Voor ICT in het belang van je school
Azure

Belangrijke beveiligingsmaatregelen in Microsoft 365 en Azure

Een tijdje geleden heeft er een groot incident plaatsgevonden bij zowel een school in het voortgezet onderwijs als een school in het primair onderwijs. Binnen enkele dagen zijn er enorme ongeoorloofde kosten gemaakt. Kosten waarvoor de scholen in principe de rekening ontvangen. Naar aanleiding hiervan willen wij jullie attenderen op het belang van goede beveiligingsmaatregelen. En in dit geval specifiek voor Microsoft Azure.

Jullie hebben momenteel een Microsoft 365-tenant met een Azure Portal, gekoppeld aan een Azure-abonnement via APS IT-diensten. Alle diensten die je onder dit abonnement aanzet, worden achteraf op basis van je verbruik door ons aan jullie gefactureerd. Via dit abonnement kunnen criminelen betaalde diensten aanzetten en jullie met hoge kosten opzadelen. Oók wanneer jullie Azure zelf niet verbruiken. Daarom is het noodzakelijk dat je direct goede beveiligingsmaatregelen treft. Zo verklein je het risico op een soortgelijk incident.

Let op: Ook al worden omgevingen niet actief gebruikt, betekent dat niet dat deze maatregelen niet voor jullie gelden! Wij zien bijvoorbeeld ook Google-klanten die alleen een Microsoft 365-omgeving hebben voor het gebruik van Minecraft of Synaxion. Ook dan moet je de omgeving goed beveiligen.

Onderneem zo snel mogelijk actie

  1. Beveilig alle (beheerders)accounts zo snel mogelijk met multifactorauthenticatie (MFA). De (global) admin accounts zijn hierbij een must. Alleen het instellen van MFA kan al voor 99% voorkomen dat een (admin) account wordt gehackt! Lees hoe je MFA instelt of bekijk ons webinar over MFA
  2. Gebruik veilige wachtwoorden. Zijn deze sterk genoeg? Worden ze niet op meerdere plekken gebruikt? Denk eventueel na over een wachtwoordmanager. Bekijk ook ons webinar over wachtwoordmanagement.
  3. Stel een budget-waarschuwing in voor Azure en schakel ook gelijk een anomaliewaarschuwing in. Dit is een waarschuwing wanneer er afwijkingen en onverwachte wijzigingen in je kosten- en gebruikstrends zijn. Zorg er hierbij voor dat meerdere personen deze waarschuwingen ontvangen. Zo ben je direct op de hoogte van plotselinge verbruikspieken en kun je snel actie ondernemen om de kosten niet verder op te laten lopen. Gebruik eventueel nog meer kostenwaarschuwingen om je verbruik onder controle te houden. Tip: bij een budget-waarschuwing van 1 euro ben je al direct op de hoogte wanneer Azure wordt aangezet. 
    Lukt het niet om een waarschuwing in te stellen? Om de waarschuwing in te stellen, heb je owner of contributor rechten binnen Azure nodig. Vaak is de Microsoft 365 beheerder ook automatisch de Azure owner, maar dit kan afwijken. Als dat het geval is, neem dan contact met ons op. Wij kunnen nakijken wie er oorspronkelijk ooit als owner aangemaakt is. Mogelijk helpt dat jullie dan verder.
    Ook kan het zijn dat jullie geen abonnement hebben. Lees hoe je dit controleert.
  4. Zorg ervoor dat de waarschuwingsmeldingen vanuit Microsoft (bijvoorbeeld over opvallende verbruikspieken) altijd gelezen worden, ook buiten schooltijden en tijdens vakantie of ziekte. Controleer bij wie de meldingen terechtkomen en of deze worden opgevolgd. Regel wanneer nodig een vervanger en denk na over een noodnummer bij afwezigheid.
  5. Controleer wie de gebruikers met Azure-rollen zijn en wees je bewust van de risico’s die elke rol met zich meebrengt. Een owner of contributor kan namelijk alles aanzetten onder een Azure-abonnement. Deze accounts lopen daardoor een extra hoog risico bij een hack. Besteed je het Azure-beheer uit? Zorg er dan voor dat je als reader wel inzicht krijgt in het verbruik, zodat je weet wat er speelt en wordt aangezet. Maak goede afspraken met elkaar. 
  6. Blokkeer voor beheeraccounts het aanmelden vanuit het buitenland. Lees hoe je zo’n locatievoorwaarde instelt. Onze consultants kunnen je hierbij ondersteunen. Ook kunnen zij een automatische stroom inrichten via Power Automate waardoor een beheerder expliciet toestemming moet aanvragen voor (eenmalige) toegang vanuit het buitenland, bijvoorbeeld tijdens een werkbezoek.
  7. Zorg dat de bij ons bekende contactpersonen up-to-date zijn. Regelmatig zien wij dat medewerkers die niet meer werkzaam zijn bij de instelling nog steeds de rol Microsoft 365 beheerder hebben in ons systeem.
  8. Maak gebruik van werk- or schoolaccounts en niet van (persoonlijke) Microsoft-accounts. 
  9. Zelfs wanneer je geen Azure gebruikt, kunnen criminelen diensten aanzetten binnen de Azure Portal. Bij Azure geldt ‘pay-as-you-go’, waardoor je voor iedere minuut dat er een dienst aanstaat achteraf een factuur ontvangt. 
  10. Maak gebruik van beveiligde acties. Via beveiligde acties zorg je dat er een extra verificatie nodig is bij specifieke wijzigingen, bijvoorbeeld wijzigingen in rollen. Zo maak je het de hacker moeilijker om ongeoorloofde acties uit te voeren.
  11. Werk met de Secure Score van Microsoft Defender for Cloud en volg de aanbevelingen op die daar gegeven worden.
  12. Denk na over het upgraden naar Microsoft 365 A5. Hiermee heb je meer mogelijkheden (bijvoorbeeld het automatiseren van acties op ongeoorloofde handelingen) en verklein je de risico’s dus nog meer.

Extra maatregelen voor wanneer jullie Azure verbruiken

Hebben jullie Azure-diensten aanstaan? Let dan ook op deze maatregelen:

  1. Vergrendel je resources, zodat criminelen niet zomaar lopende Azure-diensten kunnen verwijderen, waar mogelijk veel werk en geld in heeft gezeten. Lees hoe je dit doet.
  2. Denk na over je Azure-beleid, door middel van de Azure Policies. Denk hierbij aan dat je alleen vanaf bepaalde IP-adressen iets mag aanzetten of dat bepaalde (extreem dure) servers nooit aangezet mogen worden. Lees hoe je hier een beleid voor opstelt.
  3. Controleer en analyseer regelmatig de Azure-kosten in de Azure Portal via kostenbeheer en facturering (Cost Management). Kies hierbij het juiste Factureringsbereik (Billing Scope), ga naar Kostenbeheer (Cost Management) en maak gebruik van Kostanalyse (Cost Analysis). Gebruik filters zoals Enrollment Account en Subscription om eenvoudig de gemaakte kosten over een bepaalde periode weer te geven en een trendanalyse te maken.

Aan de slag

Zorg ervoor dat je in ieder geval MFA zo snel mogelijk instelt, wanneer je dat nog niet hebt gedaan. Zoals eerder aangegeven is dat een must! Daarnaast adviseren we je ook dringend om de andere maatregelen te treffen.

Onthoud goed dat ook na het opvolgen van alle maatregelen, je als onderwijsinstelling altijd zelf verantwoordelijk blijft voor de beveiliging en het up-to-date houden van het beveiligingsbeleid, om zo de risico’s zo goed mogelijk te beperken.

Vragen of meer informatie?

Neem dan gerust contact op met onze Servicedesk. Daarnaast bieden onze Microsoft consultants ook ondersteuning bij het inrichten van MFA en voorwaardelijke toegang voor al je medewerkers, ook bijvoorbeeld in combinatie met Single Sign On (SSO) in ParnasSys.

Tip van experts: zet bij beheerders MFA altijd aan

''Wij zien vaak dat scholen MFA aanzetten voor beheerders en daarbij een uitzondering maken voor het netwerk op school. Dus: MFA staat uit wanneer de beheerder werkt vanuit de school. Maar dat betekent dat een leerling die daar ook aanwezig is, al een mogelijke bedreiging is. Maak daarom geen uitzonderingen voor beheerdersaccounts en zet MFA altijd aan.''
Lees meer

Hieronder vind je ook nog verschillende handleidingen van Microsoft over dit onderwerp:

Veelgestelde vragen

Is Azure wel veilig om te gebruiken?
Jazeker! Dit incident had evengoed kunnen gebeuren bij platformen als Google of AWS. Dit heeft in feite niets met Microsoft of Azure te maken en de veiligheid ervan. De meeste hacks gebeuren door menselijke fouten: het klikken op een phishing-mail, het opschrijven van inloggegevens op briefjes en inloggen op een malafide website. Het is altijd belangrijk om accounts goed te beveiligen. Daarom ligt de nadruk heel erg op MFA, omdat blijkt dat MFA het hacken van accounts met 99% kan voorkomen. Veel scholen werken nog zonder MFA. Zo zet je in feite de deur op een kier, waardoor kwaadwillenden (te) makkelijk naar binnen kunnen. En via een admin-account hebben zij ook direct de sleutel van 'de kluis' in handen.

Wij gebruiken geen Azure. Lopen we dan ook risico?
Ondanks dat je geen Azure verbruikt, beschik je wel over een Azure Portal. Dat betekent dat criminelen die je tenant binnendringen wél diensten kunnen aanzetten via deze portal en jullie met hoge kosten kunnen opzadelen. Daarom is het noodzakelijk dat je direct goede beveiligingsmaatregelen treft. Zo verklein je het risico op een soortgelijk incident.

Hulp nodig? Of wijzigingen doorgeven?

Handige linkjes

Bekijk je licenties, lees de handleidingen of ga naar de wijzigingsformulieren.

Heb je vragen?

Onze Servicedesk staat elke werkdag van 8.30 tot 17.00 uur voor je klaar en is bereikbaar via 030 - 285 68 70 of info@apsitdiensten.nl

Cookies

Wij maken gebruik van cookies (Functioneel, Analytisch, Marketing) die noodzakelijk zijn om de website zo goed mogelijk te laten functioneren. Door op alle cookies accepteren te klikken geef je aan hiermee akkoord te gaan. Bekijk onze privacy verklaring.