Advies om je Azure-cloudomgeving veilig te houden

Onlangs kregen onbevoegden toegang tot de Microsoft Azure-omgeving van een onderwijsinstelling. Binnen enkele dagen liepen de kosten op tot zo’n 2 miljoen euro. Alhoewel deze instelling geen Azure afnam via SURFcumulus, is dit incident reden om het belang van een goed ingericht beveiligings- en alarmeringsproces voor cloudomgevingen te benadrukken. In deze blogpost krijg je advies over hoe je de beveiliging en alarmering van je cloudomgeving aanscherpt, specifiek voor Microsoft Azure.  

Je cloudomgeving controleren 

Hou de beveiliging en alarmering van je cloudomgeving scherp en voorkom je dat budgetten overschreven worden: 

  • Schakel de afwijkingsdetectie voor Kostenanalyse in. Schakel ook Anomaliedetectie in. Je hoort dan automatisch over atypische kosten- en gebruikstrends.  
    Meer informatie over onverwachte kosten analyseren 

  • Schakel Microsoft Defender voor Cloud in en krijg automatisch toegang tot de beveiligingsscore. Volg de aanbevelingen hieruit op. 
    Meer informatie over de beveiligingsscore

  • Controleer in de Azure Portal regelmatig de Azure-kosten via Kostenbeheer en facturering:  
    - Kies het juiste Factureringsbereik. 
    - Ga naar Kostenbeheer
    - Schakel Kostenanalyse in.  
    Met filters zoals Inschrijvingsaccount en Abonnement maak je eenvoudig een overzicht van gemaakte kosten over een bepaalde periode, of een trendanalyse. 

  • Zet voor alle gebruikers binnen de instelling Multi-Factor Autenticatie aan. 

  • Gebruik werk- of schoolaccounts, geen Microsoft-accounts. 

  • Bij het ondertekenen van de SURFcumulus Azure-overeenkomst geef je ook een technisch en financieel contactpersoon aan ons door. Verandert deze contactpersoon? Geef de nieuwe contactgegevens altijd aan ons door aan je SURFcumulus cloudadviseur, of via surfcumulus@surf.nl

  • Pas bij wijzigingen in rollen, verantwoordelijkheden, of uitdiensttreding rechten aan, of ontneem rechten van medewerkers die actief zijn met SURFcumulus Azure.  Controleer met name de rollen Azure Afdeling Administrator, Azure Account Eigenaar, Azure Abonnement Eigenaar (of andere RBAC-rollen) en pas deze zonodig aan. 

  • Gebruik voor administratorrollen geen standaard werk- of schoolaccount. Maak hiervoor een apart account aan, met specifieke administratieve rechten voor Azure

  • De Azure Afdeling Administrator krijgt met enige regelmaat e-mailalerts. Zorg dat de administrator deze alerts ook leest en eventueel opvolgt. 

Verantwoordelijkheden bij beveiligingsincidenten 

SURF levert via de dienst SURFcumulus clouddiensten aan de leden, geeft adviezen over de inrichting en doet leveranciers- en contractmanagement. Vanuit de SURFcumulus-rol van leveranciers- en contractbeheerder hebben we wel een algemeen overzicht van totale cloudkosten. En hoewel we afwijkingen hiervan proberen te bespeuren, zijn we niet ingericht voor incident response. Gebruikers zijn altijd zelf verantwoordelijk voor beveiligingsincidenten detecteren en hierop reageren. 

Hulp nodig bij je cloudinrichting aanscherpen? 

Heb je hulp nodig bij dit advies implementeren? Of heb je hulp nodig bij je cloudinrichting bij een andere leverancier? Neem vooral contact op met je SURFcumulus cloudadviseur, via surfcumulus@surf.nl.  

 

Auteur

Reacties

Dit artikel heeft 0 reacties

Gerelateerde artikelen