Infrastructuur beveiligen volgens het Zero Trust Framework

5 juli 2023

Vincent Villerius

In de eerste Security Blog van deze reeks werd het Zero Trust Framework toegelicht. Voor het beveiligen van IT-middelen is de infrastructuurlaag een belangrijk onderdeel van het framework. IT-infrastructuur bestaat uit oplossingen die ondersteunend zijn aan meerdere applicaties. Van oudsher denkt men dan aan compute, opslag en netwerk. Zaken waarvan in de on-premises wereld (waarschijnlijk) helder is hoe deze beschermd moeten worden. Maar hoe zit dat in de cloud? Vincent Villerius, Managing Consultant Azure & Integration bij Motion10, legt het uit.

 

Gedeelde verantwoordelijkheid
Wanneer je gebruik maakt van clouddiensten, is er sprake van een gedeelde verantwoordelijkheid (shared responsibility model) voor informatiebeveiliging tussen de cloudleverancier en de klant. In dit model is de cloudleverancier altijd verantwoordelijk voor zaken als fysieke toegangsbeveiliging, energie, koeling en fysieke hardware, maar voor de diensten die daar bovenop worden afgenomen verschilt de verantwoordelijkheid per levermodel. Als het om eigen data, devices van eindgebruikers, accounts en toegangsbeheer gaat, ligt voor ieder levermodel de verantwoordelijkheid bij de klant. Bij IaaS (Infrastructure as a Service) heeft de klant meer verantwoordelijkheden dan in de PaaS en SaaS-modellen. Om het duidelijk te houden kijken we voor het vervolg van deze blog specifiek naar het IaaS model. Waar liggen de verantwoordelijkheden als klant en welke gereedschappen biedt Microsoft om die verantwoordelijkheid te nemen?

IaaS
In het IaaS model neem je compute, opslag en netwerk af van Azure. De klant is zelf verantwoordelijk voor de inrichting en dus beveiliging van virtuele servers, virtuele netwerken, identity infrastructuur en applicaties. Gelukkig biedt Azure verschillende oplossingen waarmee de Zero Trust principes kunnen worden toegepast op eigen middelen.


Principe 1: verifieer expliciet
Controleer de identiteit van alles en iedereen die toegang wil hebben en pas dit ook toe op de systemen zelf. Stel vragen als: ‘wordt er vertrouwde software gebruikt’, ‘zijn jouw eigen virtuele machines wel te vertrouwen’. De volgende tips kunnen helpen bij dit eerste principe:

  • Gebruik generation 2 virtual machines. Deze maken gebruik van geverifieerde bootloaders, besturingssystemen en drivers.
  • Zet Azure Policy in voor het rapporteren op- en afdwingen van veilige standaarden.
  • Gebruik Azure Bastion zodat toegang tot virtuele machines eerst gecontroleerd wordt door Azure AD (Active Directory) en er geen RDP (Remote Desktop Protocol)-verkeer via publieke IP-adressen hoeft te lopen.
  • Gebruik Adaptive Application Controls om te zorgen dat alleen vertrouwde applicaties worden uitgevoerd. Dit is onderdeel van Defender for Servers plan 2.


Principe 2: verstrek zo weinig mogelijk rechten
We zien nog veel organisaties waar elke IT-medewerker Global Admin en Subscription Owner is. Deze medewerkers zijn vast te goeder trouw, maar een ongeluk zit in een klein hoekje. Door medewerkers alleen voor een moment de toegang te geven die nodig is om productief te zijn, kunnen veel incidenten worden voorkomen. De volgende tips kunnen helpen de rechten te beperken tot het hoogstnoodzakelijke:

  • Gebruik Role Based Access voor toegang tot- en beheer van IaaS middelen.
  • Beperk het aantal Global Admins en Owners zo veel mogelijk. Azure biedt ingebouwde rollen en de mogelijkheid om zelf passende rollen te definiëren.
  • Gebruik Privileged Identity Management om beheerders alleen toegang te geven wanneer dat nodig is, voor zolang dat nodig is.
  • Gebruik Just Enough Administration om gedelegeerd beheer in te regelen voor Powershellgebruikers.


Principe 3: ga uit van een inbraak
Er wordt vaak gezegd dat er twee soorten organisaties zijn: organisaties die wéten dat ze gehackt zijn en organisaties die dat nog níet weten. Vanuit de mindset dat er wellicht al een inbraak aan de gang is, beperken we de impact daarvan zoveel mogelijk. De volgende tips kunnen daarbij helpen:

  • Gebruik Azure Security Center voor inzicht in de status van de beveiliging en voor tips om deze te verbeteren.
  • Versleutel data in rust én tijdens transport. Overweeg eigen encryptiesleutels te beheren met Azure KeyVault.
  • Voorkom dat een aanvaller vrij door jouw virtuele netwerk kan bewegen. Segmenteer het virtuele netwerk en gebruik Network Security Groups, Azure Firewall en Route Tables om dit af te dwingen.

Gebruik Adaptive Network Hardening om netwerkverkeer adaptief verder te beperken, wanneer Network Security Groups onvoldoende controle bieden. Dit is onderdeel van Defender for Servers plan 2.

Neem de verantwoordelijkheid
Clouddiensten zijn enorm krachtig, schaalbaar en rijk aan configuratiemogelijkheden. Organisaties nemen vaak ten onrechte aan dat security de volledige verantwoordelijkheid is van de cloudleverancier, met kwetsbaarheden en datalekken als gevolg. Juist wanneer een klant gebruik maakt van IaaS en PaaS diensten heeft men veel verantwoordelijkheden. Gelukkig is er een rijke set aan gereedschappen die ingezet kunnen worden om systemen in de cloud te beveiligen op een manier die recht doet aan jouw eisen en wensen.

Meer weten?

Wil je weten hoe jouw organisatie een actieve houding aan kan nemen omtrent IT-beveiliging? De ‘Secure Identities and Access Workshop enProtect and Govern Sensitive Data Activator Workshopgeven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.

Lees meer