• 23 februari 2021

Gelaagde beveiliging: op welke Azure-tools kunt u bouwen?

Gelaagde beveiliging: op welke Azure-tools kunt u bouwen?Het Defense-in-Depth (DiD)-securitymodel met meerdere ‘beveiligingslagen’ wint in het cloudtijdperk aan populariteit. De gedachte achter dit model is dat de cybercrimineel meerdere hordes heeft te nemen op weg naar de kroonjuwelen. Hoe vult u deze beveiligingslagen in als uw klant gebruikmaakt van Microsoft Azure?

De beveiliging thuis is meestal niet afhankelijk van slechts één slot op de voordeur. Een dief moet meerdere hordes nemen om bij het sieradenkistje te komen. Zo kan er sprake zijn van een afsluitbaar hek, camerabewaking, rolluiken, een extra slot op de deur, een alarmsysteem en misschien zelfs een kluis waarin de kostbare bezittingen worden bewaard. Alles om het dieven zo moeilijk mogelijk te maken.

Volgens het Defense-in-Depth-model wordt het ‘securityhuis’ op eenzelfde manier beveiligd, zodat een cybercrimineel niet al te makkelijk bij de infrastructuur, applicaties en uiteindelijk de data kan komen. In de cloud is soms de cloudprovider verantwoordelijk voor de invulling van een beveiligingslaag, en soms uw klant. In alle gevallen biedt Microsoft de tools die nodig zijn om de security op het juiste niveau te brengen, ongeacht bij wie de verantwoordelijkheid ligt.

Zeven lagen

Binnen het DiD-model definieert Microsoft de volgende zeven lagen:

1. Fysieke beveiliging

Binnen deze laag vallen de maatregelen die een datacentereigenaar kan treffen om onbevoegden op afstand te houden. Denk aan camera’s binnen en buiten, toegangshekken met schrikdraad en alarm, identiteitscontroles van bezoekers, bewegingssensoren in de diverse ruimtes en sloten op de racks.

In de cloud is de fysieke beveiliging in alle gevallen de volledige verantwoordelijkheid van de cloudprovider. Microsoft hanteert ook hiervoor een gelaagde benadering, om te voorkomen dat ongeautoriseerde gebruikers fysiek toegang krijgen tot het datacenter.

2. Identity & Access

Met Identity & Access Management (IAM) zorgt u ervoor dat systemen, data en applicaties alleen toegankelijk zijn voor de juiste personen. En alleen op de juiste momenten, en alleen om het werk gedaan te krijgen dat moet worden gedaan. De rechten die een gebruiker heeft, mogen dus niet te ruim zijn.

Azure Active Directory is de plaats waar u Azure-gebruikers beheert en de toegang tot resources regelt. Hier bepaalt u wat gebruikers mogen in een Azure-omgeving en tot welke resources ze toegang hebben. Hierbij kunt u bijvoorbeeld gebruikmaken van role-based access control (RBAC). Heeft een gebruiker tijdelijk meer rechten nodig? Dat regelt u met Azure Privileged Identity Management. En ook multifactorauthenticatie is een optie die in veel gevallen standaard wordt geboden.

3. Perimeterbeveiliging

Op dit niveau wordt het in- en uitgaande netwerkverkeer geïnspecteerd en gereguleerd, onder andere met behulp van firewalls. Binnen deze beveiligingslaag valt ook de bescherming tegen Distributed Denial of Service (DDoS)-aanvallen.

Met DDoS Protection biedt Microsoft alle Azure-gebruikers standaard een DDoS-bescherming op basisniveau. Uitgebreidere versies van DDoS Protection beschermen tegen zowel volumetrische aanvallen die zijn gericht op het veroorzaken van zeer veel inkomend verkeer als tegen protocolaanvallen en applicatieaanvallen.

4. Netwerkbeveiliging

Netwerkbeveiliging bouwt voort op de perimeterbeveiliging door bijvoorbeeld het netwerk te segmenteren in meerdere virtuele netwerken. In zo’n virtueel netwerk kan met behulp van Network Security Groups het netwerkverkeer van en naar Azure-resources worden gefilterd aan de hand van beveiligingsregels die verkeer toestaan of weigeren.

Potentiële netwerkbeveiligingsproblemen komen naar boven in Microsofts Azure Security Center. Die problemen kunnen bijvoorbeeld te maken hebben met poorten die ten onrechte openstaan, of met verkeerde firewall- of Network Security Groups-settings.

5. Compute

Hier gaat het bijvoorbeeld om de hardening van de host, hypervisor en het besturingssysteem. Dit is in de public cloud doorgaans de verantwoordelijkheid van de cloudprovider.

Microsoft heeft echter ook de tools beschikbaar die nodig zijn voor bijvoorbeeld het beoordelen van de security op het niveau van de virtuele machines. Daarbij maakt het niet uit waar die VM’s draaien, in de cloud van Microsoft, in een andere public cloud of on-premises.

6. Applicatiebeveiliging

Applicaties zijn de plaats waar data worden gepresenteerd en toegankelijk zijn. Dat vraagt om applicaties en API’s die zijn ontwikkeld met security als uitgangspunt, en die geen backdoors bevatten. Maar ook de verbindingen met de gebruikers en met de data moeten veilig zijn.

SQL-injectie en cross-site scripting zijn twee van de meest voorkomende aanvallen op applicatieniveau. Microsoft zet onder andere Application Gateways en de Azure Web Application Firewall in tegen deze veel voorkomende aanvallen en andere beveiligingsproblemen.

7. Datasecurity

Dit is het hart van het Defense-in-Depth-model, want uiteindelijk gaat het uw klant om de bescherming van zijn data. Azure biedt mogelijkheden om zowel gestructureerde als ongestructureerde data ‘at rest’ en ‘in transit’ te versleutelen.

Loopt de bescherming van data gevaar, bijvoorbeeld door problemen met de encryptie of doordat een beschermende maatregel is uitgeschakeld door een beheerder? Dan kunt u hiervan een melding ontvangen in het Azure Security Center. Ook in dit geval is het Azure Security Center weer de krachtige tool die laat zien hoe uw klant er op het gebied van security voor staat.

Meer op het verlanglijstje

Microsoft biedt per beveiligingslaag natuurlijk nog veel meer tools dan we hier konden vermelden. Zo is de Security Information Event Management (SIEM)-oplossing Azure Sentinel voor het verzamelen van dreigingsinformatie en het detecteren van en reageren op dreigingen een tool die eigenlijk niet mag ontbreken op het securityverlanglijstje van uw klant.

Meer weten over hoe u in de Azure-cloud van Microsoft zorgt voor een Defense-in-Depth? Wij vertellen u er graag meer over.

  • Security / compliance / privacy

Cookievoorkeuren

Onze website maakt gebruik van cookies. Hieronder leggen we kort uit welke cookies dit zijn. U kunt ervoor kiezen om het plaatsen van analytische en/of marketing cookies niet toe te staan. U kunt uw voorkeuren op elk gewenst moment wijzigen door in de footer van onze website op “Cookievoorkeuren” te klikken. U kunt daar uw toestemming(en) intrekken of alsnog verlenen. Wij plaatsen een cookie om uw cookievoorkeuren vast te leggen. Meer informatie over de cookies en de doeleinden waarvoor specifieke cookies worden geplaatst, wie deze cookies plaatst (de provider) en de plaatsingsduur van de verschillende cookies kunt u lezen in onze Cookieverklaring.

  • Altijd aan

    Onze websites kunnen niet goed functioneren zonder bepaalde cookies. Deze cookies zijn nodig voor de goede werking van de website, om te voldoen aan de wet (zoals het kunnen aantonen welke cookievoorkeuren u heeft ingesteld) of noodzakelijk voor de beveiliging van onze systemen. U kunt deze cookies niet uitschakelen.

  • Deze cookies, ook bekend als statistische cookies, stellen ons in staat om de functionaliteit van onze website verder te ontwikkelen en te verbeteren door het gebruik van de website te analyseren. Deze cookies sturen informatie terug naar onze gegevensanalysetools Google Analytics van Google LLC of Hotjar van Hotjar Ltd.

  • Met behulp van marketing cookies (tracking cookies) kunnen we informatie over uw internetgedrag verzamelen. Hierdoor kunnen we onze online marketingcampagnes en webcontent op uw interesses afstemmen.