spokes via de hub mogelijk is terwijl netwerkisolatie behouden blijft.

• Configureer door de gebruiker gedefinieerde routes (UDR's): Maak routetabellen die netwerkverkeer van spoke-VNets leiden via Azure Firewall in het hubnetwerk, inclusief routes voor uitgaand internetverkeer (0.0.0.0/0) en optioneel voor inter-spoke-verkeer wanneer communicatie tussen spokens inspectie vereist.

NS-3.2 Azure Firewall implementeren met het juiste beleid

Azure Firewall biedt stateful filtering van verkeer op de toepassingslaag met gecentraliseerd beleidsbeheer over bedrijfsnetwerksegmenten. Door netwerkregels, toepassingsregels en bedreigingsinformatie te combineren, inspecteren firewalls verkeersstromen op meerdere lagen terwijl URL-filtering en TLS-inspectie gedetailleerde controle over HTTP/HTTPS-communicatie mogelijk maken. Het juiste beleidsontwerp zorgt voor een balans tussen de beveiligingsvereisten en operationele behoeften door middel van gestructureerde regelhiërarchieën en filteren op basis van categorieën.

Azure Firewall implementeren en configureren met uitgebreid beleid:

• Azure Firewall implementeren in hub-VNet: Implementeer Azure Firewall (Standard- of Premium-laag op basis van functies die nodig zijn) in het hub-VNet, waarbij zowel openbare IP-adressen voor internetverkeer als privé-IP-adressen worden toegewezen voor interne routering vanuit spoke-VNets.

• Firewallbeleid maken met filterregels: Definieer Azure Firewall-beleidsregels met netwerkregels (IP/poortgebaseerd filteren), toepassingsregels (FQDN-filteren) en regels voor bedreigingsinformatie, het ordenen van regels in verzamelingen op basis van beveiligingsvereisten (bijvoorbeeld bedrijfskritieke services toestaan, schadelijke IP-adressen blokkeren, riskante categorieën weigeren).

• URL-filtering configureren voor HTTP/HTTPS-verkeer: Implementeer op FQDN gebaseerde toepassingsregels om specifieke domeinen toe te staan of te weigeren (bijvoorbeeld *.microsoft.com, weigeren *.torrent) en configureer filteren op basis van categorieën om volledige websitecategorieën (bijvoorbeeld Hacking, Social Media) te blokkeren terwijl werkgerelateerde categorieën worden toegestaan.

• TLS-inspectie inschakelen voor geavanceerd filteren: Voor implementaties van premiumlagen schakelt u TLS-inspectie in door certificaten te uploaden naar Azure Key Vault, zodat de firewall HTTPS-verkeer kan ontsleutelen, inspecteren en opnieuw versleutelen voor diepere URL-filtering en detectie van bedreigingen buiten SNI-inspectie.

Voorbeeld van implementatie

Een organisatie met meerdere toepassingsworkloads in verschillende spoke-VNets had gecentraliseerde netwerkbeveiligingsinspectie nodig voor alle aan internet gebonden verkeer en communicatie tussen de verschillende spokes, terwijl toegang tot schadelijke domeinen en ongeautoriseerde websitecategorieën werd voorkomen.

Uitdaging: De organisatie had workloads geïmplementeerd in afzonderlijke spoke-VNets met directe internettoegang, waardoor inconsistent beveiligingsbeleid wordt gemaakt en verkeer niet centraal kan worden gecontroleerd. Elke spoke had zijn eigen NSG-regels, waardoor beleidsafwijkingen en beveiligingslacunes ontstonden. Er was geen zichtbaarheid in uitgaande verbindingen met mogelijk schadelijke domeinen, geen mogelijkheid om riskante websitecategorieën (sociale media, bestandsdeling) en geen inspectie van HTTPS-verkeersinhoud te blokkeren. Interspaakverkeer stroomt vrij zonder inspectie, waardoor potentiële zijwaartse beweging mogelijk is na inbreuk.

Oplossingsbenadering:

• Hub-and-spoke-topologie met gecentraliseerde firewall:Azure Firewall Premium geïmplementeerd in een hub-VNet (10.0.0.0/16) met toegewezen AzureFirewallSubnet (10.0.1.0/26, privé-IP-adres van firewall 10.0.1.4), waarmee één afdwingingspunt wordt gemaakt voor alle inspectie van netwerkverkeer en beleidsbeheer.
• VNet-peering voor spoke-connectiviteit:VNet-peering gebruikt om application spoke VNet (10.1.0.0/16) en database spoke VNet (10.2.0.0/16) te verbinden met het hub-VNet, waardoor gecentraliseerde verkeersroutering via de firewall mogelijk is.
• Door de gebruiker gedefinieerde routes voor het sturen van verkeer: Er zijn routetabellen gemaakt in elk spoke-VNet dat al het internetverkeer (0.0.0.0/0) en inter-spoke-verkeer omleidt naar het privé-IP-adres van Azure Firewall (10.0.1.4), waardoor alle uitgaande verbindingen via het centrale inspectiepunt worden afgedwongen.
• Firewallbeleid met filteren op meerdere lagen: Uitgebreide Azure Firewall-beleidsregels met inbegrip van netwerkregels (DNS UDP/53 naar Azure DNS toestaan, standaard alle andere protocollen weigeren), toepassingsregels (bedrijfskritieke FQDN's toestaan, zoals *.microsoft.com, domeinen voor het delen van bestanden weigeren, zoals *.torrent), en regels voor bedreigingsinformatie (bekende schadelijke IP-adressen van Microsoft Defender-bedreigingsfeeds blokkeren).
• URL-filtering en blokkeren op basis van categorieën:FQDN-toepassingsregels geïmplementeerd voor nauwkeurige domeincontrole en categoriegebaseerd filteren om volledige websitecategorieën (Hacking, Social Media, Gambling) te blokkeren terwijl werkgerelateerde categorieën (Business/Economy, Technology/Internet) worden toegestaan, waarbij acceptabel gebruiksbeleid aan de netwerkrand wordt afgedwongen.
• TLS-inspectie voor HTTPS-verkeer:TLS-inspectie ingeschakeld met certificaten die zijn opgeslagen in Azure Key Vault, zodat de firewall HTTPS-verkeer kan ontsleutelen, inspecteren en opnieuw versleutelen voor diepere URL-filtering en detectie van bedreigingen buiten SNI-inspectie, terwijl gevoelige bankdomeinen worden uitgesloten van ontsleuteling per nalevingsvereisten.

Resultaat: De organisatie heeft gecentraliseerde zichtbaarheid en controle over al het internetgebonden en inter-spoke-verkeer ingesteld, waardoor beleidsdrift en beveiligingsblindheidsvlekken worden geëlimineerd. TLS-inspectie maakte de detectie van bedreigingen in versleuteld HTTPS-verkeer mogelijk, terwijl filteren op basis van categorieën de blootstelling aan riskante webinhoud aanzienlijk verminderde. De hub-and-spoke-architectuur biedt een schaalbare, consistente beveiligingspostuur voor alle workloads met geïntegreerd beleidsbeheer en uitgebreide bedreigingsbeveiliging.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-7, SC-7(5), AC-4, SI-4(4)
• PCI-DSS v4: 1.2.1, 1.3.1, 1.4.1, 1.4.2
• CIS-controles v8.1: 9.2, 9.3, 13.1
• NIST CSF v2.0: PR. AC-05, PR. PT-04, DE. CM-01
• ISO 27001:2022: A.8.20, A.8.22
• SOC 2: CC6.1, CC6.6, CC7.2

NS-4: Inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Beveiligingsprincipe

Gebruik inbraakdetectie en inbraakpreventiesystemen (IDS/IPS) om het netwerk- en nettoladingverkeer naar en van uw workload of virtuele netwerken te inspecteren. Zorg ervoor dat IDS/IPS altijd is afgestemd op het bieden van waarschuwingen van hoge kwaliteit voor uw SIEM-oplossing.

Opmerking: Voor uitgebreidere detectie- en preventiemogelijkheden op hostniveau gebruikt u host-based IDS/IPS of een host-based EDR-oplossing (Endpoint Detection and Response) in combinatie met de network IDS/IPS.

Risico om te beperken

Kwaadwillende personen misbruiken beveiligingsproblemen in protocollen, toepassingen en intern verkeer om schadelijke activiteiten uit te voeren.

• Protocolexplots: Beveiligingsproblemen in protocollen zoals RDP (TCP 3389) of HTTP/HTTPS (TCP 80/443) maken onbevoegde toegang of inbreuk op het systeem mogelijk via aanvallen zoals op CVE gerichte aanvallen.
• Command-and-control (C2) communicatie: Kwaadwillende servers krijgen controle over gecompromitteerde apparaten via DNS-query's of IP-gebaseerde callbacks, waardoor aanhoudende exploitatie of verspreiding van malware wordt vergemakkelijkt.
• Toepassingsexplots: Aanvallen zoals SQL-injectie, cross-site scripting (XSS) of bufferoverloop zijn gericht op beveiligingsproblemen van toepassingen om gegevens te stelen of willekeurige code uit te voeren.
• Laterale beweging: Afwijkend intern verkeer, zoals SMB-opsomming (TCP 445) of Kerberos-ticketmisbruik (TCP 88), duidt op aanvallers die zich binnen het netwerk verplaatsen.
• Gegevensexfiltratie: Niet-geautoriseerde gegevensoverdracht vindt plaats via versleutelde kanalen (bijvoorbeeld HTTPS POST's) of uitgaand verkeer met een hoog volume, met behulp van verdoezeling om detectie te omzeilen.

MITRE ATT&CK

• Initiële toegang (TA0001): onbevoegde indringers via aanvallen die gericht zijn op netwerkproblemen (bijvoorbeeld T1190 - Exploit Public-Facing Application).
• Uitvoering (TA0002): uitvoering van schadelijke code uit beveiligingsproblemen of C2-nettoladingen (bijvoorbeeld T1059 - Command and Scripting Interpreter).
• Command and Control (TA0011): malware C2-communicatie door gebruik te maken van DNS-query's of IP-gebaseerde terugkoppelingen (bijvoorbeeld T1071 - Application Layer Protocol).
• Laterale beweging (TA0008): afwijkend intern verkeer (bijvoorbeeld SMB-opsomming) dat wijst op pivoting (bijvoorbeeld T1021 - Externe diensten).
• Exfiltratie (TA0010): niet-geautoriseerde gegevensoverdrachten via versleutelde of verborgen kanalen (bijvoorbeeld T1041 - Exfiltratie via C2-kanaal).

NS-4.1 Azure Firewall Premium implementeren voor IDPS

Inbraakdetectie- en preventiesystemen bieden op handtekeningen gebaseerde bedreigingsidentificatie door netwerkverkeerspatronen te vergelijken met bekende aanvalshandtekeningen, waardoor aanvallen en schadelijke communicatie in realtime worden geblokkeerd. De IDPS-mogelijkheid van Azure Firewall Premium biedt continu bijgewerkte handtekeningbibliotheken met betrekking tot aanvallen, malware, opdracht- en controle- en phishingcategorieën, en biedt ondersteuning voor zowel waarschuwings- als preventiemodi. De juiste selectie en optimalisatie van handtekeningen zorgt voor hoogwaardige detectie en minimaliseert valse positieven.

IDPS implementeren en configureren via Azure Firewall Premium:

• Azure Firewall Premium implementeren: Implementeer Azure Firewall Premium met Premium Policy in uw hub-VNet om IDPS-mogelijkheden in te schakelen naast andere geavanceerde functies, zoals TLS-inspectie en URL-filtering.

• Selecteer IDPS-handtekeningregels: Kies IDPS-handtekeningregels uit de handtekeningbibliotheek op basis van bedreigingsprioriteiten, te beginnen met handtekeningen met hoge urgentie in kritieke categorieën, zoals 'Malware', 'Exploits' en 'Phishing' die overeenkomen met het bedreigingsprofiel en de risicotolerantie van uw organisatie.

• IDPS-modus configureren: Stel de IDPS-modus in eerste instantie in op waarschuwingsmodus voor testen en afstemmen om handtekeningovereenkomsten te observeren zonder verkeer te blokkeren, en ga vervolgens over naar de modus Waarschuwing en Weigeren voor productieomgevingen om gedetecteerde bedreigingen actief te voorkomen terwijl waarschuwingen voor beveiligingsbewaking worden gehandhaafd.

• Handtekeningen verfijnen: Pas afzonderlijke handtekeningregels aan op basis van operationele ervaring, het uitschakelen of verlagen van de prioriteit van handtekeningen die overmatige fout-positieven genereren, terwijl handtekeningen met hoge prioriteit actief blijven, waarbij de signaal-naar-ruisverhouding voor beveiligingsteams wordt geoptimaliseerd.

Voorbeeld van implementatie

Een organisatie die kritieke infrastructuur moet beschermen tegen bekende aanvallen en zero-day-aanvallen, terwijl de zichtbaarheid van bedreigingsactiviteiten behouden blijft zonder legitieme bedrijfsactiviteiten te verstoren.

Uitdaging: De organisatie heeft een webtoepassing met meerdere lagen uitgevoerd die financiële transacties verwerkt zonder detectie van bedreigingen op basis van handtekeningen, buiten de basisfirewallregels. Beveiligingsteams hadden geen inzicht in misbruikpogingen die gericht zijn op toepassingsservers, hadden geen mogelijkheid om communicatie tussen opdrachten en controle te detecteren en ondervonden fout-positieve waarschuwingen van algemene IDS-oplossingen waarvoor uitgebreide afstemming is vereist.

Solution:

• Azure Firewall Premium met IDPS:Azure Firewall Premium geïmplementeerd in hub-VNet, waardoor IDPS-mogelijkheden worden ingeschakeld naast TLS-inspectie en URL-filtering, waardoor gecentraliseerde detectie van bedreigingen op basis van handtekeningen wordt ingesteld voor al het spoke-VNet-verkeer.

• Selectie van handtekeningregel: Geselecteerde IDPS-handtekeningen met hoge urgentie uit kritieke categorieën, waaronder Malware (Cobalt Strike, Metasploit, ransomware C2), Exploits (PaperCut CVE-2023-27350, Log4Shell, ProxyShell), Phishing (referentieverzameling) en Command-and-Control-patronen.

• Waarschuwingsmodus en afstemming: Geconfigureerde IDPS in de waarschuwingsmodus voor eerste tests om handtekeningmatches te observeren zonder verkeer te blokkeren, waarschuwingen te analyseren om fout-positieven te identificeren van legitieme DevOps-tools en partner-API-aanroepen, en vervolgens handtekeninguitzonderingen voor bekende goede scenario's gemaakt terwijl CVE-handtekeningen met hoge prioriteit actief blijven.

• Overgang van preventiemodus: IPS is overgezet naar de waarschuwings- en weigeringsmodus voor productie na validatie, waardoor gedetecteerde bedreigingen, waaronder PaperCut-exploitatiepogingen, Log4Shell-aanvallen en C2-communicatie actief worden geblokkeerd.

• Sentinel-integratie: Geconfigureerde diagnostische logboeken voor Log Analytics, maakten Sentinel-analyseregels die IDPS-detecties correleren met verificatiegebeurtenissen en hebben het maken van geautomatiseerde incidenten ingesteld voor waarschuwingen met hoge ernst.

Resultaat: Misbruikpogingen zijn geblokkeerd waardoor uitvoering van externe code niet mogelijk is. Kritieke kwetsbaarheidsexploitatie werd geëlimineerd voordat compromittering plaatsvond. Vals-positieve percentages daalden aanzienlijk, terwijl behoud van uitgebreide CVE-dekking werd gewaarborgd. Beveiligingsteams hebben snelle alarmeringsbeoordeling en incidentrespons bereikt, waardoor continue zichtbaarheid van bedreigingen wordt vastgesteld met actiegerichte intelligentie voor proactieve verdediging.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SI-4, SI-4(4), SI-4(5), SC-7(5)
• PCI-DSS v4: 11.4.1, 11.4.2, 1.4.1
• CIS Controls v8.1: 13.2, 13.6, 13.7
• NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. CM-07
• ISO 27001:2022: A.8.16, A.8.22, A.5.24
• SOC 2: CC6.1, CC7.2

NS-5: DDOS-beveiliging implementeren

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: NS-5.

Beveiligingsprincipe

Implementeer DDoS-beveiliging in verschillende lagen om aanvallen die gericht zijn op verschillende services en protocollen effectief te beperken op zowel de netwerk- als toepassingslagen.

Risico om te beperken

Bedreigingsactoren vallen netwerken, servers of toepassingen aan met behulp van overweldigend schadelijk verkeer om serviceonderbreking te veroorzaken.

• Volumetrische aanvallen (netwerkoverstroom): Aanvallers overspoelen netwerkinterfaces met enorme verkeersvolumes (bijvoorbeeld miljoenen pakketten per seconde) om de bandbreedte, routerverwerkingscapaciteit of load balancer-resources uit te putten, waardoor de service niet beschikbaar is. Voorbeelden hiervan zijn UDP-overstromingen, ICMP-overstromingen of versterkte DNS-reflectieaanvallen die gebruikmaken van protocollen zoals NTP of SSDP.
• Protocolaanvallen (statusuitputting): Aanvallers maken gebruik van beveiligingsproblemen in het Laag 3/4-protocol om stateful resources, zoals TCP-verbindingstabellen of firewallsessie-statussen, uit te putten. Veelvoorkomende technieken zijn TCP SYN-overstromingen, die servers overbelasten met halfopen verbindingen of ACK-overstromingen die gericht zijn op stateful apparaten.
• Aanvallen op resourcelagen (overbelasting van toepassingen): Beperkte laag 7-aanvallen, zoals HTTP GET/POST-overstromingen, doeltoepassingsbronnen (bijvoorbeeld CPU-, geheugen- of databaseverbindingen) om webservers of API's te overbelasten. Deze aanvallen zijn gericht op het uitputten van rekenresources, waardoor latentiepieken of storingen ontstaan.
• Amplificatieaanvallen: Aanvallers misbruiken onjuist geconfigureerde servers (bijvoorbeeld DNS-, NTP- of Plex Media-servers op UDP 32414) om verkeer te versterken, kleine query's te verzenden die grote reacties genereren die gericht zijn op het doel, overweldigende netwerkcapaciteit. Voorbeelden hiervan zijn DNS-amplification of SSDP-reflectieaanvallen.

MITRE ATT&CK

• Impact (TA0040): verstoort de beschikbaarheid van de service door volumetrische overstromingen (bijvoorbeeld UDP/ICMP) of overbelasting van resources (bijvoorbeeld HTTP-overstromingen) om toegang te weigeren (bijvoorbeeld T1498 - Network Denial of Service).
• Resource Ontwikkeling (TA0042): maakt gebruik van gecompromitteerde systemen voor amplificatie-aanvallen (bijvoorbeeld DNS/NTP-reflectie) om de impact van aanvallen te vergroten (bijvoorbeeld T1584 - Compromise Infrastructure).

NS-5.1 DDOS-beveiliging implementeren in de juiste netwerklaag

Implementeer DDoS-beveiliging op zowel netwerk- als toepassingslagen om te beschermen tegen volumetrische en toepassingsspecifieke aanvallen. Azure biedt meerdere beveiligingslagen: DDoS-netwerkbeveiliging voor uitgebreide VNet-dekking met ondersteuning voor snelle reacties, DDoS IP Protection voor rendabele beveiliging van afzonderlijke IP-adressen en bescherming van toepassingslagen via WAF. Configureer bewaking en waarschuwingen om de effectiviteit van de beveiliging te valideren en toepassingstolerantie te garanderen tijdens aanvallen:

• DDoS-beveiliging op de netwerklaag implementeren: Kies tussen DDoS-netwerkbeveiliging voor workloadimplementaties waarvoor uitgebreide VNet-dekking en snelle responsondersteuning is vereist voor aanvalsonderzoek en analyse na aanvallen, of DDoS IP Protection voor kosteneffectieve beveiliging van een beperkt aantal IP-adressen zonder snelle responsondersteuning.

• DDoS-beveiliging op de toepassingslaag implementeren: Schakel DDoS-beveiliging in op Azure Web Application Firewall (WAF), Application Gateway of Azure Front Door om bescherming te bieden tegen aanvallen op de toepassingslaag (Laag 7).

• Bewaking en waarschuwingen configureren: Configureer waarschuwingen en bewaak metrische gegevens en logboeken van de DDoS-beveiligingsservice en uw toepassingen om de effectiviteit, toepassingstolerantie en gewenste prestaties tijdens en na aanvallen te garanderen.

Voorbeeld van implementatie

Een e-commerceorganisatie had uitgebreide DDoS-beveiliging nodig voor klantgerichte toepassingen met toenemende volumetrische en aanvalspogingen op de toepassingslaag tijdens piekmomenten.

Uitdaging: De organisatie heeft een wereldwijd e-commerceplatform beheerd met openbare webtoepassingen, API's en infrastructuur voor contentlevering die beschikbaar is voor internet. Tijdens piekgebeurtenissen heeft het platform meerdere DDoS-aanvallen ervaren, waaronder UDP-overstromingen, TCP SYN-overstromingen die de load balancer-verbindingstabellen uitputten, HTTP-overstromingen gericht op uitcheck-API's en DNS-amplificatieaanvallen. Zonder toegewezen DDoS-beveiliging hebben deze aanvallen servicestoringen veroorzaakt, wat resulteert in verlies van omzet en ontevredenheid van klanten.

Solution:

• DDoS-netwerkbeveiliging:Azure DDoS-netwerkbeveiliging ingeschakeld op virtuele productienetwerken die klantgerichte toepassingen hosten en uitgebreide VNet-beveiliging bieden met adaptieve afstemming, automatische aanvalsdetectie op laag 3 en 4 en realtime risicobeperking.

• Beveiliging van toepassingslagen:Azure Application Gateway geïmplementeerd met WAF voor regionale toepassingen en Azure Front Door met WAF voor wereldwijde edge-levering, waardoor Laag 7 DDoS-beveiliging mogelijk is met snelheidsbeperking, HTTP-overstromingsdetectie en botbeveiligingsregels.

• Configuratie van beveiligingsbeleid: Er is een DDoS-beveiligingsplan gemaakt voor het koppelen van alle productie-VNets, geconfigureerde adaptieve afstemmingsbasislijnverkeerspatronen, ingeschakelde always-on-verkeersbewaking en gedefinieerd beveiligingsbeleid voor UDP-overstromingen, TCP SYN-overstromingen, ICMP-overstromingen en protocolaanvallen.

• Bewaking en waarschuwingen: Geconfigureerd diagnostische DDoS-logboeken voor het verzenden van aanvalstelemetrie naar de Log Analytics-werkruimte, maakten Azure Monitor-waarschuwingen die directe meldingen activeren wanneer aanvallen zijn gedetecteerd, Gevestigde een Sentinel-werkmap die DDoS-aanvallen correleert met prestatiegegevens van de toepassing en geconfigureerd Application Insights voor het bewaken van de status van de toepassing tijdens mitigatie.

• Snelle responsbetrokkenheid:Geactiveerde DDoS Rapid Response biedt directe toegang tot DDoS-beveiligingsexperts tijdens actieve aanvallen voor realtime aanvalsanalyse, ontwikkeling van aangepaste risicobeperkingsstrategie en forensische post-aanval.

Resultaat: DDoS-aanvallen tijdens het piekwinkelseizoen zijn opgelost met nul serviceonderbrekingen. Volumetrische overstromingen, SYN-overstromingen en HTTP-overstromingen werden automatisch geblokkeerd, met behoud van de beschikbaarheid van het platform. Rapid Response heeft een deskundige analyse gegeven voor geavanceerde aanvallen. Kritieke winkelperioden behielden hoge uptime zonder latentie van klanttransacties tijdens het mitigeren.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-5, SC-5(1), SC-5(2), SI-4(4)
• PCI-DSS v4: 6.4.2, 11.4.7
• CIS Controls v8.1: 13.3
• NIST CSF v2.0: PR. PT-05, DE. CM-01
• ISO 27001:2022: A.8.13, A.8.24
• SOC 2: CC6.1, CC7.2

NS-6: Web Application Firewall implementeren

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: NS-6.

Beveiligingsprincipe

Implementeer een Web Application Firewall (WAF) en configureer regels om webtoepassingen en API's te beveiligen tegen toepassingsspecifieke aanvallen door schadelijk HTTP/HTTPS-verkeer te inspecteren, te detecteren en te filteren.

Risico om te beperken

Aanvallers misbruiken beveiligingsproblemen in webtoepassingen om onbevoegde toegang te krijgen, schadelijke code uit te voeren, referenties te stelen of gegevens te exfiltreren.

• Injectieaanvallen (bijvoorbeeld SQL-injectie, opdrachtinjectie): Aanvallers misbruiken beveiligingsproblemen met invoervalidatie om schadelijke code in webtoepassingsquery's of -opdrachten te injecteren, onbevoegde databasetoegang, gegevensexfiltratie of systeeminbreuk mogelijk te maken. SQL-injectie (SQLi) bewerkt back-endquery's (bijvoorbeeld het toevoegen van ' OR '1'='1 aan een aanmeldingsformulier), terwijl opdrachtinjectie willekeurige os-opdrachten uitvoert (bijvoorbeeld ; rm -rf / via een formulierveld).
• Schendingen van HTTP-protocollen en onjuiste aanvragen: Aanvallers verzenden ongeldige HTTP-aanvragen (bijvoorbeeld ongeldige headers, oversized nettoladingen of niet-standaardmethoden zoals TRACE) om misbruik te maken van beveiligingsproblemen in webservers of toepassingen, wat mogelijk crashes of onbevoegde toegang veroorzaakt. Deze aanvallen richten zich op onjuist geconfigureerde servers of niet-gepatchte frameworks.
• Botgestuurde aanvallen (bijvoorbeeld referentiestuffing, scraping): Geautomatiseerde bots starten aanvallen voor referentiestuffing (bijvoorbeeld brute force op inlog-eindpunten met gestolen referenties) of scrapen gevoelige inhoud (bijvoorbeeld prijsgegevens), waardoor ze servers belasten of gebruikersaccounts in gevaar brengen. Deze aanvallen misbruiken zwakke verificatie of niet-beveiligde API's.
• Toepassingsspecifieke aanvallen (bijvoorbeeld externe bestandsopname, lokale bestandsopname): Aanvallers misbruiken beveiligingsproblemen om schadelijke bestanden op te nemen (bijvoorbeeld 'http://evil.com/shell.php') of toegang tot lokale serverbestanden (bijvoorbeeld .. /.. /etc/passwd) via gemanipuleerde URL-parameters of formulierinvoer, waardoor code-uitvoering of gegevensblootstelling mogelijk is.

MITRE ATT&CK

• Eerste toegang (TA0001): Exploiteert SQL-injectie, XSS of externe bestandsopname om vermelding te verkrijgen (bijvoorbeeld T1190 - Exploit Public-Facing Application).
• Uitvoering (TA0002): Voert schadelijke code uit via opdrachtinjectie, RFI of XSS (bijvoorbeeld T1059 - Command and Scripting Interpreter).
• Toegang tot referenties (TA0006): Verkrijgt referenties via XSS of misbruik van inloggegevens (bijvoorbeeld T1539 - Websessiecookie stelen, T1110 - Brute Force).
• Verzameling (TA0009): Verzamelt gegevens via SQL-injectie of -scraping (bijvoorbeeld T1213 - Gegevens uit informatieopslagplaatsen).

NS-6.1 Azure WAF configureren met de juiste regels

Schakel WAF-mogelijkheden (Web Application Firewall) in in Azure Application Gateway, Azure Front Door of Azure Content Delivery Network (CDN) om toepassingen en API's te beveiligen tegen aanvallen op internet. Selecteer de juiste service op basis van toepassingsvereisten, configureer WAF-beleid met ingebouwde en aangepaste regels, stel de beleidsmodus in op basis van de beveiligingspostuur en koppel het beleid aan het service-eindpunt:

• Selecteer de juiste WAF-service: Kies Azure Application Gateway voor door VNet gehoste toepassingen, Azure Front Door voor wereldwijde edge-levering of Azure CDN voor workloads met veel inhoud op basis van toepassingsvereisten en architectuur.

• WAF-beleid configureren met ingebouwde en aangepaste regels: Begin met algemene ingebouwde regelsets, zoals OWASP Core Rule Set (CRS 3.2) en regels voor botbeveiliging (Microsoft Bot Manager). Voeg aangepaste regels (bijvoorbeeld frequentiebeperking voor >100 aanvragen/min) en uitsluitingen toe om fout-positieven te verminderen op basis van bedreigingslandschap en toepassingsbeveiligingsprofiel.

• WAF-beleidsmodus instellen: Gebruik de detectiemodus in eerste instantie of voor niet-kritieke toepassingen om te voorkomen dat legitiem verkeer wordt onderbroken tijdens het instellen en optimaliseren van regels. Schakel over naar de preventiemodus voor kritieke toepassingen zodra regels zijn gevalideerd om schadelijke aanvragen te blokkeren.

• WAF-beleid koppelen aan service-eindpunt: Koppel het WAF-beleid aan het Application Gateway-, Front Door- of CDN-eindpunt om ervoor te zorgen dat al het HTTP/HTTPS-verkeer wordt gerouteerd via WAF voor inspectie.

Voorbeeld van implementatie

Een organisatie diende klantgerichte webtoepassingen en API's te beveiligen tegen SQL-injectie, XSS-aanvallen en botgestuurde credential stuffing-aanvallen, terwijl de prestaties voor legitieme gebruikers behouden worden.

Uitdaging: De organisatie had webtoepassingen wereldwijd geïmplementeerd zonder bescherming tegen OWASP Top 10-beveiligingsproblemen, wat resulteerde in meerdere SQL-injectiepogingen, botgestuurde aanvallen die overweldigende aanmeldingseindpunten bevatten en geen inzicht in schadelijke verkeerspatronen. Toepassingen ontbraken ratelimiting-controles, waardoor API-misbruik en credential stuffing-aanvallen mogelijk waren, en er was geen mechanisme om legitieme gebruikers te onderscheiden van kwaadaardige bots.

Oplossingsbenadering:

• WAF-serviceselectie:Azure Application Gateway geïmplementeerd met WAF voor door VNet gehoste toepassingen en Azure Front Door met WAF voor wereldwijd gedistribueerde toepassingen waarvoor edge-beveiliging en toegang met lage latentie zijn vereist.
• Ingebouwde beveiligingsregelsets:OWASP Core Rule Set (CRS) 3.2 ingeschakeld om te beschermen tegen SQL-injectie, XSS (cross-site scripting), externe bestandsopname en andere veelvoorkomende webproblemen en geactiveerde Microsoft Bot Manager-regels om schadelijke bots te identificeren en te blokkeren, terwijl legitieme zoekprogrammacrawlers en bewakingsservices worden toegestaan.
• Aangepaste regels voor specifieke bedreigingen: Geïmplementeerde regels voor snelheidsbeperking die clients meer dan 100 aanvragen per minuut blokkeren om API-misbruik en referentie-spul te voorkomen, geografische filterregels die verkeer blokkeren vanuit regio's met een hoog risico waarbij services niet beschikbaar zijn, en IP-reputatieregels die aanvragen blokkeren van bekende schadelijke IP-bereiken die worden geïdentificeerd via feeds voor bedreigingsinformatie.
• Uitsluitingsbeheer: Doeluitsluitingen gemaakt voor legitieme bedrijfsscenario's zoals /checkout-eindpunten met complexe formuliervelden die fout-positieven in OWASP-regels activeren, /eindpunten voor het uploaden die grote bestandsinzendingen verwerken, en /api-eindpunten met ongebruikelijke maar geldige headerpatronen van mobiele applicaties.
• Overgang van detectie naar preventie: WAF werd gedurende twee weken in de detectiemodus gestart om fout-positieven te identificeren, regels en uitsluitingen te verfijnen op basis van legitieme verkeerspatronen, en werd vervolgens overgezet naar de preventiemodus voor productieapplicaties om bedreigingen actief te blokkeren, terwijl de bedrijfscontinuïteit gewaarborgd blijft.

Resultaat: De organisatie heeft SQL-injectie en XSS-exploitatiepogingen geëlimineerd, aanzienlijk minder botgestuurde aanvallen via regels voor botbeheer en een uitgebreide zichtbaarheid van bedreigingen voor webtoepassingen. Beperkingsmaatregelen voorkwamen misbruik van API's en credential stuffing, terwijl de stapsgewijze overgang van detectie naar preventiemodus ervoor zorgde dat legitieme gebruikers geen serviceonderbreking ervaarden.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-7, SC-7(5), SI-10, SI-10(1), SI-11
• PCI-DSS v4: 6.4.1, 6.4.2, 11.4.7
• CIS-maatregelen v8.1: 13.2, 13.9
• NIST CSF v2.0: PR. AC-05, PR. PT-05, DE. CM-04
• ISO 27001:2022: A.8.20, A.8.22, A.8.25
• SOC 2: CC6.1, CC6.6, CC7.2

NS-7: Netwerkbeveiliging centraal en effectief beheren

Beveiligingsprincipe

Als u operationele risico's en onjuiste configuratie in complexe en gefragmenteerde netwerkomgevingen wilt verminderen, gebruikt u cloudeigen netwerkbeheerfuncties om consistente netwerkbeveiligingsconfiguraties te centraliseren, te vereenvoudigen en af te dwingen.

Risico om te beperken

Het ontbreken van gecentraliseerd beheer leidt tot over het hoofd gezien of verouderde beveiligingsinstellingen, waardoor het risico op misbruik toeneemt.

• Inconsistent afdwingen van beleid en onjuiste configuraties: Gedecentraliseerd beheer leidt vaak tot gefragmenteerde regelsets en beleids hiaten, waardoor aanvallers zwakke punten gemakkelijker kunnen detecteren en misbruiken. Onjuiste configuraties zijn waarschijnlijker, waardoor de kans op onbedoelde blootstelling of onbedoelde toegang toeneemt.
• Beperkte zichtbaarheid en vertraagde reactie: Zonder een uniforme beheerbenadering worden bewaking en incidentrespons langzamer en minder effectief. Dit kan de detectie van schadelijke activiteiten vertragen, waardoor aanvallers meer tijd hebben om aanvallen te escaleren of gegevens te exfiltreren.
• Problemen met het handhaven van naleving: Onvoldoende centraal beheer bemoeilijkt de inspanningen om consistent te voldoen aan regelgevings- en industrienormen, risico's voor niet-naleving en potentiële sancties.

MITRE ATT&CK

• Eerste toegang (TA0001): Misbruik van onjuiste configuraties of verouderde beveiligingsinstellingen om onbevoegde toegang te krijgen (bijvoorbeeld T1190 - Exploit Public-Facing Application, T1133 - External Remote Services).
• Defense Evasion (TA0005): Profiteren van gefragmenteerde regelgevingen en gebrek aan gecentraliseerde bewaking om detectie te voorkomen (bijvoorbeeld T1562 - Verdedigingsverzwakking).
• Laterale beweging (TA0008): Lateraal door het netwerk gaan door gebruik te maken van beleids hiaten of verouderde segmentatie (bijvoorbeeld T1021 - Externe services).
• Opdracht en beheer (TA0011): Het gebruik van niet-bewaakte of onjuist geconfigureerde netwerkpaden voor het tot stand brengen en onderhouden van C2-kanalen (bijvoorbeeld T1071 - Application Layer Protocol).

NS-7.1 Netwerkbeveiliging centraal en effectief beheren

Gebruik de gecentraliseerde hulpprogramma's en gestandaardiseerde procedures van Azure om netwerkbeveiligingsbeheer te vereenvoudigen en te schalen, consistente afdwinging, verminderde onjuiste configuratie en verbeterde bewaking. Gecentraliseerde beleidsafdwinging implementeren, firewall- en routeringsbeheer standaardiseren, uitgebreide bewaking en analyses inschakelen en resourceconsistentie onderhouden via governanceprocedures:

• Gecentraliseerde beleidsafdwinging implementeren: Gebruik Azure Virtual Network Manager (AVNM) om beveiligingsbeheerdersregels te definiëren die consistent van toepassing zijn op abonnementen en regio's. Behoud NSG's voor microsegmentatie op workload-niveau. Beleid toepassen via netwerkgroepen (bijvoorbeeld per omgeving: prod, niet-prod).

• Firewall- en routeringsbeheer standaardiseren: Azure Firewall-regels beheren via Firewall Manager met firewallbeleidsobjecten. Standaardiseren op IP-groepen en servicetags in plaats van onbewerkte IP-adressen. Gebruik Azure Firewall Premium waarbij TLS-inspectie, IDPS en URL-filtering vereist zijn. Geef de voorkeur aan virtuele WAN-beveiligde hubs of een gedeelde hub-en-spoke-topologie om de routeringsintentie consistent af te dwingen.

• Uitgebreide bewaking en analyse inschakelen: Gebruik virtuele netwerkstroomlogboeken v2 (om NSG-stroomlogboeken te vervangen). Schakel diagnostische logboeken van Azure Firewall in en integreer met Traffic Analytics, Log Analytics en Microsoft Sentinel. Gebruik Firewall Policy Analytics en regeltreffers om ongebruikte of dubbele regels te elimineren.

• Resourceconsistentie en -governance behouden: Pas CAF-naamconventies en verplichte resourcetags toe op alle VNets, NSG's, firewallregels en groepen. Gebruik de Adaptieve Netwerkverharding van Defender voor Cloud om te toegeeflijke regels te verfijnen.

Voorbeeld van implementatie

Use case: Het betalingsplatform voor meerdere regio's consolideert netwerkbeveiliging op schaal

Context: Een middelgrote betalingsverwerker die in VS - oost en Europa - west werkt met 4 abonnementen (Prod, Niet-Prod, Gedeelde services, SecOps) onder één tenant heeft PCI-DSS segmentatie nodig, minder incidenten van regeldrift en gecentraliseerde bewaking.

Gecentraliseerde beleidsafdwinging met Azure Virtual Network Manager:

• Ontwerp: Maak AVNM op het niveau van de beheergroep. Definieer twee netwerkgroepen: ng-prod en ng-nonprod met dynamisch lidmaatschap per subscriptionId-tag. Opstellen van beveiligingsbeheerdersregels (SAR's) om organisatorische richtlijnen af te dwingen die worden geëvalueerd vóór Netwerkbeveiligingsgroepen (NSG's): Deny-Inbound-Internet-to-Spokes (blokkeert ongevraagd inkomend verkeer van het internet naar alle spoke-subnetten), Toestaan-Hub-Infra (staat hubservices - Firewall/Bastion - naar spoke toe), Toestaan-Platform-DNS (staat DNS van hub-resolvers naar spoke toe).
• Grenzen van app-team: Workloads behouden NSG's voor microsegmentatie (bijvoorbeeld web-naar-API :443, API naar db :1433) binnen elke spoke. NSG-wijzigingen zijn eigendom van app-teams; SAR's zijn eigendom van het platformbeveiligingsteam.
• Resultaat: Beveiligingsmaatregelen zijn consistent op beide regio's; app-teams kunnen niet per ongeluk directe internettoegang creëren, zelfs niet als een NSG onjuist is geconfigureerd.

Firewall- en routeringsbeheer met Firewall Manager en Virtual WAN:

• Ontwerpen: Implementeer virtuele WAN-beveiligde hubs in elke regio (VS - oost, Europa - west). Koppel spokes aan de dichtstbijzijnde hub en schakel routeringsintentie in, zodat alle internetuitgangen worden gecontroleerd. Gebruik Firewall Manager met een wereldwijd firewallbeleid (laag: Premium) en twee onderliggende beleidsregels (Prod/Niet-Prod) voor aanpassingen van de omgeving.
• Beleidsstructuur: Basisbeleid (globaal) omvat bedreigingsinformatie die is ingesteld op Waarschuwing + Weigeren, TLS-inspectie ingeschakeld voor uitgaande HTTPS, IDPS op in evenwichtige modus en uitgaande regels voor toestaan met behulp van servicetags (opslag, KeyVault, AzureMonitor) en IP-groepen voor partnereindpunten. Het prod kinderbeleid beschikt over strengere URL-filtering (niet-gecategoriseerd blokkeren) en een toegestane lijst voor betalingsgateways via IP-groepen. Het Niet-Prod-kindbeleid heeft bredere toegang tot ontwikkeltools via Service Tags (AzureDevOps, AzureContainerRegistry).
• Resultaat: Eén deelvenster voor het beheren van regels met wijzigingen die worden doorgegeven aan beide hubs. Routering is consistent en alle uitgaand verkeer wordt geïnspecteerd met TLS-ontsleuteling, indien toegestaan.

Bewaking en analyse met Stroomlogboeken v2 en Sentinel:

• Installatie van telemetrie: Schakel Virtual Network Flow Logs v2 in op alle VNets en verzend naar een centrale Log Analytics-werkruimte in het SecOps-abonnement. Configureer diagnostische logboeken van Azure Firewall (Toepassing, Netwerk, DNS, ThreatIntel, IDPS) naar dezelfde werkruimte. Schakel Traffic Analytics in voor de werkruimte.
• Optimalisatielus: Schakel Firewall Policy Analytics in en controleer de regeltreffers maandelijks. Maak een Sentinel-werkmap die verkeerslogboeken correleert (noord-zuid en oost-west), toegestane/afgewezen firewall-treffers en geactiveerde IDPS-handtekeningen. Automatiseer een wijzigingsaanvraag als een regel 45 dagen lang 0 treffers heeft (kandidaat voor verwijdering) of als een afwijsregel door een productiesubnet geraakt wordt (mogelijke onjuiste route).
• Resultaat: Na twee beoordelingscycli worden 18% firewallregels en 22 verouderde NSG-regels verwijderd, waardoor de latentie van de regelevaluatie en het wijzigingsrisico worden verminderd.

Resourceconsistentie en -governance met CAF en Defender for Cloud:

• Normen: CAF-naamgeving toepassen (bijvoorbeeld vnet-prd-eus-01, nsg-prd-eus-web-01, azfw-policy-global-01) en verplichte tags: env, owner, dataClass, costCenter.
• Handhaving: Gebruik Azure Policy-initiatieven om NSG op elk subnet te vereisen, diagnostische instellingen op VNets en Firewall te vereisen voor de centrale LA-werkruimte en het maken ervan te weigeren zonder verplichte tags. Schakel Defender for Cloud - Adaptieve netwerkbeveiliging in op alle spokes met wekelijkse actie-items die in SecOps CAB zijn gecontroleerd.
• Resultaat: Platformdrift wordt snel zichtbaar; te permissieve regels worden aangescherpt met behulp van de gegevensgestuurde aanbevelingen van Defender.

Implementatievolgorde en acceptatiecriteria:

• Zet vWAN secure hubs op, voeg spokes toe, stel routeringsintentie in (alleen voor test-spokes). Acceptatiecriteria: uitgaand verkeer van pilootspokes via de firewall; geen openbare IP-adressen rechtstreeks bereikbaar.
• Implementeer AVNM SARs in ng-nonprod, controleer geen onderbreking en vervolgens op ng-prod. Acceptatiecriteria: synthetische tests bevestigen dat hubservices (DNS/Bastion) nog steeds spokes bereiken; binnenkomend internet is nog steeds geweigerd.
• VNet-flowlogs v2 en alle firewall-diagnostieken inschakelen; Sentinel-werkboek implementeren. Acceptatiecriteria: dashboards tonen stromen, weigeringen, en IDPS-treffers per regio.
• Beleidsinitiatieven toepassen; niet-conforme items herstellen; adaptieve verharding inschakelen. Acceptatiecriteria: Naleving bereikt 95%, achterstand van NSG/firewallverscherpingsitems die zijn gemaakt.
• First Policy Analytics review; ongebruikte regels verwijderen via het wijzigingsvenster. Acceptatiecriteria: het aantal regels is met 15% verminderd met nul impact op de klant.

Voorbeelden van operationeel runbook:

• Azure Virtual Network Manager SARs: Binnenkomende internet-naar-spokes weigeren (Prioriteit 100), Hub Infra to Spokes toestaan (Prioriteit 200: src 10.0.0.0/16 hubbereiken)
• Structuur van firewallbeleid: azfw-policy-global-01 (Premium) met regelverzamelingen Allow-Azure-Platform-ST (service-tags) en Allow-Partners-IPs (IP-groepen: ipg-payment-gws), plus kinderbeleidsregels azfw-policy-prd-01 en azfw-policy-npd-01
• Diagnostiek: Bestemming: law-secops-01, Categorieën: AZFWApplicationRule, AZFWNetworkRule, AZFWIDPS, AZFWThreatIntel, AZFWDnsProxy, FlowLogV2

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: CM-2, CM-3, CM-6, CA-7, SI-4
• PCI-DSS v4: 1.4.5, 11.5.1, 12.4.1
• CIS-besturingselementen v8.1: 4.1, 4.2, 12.4, 13.6
• NIST CSF v2.0: PR.IP-01, DE.CM-01, DE.CM-07
• ISO 27001:2022: A.8.9, A.8.32, A.5.37
• SOC 2: CC6.6, CC7.2, CC8.1

NS-8: onveilige services en protocollen detecteren en uitschakelen

Azure Policy: Zie ingebouwde Azure-beleidsdefinities: NS-8.

Beveiligingsprincipe

Onveilige services en protocollen detecteren en uitschakelen op de laag van het besturingssysteem, de toepassing of het softwarepakket. Compenserende besturingselementen implementeren als het uitschakelen van onveilige services en protocollen niet mogelijk is.

Risico om te beperken

Bedreigingsactoren misbruiken onveilige en kwetsbare services en protocollen om systemen en gegevens in gevaar te komen.

• Cryptografische zwakheidsuitbuiting: SSL/TLSv1 en zwakke coderingen (bijvoorbeeld RC4, DES) zijn kwetsbaar voor MITM-aanvallen (bijvoorbeeld POODLE, BEAST), waardoor kwaadwillende personen gevoelige gegevens, zoals sessietokens, kunnen ontsleutelen via padding oracle- of gekozen-coderingsaanvallen.
• Onbevoegde toegang via Protocol Exploits: Beveiligingsproblemen in SSHv1 en SMBv1 (bijvoorbeeld CVE-2001-1473, CVE-2017-0144/EternalBlue) maken het mogelijk om externe code uit te voeren of ongeauthenticeerde toegang te krijgen, waardoor initiële toegangspunten worden gecreëerd.
• Referentiediefstal: LM/NTLMv1 en wDigest slaan zwakke hashes of platte-tekstreferenties op, kwetsbaar voor pass-the-hash-aanvallen of geheugenschrapen (bijvoorbeeld Mimikatz die LSASS-data extraheert).
• Laterale beweging: De niet-versleutelde sessies en exploits van SMBv1 (bijvoorbeeld EternalBlue) maken het doorgeven van malware of referentierelay mogelijk via netwerken.

MITRE ATT&CK

• Eerste toegang (TA0001): Misbruik van onveilige protocollen zoals SSL/TLSv1 of SSHv1, die kwetsbaar zijn voor protocol downgradeaanvallen of bekende aanvallen, waardoor onbevoegde invoer wordt geblokkeerd (bijvoorbeeld T1190 - Exploit Public-Facing Application).
• Referentietoegang (TA0006): Diefstal van referenties door LM/NTLMv1 en wDigest te misbruiken, waarbij referenties worden opgeslagen in omkeerbare indelingen of zwakke hashes, waardoor pass-the-hash- of geheugenschrooting (bijvoorbeeld T1003 - Dumping van besturingssysteemreferenties) wordt gewwart.
• Laterale beweging (TA0008): Remt aanvallers die SMBv1 draaien, die kwetsbaar is voor aanvallen zoals EternalBlue, waardoor doorgifte tussen netwerken wordt voorkomen (bijvoorbeeld T1021 - Externe services).

NS-8.1 Onveilige services en protocollen detecteren en uitschakelen

Gebruik de ingebouwde insecure Protocol Workbook van Microsoft Sentinel om onveilige services en protocollen in uw Azure-omgeving te detecteren en te beperken. Deze werkmap identificeert het gebruik van protocollen en services die niet voldoen aan de juiste beveiligingsstandaarden, zoals SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, zwakke coderingen in Kerberos en niet-ondertekende LDAP-bindingen. Schakel na identificatie deze onveilige protocollen en services uit. Wanneer het uitschakelen niet haalbaar is, implementeert u compenserende besturingselementen om het aanvalsoppervlak te verkleinen.

Onveilige protocollen detecteren: Gebruik de insecure Protocol Workbook van Microsoft Sentinel om het gebruik van SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, zwakke Kerberos-coderingen en niet-ondertekende LDAP-bindingen in uw omgeving te identificeren.

Onveilige services en protocollen uitschakelen: Schakel geïdentificeerde onveilige services en protocollen uit die niet voldoen aan de juiste beveiligingsstandaarden om beveiligingsproblemen te voorkomen.

Compenserende besturingselementen implementeren: Als het uitschakelen van onveilige services of protocollen niet mogelijk is vanwege bedrijfsvereisten of technische beperkingen, gebruikt u compenserende besturingselementen, zoals het blokkeren van de toegang tot resources via netwerkbeveiligingsgroepen, Azure Firewall of Azure Web Application Firewall om de kwetsbaarheid voor aanvallen te verminderen.

Voorbeeld van implementatie

Een gezondheidszorgorganisatie moet onveilige protocollen in hun Azure-omgeving elimineren om te voldoen aan de HIPAA-nalevingsvereisten en het kwetsbaarheid voor aanvallen verminderen voor beveiligde statusinformatie.

Uitdaging: De organisatie heeft een hybride infrastructuur beheerd met verouderde toepassingen die connectiviteit met door Azure gehoste resources vereisen. Bij de beveiligingsevaluatie is het wijdverspreide gebruik van onveilige protocollen aan het licht gekomen, waaronder SSL/TLSv1.0 op webservers die patiëntportals bedienen, SMBv1 ingeschakeld op bestandsservers voor verouderde medische imaging software, LM/NTLMv1-verificatie op domeincontrollers en applicatieservers, wDigest-verificatie die referenties opslaat in omkeerbare indeling, ongeregistreerde LDAP-koppelingen op Active Directory-servers en zwakke Kerberos-versleuteling voor serviceaccounts. De organisatie heeft geen inzicht in protocolgebruik en te maken gehad met mogelijke schendingen van HIPAA-naleving.

Solution:

• Implementatie van Sentinel Insecure Protocol Workbook:Microsoft Sentinel geïmplementeerd en insecure Protocol Workbook geïnstalleerd vanuit de inhoudshub, verbonden gegevensbronnen, waaronder Windows-beveiligingsgebeurtenislogboeken, Azure Monitor-logboeken, Active Directory-logboeken en netwerkstroomlogboeken, waarmee een uitgebreide basislijn voor onveilig protocolgebruik in de hybride omgeving tot stand wordt gebracht.

• Protocoldetectie: Insecure Protocol Workbook gebruikt om SSL/TLSv1.0-gebruik te identificeren op webservers, SMBv1-verkeer van verouderde medische imaging-werkstations, LM/NTLMv1-verificatiepatronen, wDigest ingeschakeld op Windows-servers, niet-ondertekende LDAP-bindingen van verouderde toepassingen en zwakke RC4 Kerberos-versleuteling op serviceaccounts.

• Systematische protocoluitschakeling: Gefaseerd herstelplan gemaakt dat door de wijzigingsadviesraad gevalideerd is, TLSv1.0/1.1 uitgeschakeld op webservers nadat bevestigd was dat gebruikers van de patiëntenportaal moderne browsers gebruikten die TLS 1.2+ ondersteunen, SMBv1 uitgeschakeld na coördinatie met software-upgrades van de leverancier van software voor medische beeldvorming, overgang van domeincontrollers van NTLMv1 naar NTLMv2-verificatie, wDigest uitgeschakeld via groepsbeleid, LDAP-ondertekening afgedwongen op de domeincontrollers en versleuteling van serviceaccount Kerberos geüpgraded naar AES256.

• Compenserende controles voor uitzonderingen: Op netwerken gebaseerde compenserende controles geïmplementeerd voor systemen die tijdelijke ondersteuning van onveilige protocollen vereisen, waaronder geïsoleerde VLAN's voor oudere medische beeldvormingssystemen die SMBv1 gebruiken, NSG-regels die het SMBv1-verkeer beperken tot geïsoleerde VLAN's, Azure Firewall die uitgaande SMBv1 van productiesubnetten blokkeert, speciale jump-hosts voor verouderde HR-toepassingen, en verbeterde monitoring via Defender voor Endpoint dat protocolgebruik buiten goedgekeurde uitzonderingssubnetten signaleert.

• Continue bewaking: Doorlopende protocolhygiëne tot stand gebracht via de analyseregels van Microsoft Sentinel die waarschuwingen activeren voor nieuwe onveilige protocolverbindingen buiten goedgekeurde uitzonderingen, waarbij Azure Policy de implementatie weigert zonder de minimale vereisten voor TLS 1.2, en wekelijkse reviews van het Insecure Protocol Workbook bijhouden van de voortgang van herstelmaatregelen.

Resultaat: Zwakke TLS-verbindingen zijn verwijderd uit patiëntenportals. SMBv1 werd uitgeschakeld na upgrades van medische beeldvorming, waardoor de EternalBlue-kwetsbaarheid werd geëlimineerd en aldus werd HIPAA-compliance bereikt. NTLMv1 is overgezet naar NTLMv2, waardoor pass-the-hash-aanvallen worden voorkomen. Het uitschakelen van wDigest vermindert de kans op diefstal van inloggegevens. LDAP-ondertekening blokkeerde niet-ondertekende query's. Kerberos is bijgewerkt naar AES256, waardoor het kerberoasting risico wordt verlaagd. Compenserende controles bevatten verouderde systemen met nul zijwaartse bewegingen. Volledige HIPAA-naleving bereikt.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-8, SC-8(1), SC-13, IA-5(1)
• PCI-DSS v4: 2.2.4, 4.2.1, 6.2.4
• CIS Controls v8.1: 4.8, 9.3, 13.4
• NIST CSF v2.0: PR. DS-02, PR. IP-01, DE. CM-04
• ISO 27001:2022: A.8.24, A.8.26, A.5.14
• SOC 2: CC6.1, CC6.7, CC7.1

NS-9: On-premises of cloud netwerk privé verbinden

Beveiligingsprincipe

Gebruik privéverbindingen voor beveiligde communicatie tussen verschillende netwerken, zoals datacenters van cloudserviceproviders en on-premises infrastructuur in een colocatieomgeving.

Risico om te beperken

Wanneer gegevens via openbare netwerken worden verzonden, is deze kwetsbaar voor onderschepping, onbevoegde toegang en manipulatie.

• Gegevensonderschepping: Wanneer gegevens via openbare netwerken, zoals internet, worden verzonden via meerdere routers, switches en serviceproviders, die kunnen worden aangetast of bewaakt door kwaadwillende actoren. Aanvallers kunnen hulpprogramma's voor pakketsniffing (bijvoorbeeld Wireshark) implementeren om gegevenspakketten vast te leggen. Als de gegevens niet-versleuteld of zwak versleuteld zijn, kunnen gevoelige informatie, zoals aanmeldingsreferenties, financiële gegevens of bedrijfseigen bedrijfsgegevens, beschikbaar worden gesteld.
• Man-in-the-Middle (MitM) aanvallen: Bij een MitM-aanval onderschept een aanvaller geheim de communicatie tussen twee partijen die geloven dat ze rechtstreeks met elkaar communiceren. Dit vormt een ernstige bedreiging voor gevoelige bewerkingen, zoals financiële transacties of verificatieprocessen.
• Onbevoegde toegang: Openbare of onvoldoende beveiligde netwerken vergroten de kans dat onbevoegde gebruikers toegang krijgen tot of knoeien met privésystemen of bronnen. Aanvallers kunnen zwakke plekken in het netwerk misbruiken om de interne infrastructuur te bereiken die van buitenaf ontoegankelijk moet blijven.

MITRE ATT&CK

• Eerste toegang (TA0001): Exploitatie van niet-versleutelde of zwak versleutelde protocollen (bijvoorbeeld HTTP- of verouderde TLS-versies) die kwetsbaar zijn voor pakketsniffing of MitM-aanvallen, waardoor onbevoegde toegang tot systemen mogelijk is (bijvoorbeeld T1190 - Misbruik Public-Facing Toepassing).
• Referentietoegang (TA0006): Diefstal van referenties via onderschept netwerkverkeer, het misbruiken van cleartext-protocollen (bijvoorbeeld Telnet of FTP) of zwakke versleuteling die vatbaar is voor ontsleuteling, het faciliteren van onbevoegde toegang (bijvoorbeeld T1040 - Netwerk-sniffing).
• Laterale beweging (TA0008): Voortbeweging binnen netwerken door misbruik te maken van onjuist geconfigureerde of blootgestelde services (bijvoorbeeld niet-gepatchte RDP of SMB), waardoor aanvallers kunnen pivoteren met behulp van gestolen inloggegevens of kwetsbaarheden (bijvoorbeeld T1021 - Externe services).

NS-9.1 Azure Virtual Private Network (VPN) gebruiken voor lichtgewicht site-naar-site- of punt-naar-site-connectiviteit

Gebruik Azure Virtual Private Network (VPN) om beveiligde, versleutelde verbindingen te maken tussen on-premises sites of apparaten van eindgebruikers en virtuele Azure-netwerken voor lichtgewicht connectiviteitsscenario's. Azure VPN biedt een rendabele oplossing voor site-naar-site-connectiviteit (het verbinden van hele netwerken) of punt-naar-site-connectiviteit (het verbinden van afzonderlijke apparaten) zonder speciale infrastructuur:

• Site-naar-site-VPN implementeren: Gebruik site-naar-site-VPN om uw on-premises netwerk veilig te verbinden met een virtueel Azure-netwerk, waardoor naadloze communicatie tussen on-premises resources en Azure-workloads mogelijk is.

• Punt-naar-site-VPN implementeren: Gebruik punt-naar-site-VPN om afzonderlijke apparaten van eindgebruikers (laptops, werkstations) veilig verbinding te laten maken met het virtuele Azure-netwerk vanaf externe locaties.

NS-9.2 Azure ExpressRoute (of Virtual WAN) gebruiken voor hoogwaardige verbindingen op ondernemingsniveau

Gebruik Azure ExpressRoute of Azure Virtual WAN om privéverbindingen met hoge prestaties en lage latentie tot stand te brengen tussen Azure-datacenters en on-premises infrastructuur in co-locatieomgevingen. Deze hoogwaardige oplossingen omzeilen het openbare internet, bieden toegewezen bandbreedte, voorspelbare prestaties en verbeterde beveiliging voor bedrijfskritieke workloads die consistente connectiviteit vereisen:

• ExpressRoute implementeren voor toegewezen privéconnectiviteit: Gebruik Azure ExpressRoute om een privéverbinding te maken tussen uw on-premises infrastructuur en Azure-datacenters via een connectiviteitsprovider, waardoor toegewezen bandbreedte en voorspelbare latentie voor bedrijfsworkloads worden gegarandeerd.

• Virtual WAN implementeren voor wereldwijde connectiviteit: Gebruik Azure Virtual WAN om een wereldwijd netwerk te bouwen dat meerdere sites, vertakkingen en Azure-regio's verbindt via een geïntegreerde hub-and-spoke-architectuur met geïntegreerde beveiligings- en routeringsmogelijkheden.

NS-9.3 VNet- of subnetpeering gebruiken om deel te nemen aan virtuele netwerken

Gebruik peering van virtuele netwerken of subnetpeering om privéconnectiviteit tussen virtuele Azure-netwerken tot stand te brengen zonder verkeer via het openbare internet te routeren. Netwerkverkeer tussen gekoppelde virtuele netwerken blijft in het Backbone-netwerk van Azure en biedt verbindingen met lage latentie en hoge bandbreedte zonder versleutelingsoverhead. Kies subnetpeering wanneer volledige virtuele netwerkconnectiviteit niet nodig is, waardoor de blootstelling wordt beperkt tot alleen specifieke subnetten:

• Peering voor virtuele netwerken implementeren: Gebruik peering van virtuele netwerken om volledige virtuele Azure-netwerken te verbinden, zodat resources in verschillende VNets privé kunnen communiceren alsof ze zich in hetzelfde netwerk bevinden.

Voorbeeld van implementatie

Een multinationale financiële dienstverleningsorganisatie had een veilige, krachtige connectiviteit nodig tussen on-premises datacenters, filialen en Azure-cloudresources, terwijl openbare internetblootstelling voor gevoelige financiële transacties wordt geëlimineerd.

Uitdaging: De organisatie beheerde meerdere on-premises datacenters met wereldwijd verspreide filialen, waarvoor connectiviteit benodigd is met door Azure gehoste toepassingen om financiële transacties en klantgegevens te verwerken. Initiële architectuur gebruikte site-naar-site-VPN via internet, met onvoorspelbare latentie, bandbreedtebeperkingen tijdens piekuren, beveiligingsproblemen over financiële gegevens die openbaar internet doorkruisen ondanks versleuteling en nalevingsvereisten voor privéconnectiviteit voor PCI-DSS en AVG. Externe werknemers die verbinding maken via punt-naar-site-VPN, hebben inconsistente prestatie- en verificatieproblemen ondervonden. Toepassingen in verschillende Azure-regio's vereisen communicatie tussen regio's met lage latentie zonder routering via on-premises hubs.

Solution:

• ExpressRoute voor primaire datacentrumconnectiviteit:Azure ExpressRoute-circuits geïmplementeerd in primaire datacenters via co-locatiefaciliteiten met ExpressRoute-connectiviteitsproviders, het tot stand brengen van privé layer 3-connectiviteit met azure-backbone-netwerk met consistente lage latentie, geconfigureerde ExpressRoute met Microsoft-peering voor Azure PaaS-services en privépeering voor door VNet gehoste resources, implementeerde BGP-routering met actief-actieve configuratie voor hoge beschikbaarheid en automatische failover.

• Site-naar-site-VPN voor connectiviteit van filialen:Geïmplementeerde site-naar-site-VPN voor filialen die geen toegang tot co-locatiefaciliteit hebben, vpn-gateway in hub-VNet maken met actief-actieve configuratie voor hoge beschikbaarheid, geconfigureerde IPsec-/IKE-tunnels met sterke cryptografie die voldoen aan beveiligingsstandaarden voor de financiële sector, BGP-routering geïmplementeerd voor dynamische padselectie, zodat vertakkingen verbinding kunnen maken met de dichtstbijzijnde regionale hub, waardoor redundante tunnels worden gemaakt die connectiviteit garanderen tijdens onderhoudsvensters.

• Punt-naar-site-VPN voor externe werknemers: Een punt-naar-site-VPN geconfigureerd met Azure Active Directory-verificatie voor externe werknemers die beveiligde toegang tot door Azure gehoste toepassingen vereisen, verificatie op basis van certificaten ingeschakeld als terugval voor scenario's zonder internettoegang tot Azure AD, toegewezen CLIENT-IP-adressen van toegewezen pools die worden gerouteerd naar Azure VNet-resources via door de gebruiker gedefinieerde routes, een OpenVPN-protocol geïmplementeerd voor macOS-/Linux-clients en IKEv2/SSTP voor Windows-clients die uitgebreide apparaatcompatibiliteit bieden, geconfigureerde gesplitste tunneling waardoor directe internettoegang voor niet-bedrijfsverkeer mogelijk is, terwijl azure-gebonden verkeer wordt gerouteerd via een VPN-tunnel die de bandbreedte optimaliseert.

• Virtual WAN voor wereldwijde mesh-connectiviteit:Azure Virtual WAN geïmplementeerd met beveiligde hubs in meerdere regio's die een wereldwijde doorvoerarchitectuur bieden, verbonden ExpressRoute-circuits met Virtual WAN-hubs die connectiviteit tussen datacenters en Azure-regio's mogelijk maken zonder routering via on-premises hubs, geïntegreerde site-naar-site VPN-verbindingen van filialen naar dichtstbijzijnde Virtual WAN-hub met automatische routeringsoptimalisatie, ingeschakelde Azure Firewall in elke Virtual WAN-hub die gecentraliseerde beveiligingsinspectie biedt voor verkeer tussen vertakkingen, datacenters en Azure VNets, geconfigureerd routeringsbeleid waarmee wereldwijde transitroutering wordt geïmplementeerd, zodat filialen kunnen communiceren met on-premises datacenters via Azure backbone.

• VNet-peering voor connectiviteit tussen Azure-regio's: Peering van virtuele netwerken die spoke-VNets verbinden met virtuele WAN-hub-VNets in elke regio, wereldwijde VNet-peering ingeschakeld voor connectiviteit tussen meerdere regio's voor toepassingsconnectiviteit met een lage latentie via Azure-backbone, geconfigureerde gatewayoverdracht, zodat spoke-VNets virtuele WAN-hub-VPN/ExpressRoute-gateways kunnen gebruiken zonder extra gateways te implementeren die de kosten en complexiteit verlagen, netwerkbeveiligingsgroepen geïmplementeerd op spoke-subnetten die de verkeersstroom tussen gekoppelde VNets beheren met toegang met minimale bevoegdheden.

• Optimalisatie en bewaking van verkeer: Geconfigureerde ExpressRoute-circuits met QoS-markeringen die prioriteit geven aan het financiële transactieverkeer via bulkgegevensoverdracht, ingeschakelde traceringslatentie, pakketverlies en beschikbaarheid voor ExpressRoute-circuits en VPN-verbindingen met waarschuwingen voor degradatie, geïmplementeerde Azure Monitor-werkmappen die wereldwijde connectiviteitstopologie visualiseren met actieve verbindingen, bandbreedtegebruik en failovergebeurtenissen, vastgestelde basislijnen voor acceptabele prestaties met geautomatiseerde waarschuwingen voor drempelwaarden.

Resultaat: Privéconnectiviteit is bereikt voor alle financiële transacties, die voldoen aan PCI-DSS vereisten. ExpressRoute biedt consistente lage latentie voor realtime handel. Virtual WAN vermindert de latentie van vertakking naar datacentrum aanzienlijk. Externe werknemers hebben verbinding gemaakt via punt-naar-site-VPN met verbeterde verificatie. Wereldwijde VNet-peering heeft efficiënt herstel na noodgevallen tussen regio's mogelijk gemaakt. Kostenoptimalisatie bereikt via Virtual WAN-consolidatie.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-7, SC-7(4), SC-8
• PCI-DSS v4: 1.2.1, 2.2.7, 4.2.1
• CIS Controls v8.1: 12.8, 13.8
• NIST CSF v2.0: PR. AC-05, PR. DS-02
• ISO 27001:2022: A.8.21, A.8.22, A.5.14
• SOC 2: CC6.6, CC6.7

NS-10: Dns-beveiliging (Domain Name System) garanderen

Beveiligingsprincipe

Zorg ervoor dat de dns-beveiligingsconfiguratie (Domain Name System) beschermt tegen bekende risico's:

• Gebruik vertrouwde gezaghebbende en recursieve DNS-services in uw cloudomgeving om ervoor te zorgen dat de client (zoals besturingssystemen en toepassingen) het juiste omzettingsresultaat ontvangt.
• Scheid de openbare en persoonlijke DNS-resolutie zodat het DNS-omzettingsproces voor het privénetwerk kan worden geïsoleerd van het openbare netwerk.
• Zorg ervoor dat uw DNS-beveiligingsstrategie ook oplossingen bevat voor veelvoorkomende aanvallen, zoals zwevende DNS- en DNS-amplificaties-aanvallen, DNS-vergiftiging en spoofing, enzovoort.

Risico om te beperken

Bedreigingsactoren vallen DNS-services aan of misbruiken kwetsbare DNS-services om toepassingen in gevaar te komen en verkeer om te leiden.

• DNS-adresvervalsing/vergiftiging: Aanvallers vervalsen DNS-antwoorden of corrupte resolver-caches (bijvoorbeeld Kaminsky-aanvallen) om klanten om te leiden naar kwaadaardige servers, waardoor phishing of gegevensonderschepping mogelijk is.
• DNS-versterkingsaanvallen: Aanvallers misbruiken onjuist geconfigureerde DNS-servers om DDoS-verkeer te versterken (bijvoorbeeld 60-bytequery die een reactie van 4000 bytes oplevert), overweldigende doelnetwerken.
• Dangling DNS-exploitatie: Dangling records (bijvoorbeeld verouderde CNAMEs) staat kwaadwillende personen toe om buiten gebruik gestelde resources te kapen, verkeer om te leiden naar schadelijke eindpunten voor phishing of malware.
• Gegevensexfiltratie via DNS-tunneling: Kwaadwillende actoren coderen gegevens in DNS-query's (bijvoorbeeld data.exfil.evil.com) om gevoelige informatie te exfiltreren, waardoor firewalls worden overgeslagen.
• Levering van phishing/malware: Gecompromitteerde resolvers leiden legitieme domeinen om naar door aanvallers beheerde IP-adressen, waarbij phishingpagina's of malware worden geleverd aan nietsvermoedende clients.

MITRE ATT&CK

• Opdracht en beheer (TA0011): Gebruik DNS-tunneling om C2-opdrachten in zoekopdrachten te coderen (bijvoorbeeld data.exfil.evil.com) of gebruik vervalste resoluties om verbinding te maken met schadelijke servers (bijvoorbeeld T1071.004 - Application Layer Protocol: DNS).
• Verzameling (TA0009): Verzamel gegevens door DNS te spoofen om gebruikers om te leiden naar phishingsites of het exfiltreren van gegevens via tunneling (bijvoorbeeld T1040 - Network Sniffing).
• Impact (TA0040): DNS-amplificatieaanvallen, het verzenden van kleine query's voor het genereren van grote reacties, het verstoren van de beschikbaarheid van de service (bijvoorbeeld T1498.002 - Network Denial of Service: Reflection Amplification).
• Eerste toegang (TA0001): Misbruik hangende DNS-records of gespoofde resoluties om malware/phishing te leveren en toegang tot systemen te krijgen (bijvoorbeeld T1190 - Exploit Public-Facing Application).

NS-10.1 Vertrouwde DNS-service gebruiken

Gebruik vertrouwde DNS-services om ervoor te zorgen dat clients de juiste resolutieresultaten ontvangen en beschermen tegen op DNS gebaseerde aanvallen. Azure biedt de recursieve DNS-service op 168.63.129.16 (meestal toegewezen via DHCP of vooraf geconfigureerd) voor DNS-omzetting van workloads op besturingssysteem- of toepassingsniveau. U kunt ook vertrouwde externe DNS-servers gebruiken. Voor organisaties die hun eigen domeinen hosten, biedt Azure DNS betrouwbare gezaghebbende DNS-hosting. Organisaties die aangepaste DNS-servers bouwen, moeten voldoen aan de richtlijnen voor veilige implementatie van NIST SP 800-81 Rev. 3:

• Azure recursieve DNS of vertrouwde externe DNS gebruiken: Configureer workloads voor het gebruik van azure recursieve DNS (168.63.129.16) of vertrouwde externe DNS-servers in VM-besturingssystemen of toepassings-DNS-instellingen om betrouwbare naamomzetting te garanderen.

• Azure DNS toestaan in firewallregels: Voeg 168.63.129.16 toe aan firewall- en NSG-acceptatielijsten om de juiste DNS-functionaliteit voor Azure-resources te garanderen.

• Hostdomeinen in Azure DNS: Gebruik Azure DNS voor het hosten van domeinresolutie voor gezaghebbende DNS-vereisten en om betrouwbare en schaalbare DNS-hosting te bieden (opmerking: Azure DNS biedt geen domeinregistratieservice).

• Volg de richtlijnen voor beveiligde DNS-implementatie: Als u aangepaste DNS-servers bouwt, volgt u NIST SP 800-81 Rev. 3 Secure Domain Name System (DNS) Implementatiehandleiding voor het implementeren van aanbevolen beveiligingsprocedures.

NS-10.2 Privé-DNS gebruiken in een virtueel netwerk

Gebruik Privé-DNS van Azure om privé-DNS-zones tot stand te brengen waarbij DNS-omzetting binnen het virtuele netwerk blijft, zodat DNS-query's geen openbare netwerken kunnen doorlopen. Dit is essentieel voor configuraties van privé-eindpunten, waarbij privé-DNS-zones openbare DNS-omzetting overschrijven om verkeer privé naar Azure-services te routeren. Aangepaste DNS-oplossingen kunnen de resolutie verder beperken tot alleen vertrouwde bronnen, waardoor de beveiliging voor privéworkloads wordt verbeterd:

• Privé-DNS van Azure implementeren voor privé-omzetting: Gebruik Privé-DNS van Azure om privé-DNS-zones te maken die DNS-omzetting binnen het virtuele netwerk behouden, zodat query's nooit uw netwerkgrens verlaten.

• Configureer privé-DNS voor privé-eindpunten: Configureer privé-DNS-zones voor privé-eindpunten om openbare DNS-omzetting te overschrijven en ervoor te zorgen dat clients FQDN's voor privé-eindpunten omzetten in privé-IP-adressen binnen het virtuele netwerk.

• Aangepaste DNS implementeren voor beperkte resolutie: Gebruik aangepaste DNS-servers om DNS-omzetting te beperken zodat alleen vertrouwde omzettingsbronnen voor uw clients worden toegestaan, wat extra controle biedt over de beveiliging van naamomzetting.

NS-10.3 Defender voor DNS gebruiken voor geavanceerde beveiliging

Gebruik Microsoft Defender voor DNS om geavanceerde op DNS gebaseerde beveiligingsrisico's te detecteren en te waarschuwen, waaronder gegevensexfiltratie via DNS-tunneling, communicatie tussen opdrachten en controle, schadelijke domeininteracties (phishing, cryptoanalyse) en DNS-aanvallen met schadelijke resolvers. Defender voor DNS-beveiliging is nu opgenomen in het Defender for Servers-abonnement. Daarnaast gebruikt u Microsoft Defender voor App Service om zwevende DNS-records te detecteren die overname van subdomeinen mogelijk kunnen maken bij het buiten gebruik stellen van websites:

• Defender voor DNS-beveiliging inschakelen: Gebruik Microsoft Defender voor DNS (opgenomen in Defender for Servers Plan) om verdachte DNS-activiteiten te bewaken en te waarschuwen, waaronder gegevensexfiltratie via DNS-tunneling, communicatie met malware-opdrachten en controle en interacties met schadelijke domeinen.

• Controleren op schadelijke DNS-activiteit: Configureer waarschuwingen voor het detecteren van communicatie met schadelijke DNS-resolvers en DNS-aanvallen die de beveiliging van de workload of de beschikbaarheid van de DNS-service kunnen in gevaar kunnen komen.

• Detecteer zwevende DNS-records: Gebruik Microsoft Defender voor App Service om zwevende DNS-records te identificeren bij het buiten gebruik stellen van App Service-websites, waardoor overnameaanvallen van subdomeinen worden voorkomen door ervoor te zorgen dat aangepaste domeinen worden verwijderd uit DNS-registrars.

Voorbeeld van implementatie

Uitdaging: Een onderneming had uitgebreide DNS-beveiliging nodig voor vertrouwde omzettingsservices, DNS voor privénetwerk voor interne resources en geavanceerde detectie van bedreigingen in de hybride cloudinfrastructuur.

Oplossingsbenadering:

• Geïmplementeerde recursieve DNS van Azure (168.63.129.16) voor alle Azure VM-workloads met NSG-regels die DNS-verkeer toestaan
• Gehoste gezaghebbende zones in Azure DNS voor resolutie van publieke domeinen met geografische distributie
• Azure Private DNS-zones geïmplementeerd voor privé-eindpuntomzetting (privatelink.database.windows.net, privatelink.blob.core.windows.net) gekoppeld aan productie-VNets
• Geconfigureerde privé-DNS-integratie om ervoor te zorgen dat FQDN's van privé-eindpunten worden omgezet in privé-IP-adressen (bijvoorbeeld sqlserver.database.windows.net → 10.0.2.4)
• Microsoft Defender voor DNS ingeschakeld via Defender for Servers Plan om DNS-tunneling, C2-communicatie en schadelijke domeininteracties te bewaken
• Defender voor App Service geïmplementeerd om zwevende DNS-records te detecteren tijdens het buiten gebruik stellen van de website

Resultaat: De implementatie van de DNS-beveiliging zorgde voor betrouwbare naamomzetting voor cloudworkloads, terwijl de privacy voor interne resources behouden blijft. Privé-DNS-zones verhinderden dat gevoelige query's openbare netwerken doorkruisen, terwijl Defender voor DNS inzicht biedt in op DNS gebaseerde bedreigingen, waaronder pogingen tot gegevensexfiltratie en opdracht- en controleactiviteit. De oplossing elimineert risico's van subdomeinovername door geautomatiseerde zwevende DNS-detectie tijdens wijzigingen in de levenscyclus van resources.

Kritieksniveau

Moet hebben.

Controletoewijzing

• NIST SP 800-53 Rev.5: SC-7, SI-4, SI-4(4), SI-4(5)
• PCI-DSS v4: 11.5.1, 12.10.1
• CIS Controls v8.1: 8.5, 13.6, 13.8
• NIST CSF v2.0: DE. CM-01, DE. CM-04, DE. AE-02
• ISO 27001:2022: A.8.16, A.8.22, A.5.24
• SOC 2: CC6.1, CC7.2, CC7.3