Best practices om hacking tegen te gaan

Simon Deeb, een van onze cloud collega’s, was eind november bij het App Innovation Event van Microsoft. Al snel kwam de volgende boodschap naar voren: zet op alle accounts die rechten hebben op een Azure Subscription MFA aan! Waarom? Er zijn hackers actief die in Azure abonnementen die niet goed beveiligd zijn zo veel mogelijk VM’s (virtual machines) aanzetten en zetten deze in voor crypto mining. Een urgente waarschuwing die gedeeld werd door Tony Krijnen, Cloud Solutions Architect Security & Compliance. Zie ook dit bericht.

1. Zet MFA aan!  

We vallen misschien wat in de herhaling. Maar dit is een tip die met stip op 1 staat. Simon wijst je hiervoor graag door naar de blog van collega Joe. Het belang van MFA – waarom je dat in 2022 echt ingesteld moet hebben (teamvalue.com).

2. Gebruik PIM voor rollen die resources mogen creëren

Standaard staan je user settings hopelijk op ‘reader/user’. Via PIM (Privileged Identity Management) kun je ‘contributors’ of ‘super admins’ diverse rollen geven via de Azure portal. Marco refereerde er ook al naar in zijn artikel hoe belangrijk deze instelling is voor je secure score > Waarom het monitoren van de secure score onderdeel zou moeten zijn van je security management (teamvalue.com). Voor simpele aanpassingen kun je zelf een resource aanmaken en heb je geen approval nodig. Wel als het gaat om een productieomgeving. Dan heb je een extra approval nodig voor de audit trail. PIM is onderdeel van securitybeleid en onderdeel van het Zero Trust principe & Just-in-time access. Pas deze tip toe en je user management is vanaf nu geen chaos meer.  

3. Stel je Azure policies goed in en maak niet onnodig VM’s aan

Wat we hiermee bedoelen? Doe je voor de business niets met graphics en Machine Learning dan heb je ook niet zo veel aan VM’s met GPU’s (graphics processing units) . Je kunt daar dan heel simpel beleid op zetten en niet onnodig VM’s aanmaken. De rechten van je team staan dan net even iets anders ingesteld. De allowed resources rules bepaal je als organisatie samen. Sta je bijvoorbeeld resources uit Brazilie of China toe? Plaats je je app services en storage accounts alleen binnen Europa? We noemen dit de ‘game rules’ voor je Azure omgeving. Wat heeft jouw organisatie al ingericht om hacking te voorkomen? Verlaag je risico’s!

4. Zet anomaly detection en budgeting aan binnen je Azure omgeving

Het is makkelijk in te richten en volgens Simon een echte lifesaver. Waarom? Als je wel gehackt dan ben je niet mega veel geld kwijt. Met anomaly detection stel je een maximum budget in in Azure. Wie alle bovenstaande stappen volgt inclusief het instellen van deze tip is voor 99,99% save.  

Bovenstaande 4 tips zijn voor de Azure tenant en subscriptions. In het nieuwe jaar zullen we een advanced versie maken op enterprise-level engineering waar je meer kunt lezen over de Azure Blueprints, netwerk achitectuur, managed devices, add extensions en de Modern Workplace.