Amerikaanse CISA verplicht overheidsinstanties hun cloudomgevingen te beveiligen

De Amerikaanse Cybersecurity and Infrastructure Security Agency heeft een bindende richtlijn aangenomen die federale overheidsinstanties opdraagt hun cloudomgevingen te beveiligen aan de hand van een aantal basisregels.

De CISA heeft de regels opgenomen in een Binding Operational Directive, die overheidsinstanties verplicht om bepaalde secure practices te hanteren bij het gebruik van clouddiensten. Volgens het agentschap moeten die het aanvalsoppervlak van de federale overheid zoveel mogelijk beperken. De eerste regels die zijn afgerond hebben specifiek betrekking op Microsoft 365-omgevingen. Later volgen ook richtlijnen voor andere cloudplatforms.

Met de regels zijn verschillende deadlines en verplichtingen gemoeid. De eerste daarvan valt op 21 februari 2025. Op die datum moeten instanties van de federale overheid informatie over hun Microsoft 365-omgevingen gedeeld hebben met de CISA. Op 20 april moeten de instanties een assessmenttool geïmplementeerd hebben, waarmee de huidige configuraties van hun cloudsystemen worden beoordeeld.

Vóór 20 juni moeten de overheidsinstellingen hun configuraties gewijzigd hebben aan de hand van basisrichtlijnen die de CISA voor verschillende Microsoft-diensten heeft gepubliceerd. De regels hebben betrekking op Azure Active Directory en Entra ID, Exchange Online, Microsoft Defender, Power Platform, SharePoint Online, OneDrive en Microsoft Teams.

Onder de regels wordt bijvoorbeeld 'phishingresistente multifactorauthenticatie' verplicht voor Entra ID en Azure Active Directory, zoals een fysieke FIDO2-beveiligingssleutel. In Exchange moet onder meer het automatisch doorsturen van e-mails naar externe domeinen uitgeschakeld zijn en worden bepaalde Dmarc- en SPF-policy's verplicht. In OneDrive en SharePoint wordt onder andere het delen van bestanden met externe gebruikers beperkt en worden bestanden automatisch gedeeld in View only-modus. Andere voorbeelden stellen dat standaard de strikte modus ingeschakeld moet zijn in Microsoft Defender en dat anonieme gebruikers geen Teams-meetings mogen starten.

Hoewel de eerste regels specifiek zijn gericht op Microsoft 365, werkt de CISA ook aan basisrichtlijnen voor andere cloudplatforms. Momenteel is het cybersecurityagentschap bijvoorbeeld bezig met definitieve richtlijnen voor Google Workspace-omgevingen.

Reacties (15)

Westpjotr 18 december 2024 15:31

Ik ben niet thuis in de beveiliging: hoe scherp is dit in Nederland vormgegeven?

AceAceAce @Westpjotr • 18 december 2024 16:02

https://www.digitaleoverh...oudgebruik-rijksoverheid/

Een update over het cloud beleid voor de (rijks)overheid is in de maak

M3m3nt0m0r1 @Westpjotr • 18 december 2024 15:43

Niet.
Nou ja, zou via de BIO geregeld moeten zijn, maar dat is een wassen neus.

[Reactie gewijzigd door M3m3nt0m0r1 op 18 december 2024 15:43]

lDDQD @M3m3nt0m0r1 • 18 december 2024 15:52

Nee. De BIO bestaat uit best practices en is op ISO 27002 gebaseerd.

In het artikel gaat het over een vendor specifieke technische baseline, nu voor Microsoft en in de toekomst voor andere cloud services providers.

De BIO is hier dus niet direct mee te vergelijken.

DeTeraarist 18 december 2024 17:53

Onder de regels wordt bijvoorbeeld 'phisingresistente multifactorauthenticatie' verplicht voor Entra ID en Azure Active Directory, zoals een fysieke FIDO2-beveiligingssleutel.

Je kunt niet multifactorauthenticatie noemen en dan 1 voorbeeld geven.

the_stickie @DeTeraarist • 18 december 2024 18:11

...wel een voorbeeld van een moderne, veilige, extra factor die bovendien phishingresistent is.
Afaik is een fysieke FIDO2 sleutel niet bruikbaar als single factor en dus een prima vorbeeld van tech waar je moet naar kijken als je nog niet helemaal thuis bent in het MFA verhaal..

Barbapapa720 @DeTeraarist • 19 december 2024 05:49

MFA (Multi factor authenticatie) wil zeggen dat je naast je gebruikersnaam en wachtwoord nog een authenticatie hebt.

Je weet iets (gebruikersnaam en wachtwoord) en je hebt iets (in dit geval een fysieke sleutel).

Een fysieke sleutel is dus een voorbeeld van MFA.

nopcode @Barbapapa720 • 19 december 2024 13:20

gebruikersnaam en wachtwoord Is geen verplichte factor, kunnen ook 2 andere zaken zijn.

HenkEisDS 18 december 2024 15:36

Goede zaak, zou wat mij betreft zelfs breder verplicht moeten worden. Maar zou het niet makkelijker zijn om Microsoft die zaken te laten afdwingen? Ik werk veel met een concurrent van Microsoft, Salesforce, en daar worden bepaalde beveiligingsupdates aangekondigd, in sandboxes aangezet en daarna naar productieinstances gepushed. Dan kunnen er ineens dingen stuk gaan, maar dan had je de releasenotes maar moeten bijhouden.

The Realone @HenkEisDS • 18 december 2024 15:43

Dat is bij Microsoft niet anders, maar het gewenste niveau van beveiliging door de provider laten afdwingen lijkt me niet praktisch, al is het maar omdat dat gewenste niveau per organisatie kan verschillen. Dat is een verantwoordelijkheid die de klanten zelf kunnen en moeten nemen,

kimborntobewild 18 december 2024 15:43

De CISA heeft een bindende richtlijn aangenomen die overheidsinstanties opdraagt hun cloudomgevingen te beveiligen...

Waarom nu pas? Dat had al vanaf de allereerste dag gemoeten, dat 'cloud' beschikbaar was.

De eerste regels die zijn afgerond hebben specifiek betrekking op Microsoft 365-omgevingen.

MS 365 is tegenwoordig dermate complex en veelomvattend: ik vraag me af of dat uberhaupt nog wel behoorlijk veilig is te krijgen, zonder grote afbreuk te doen aan productiviteit.

[Reactie gewijzigd door kimborntobewild op 18 december 2024 15:45]

the_stickie @kimborntobewild • 18 december 2024 18:07

Afaik is die 'nu pas' wel als eerste land ter wereld dat specifieke, concrete, richtlijnen aanbiedt en verplicht toe te passen. CISA (en bij uitbreiding het NIST) is al jaren de internationale voortrekker in cybersecurity guidelines. Er waren er al algemene ('gebruik een firewall', 'beveiligde autehnticatie'...), maar nu zijn de richtlijnen product specifiek en dus makkelijker toe te passen (en te auditen)

Wat betreft de mogelijkheid om te beveiligen: volgens mij is dit net makkelijker omdat een heel deel van de zorgen door iemand anders gedragen wordt. Bovendien is dit geen windows 98, maar 'secure by design' door een aantal van de meest toonaangevende IT bedrijven.
Complexiteit van de hele MS cloud hoeft niet te betekenen dat het complex is hetgene je gebruikt correct te gebruiken.
Er zijn jammer genoeg natuuurlijk ook veel manieren om het niet correct te gebruiken - maar dat is bij onprem niet anders. De impact van een foute configuratie of slecht beleid kan ook groter zijn omdat je potentieel het hele internet toegang geeft tot wat voorheen privately hosted services waren.

CPV 18 december 2024 16:38

Verplichten!
Nou, dat heeft een tijd geduurd, terwijl het al heel lang nodig was. Nu hier nog.

san070 18 december 2024 17:45

Het grootste aanvalsoppervlak zijn de gebruikers en hun devices, niet het platform. Ik mag dus hopen, dat die beveiliging meer inhoud, dan wat instellingen op aanmelding en enkele producten. Dataclassificatie, DLP, voorkomen van downloads en exports naar lokale systemen (omdat dat zoveel makkelijker werkt).

ibmpc 19 december 2024 00:58

Goed dat phishing resistant verplicht wordt. Vreemd dat Entra en Azure AD beiden worden genoemd. Dit wordt nog wat voor onze lokale Sheriff, die weten nog niet eens wat een wachtwoord is en hun IT mannetje is ook gewoon een deputy

Wel ingewikkeld, want WHFB is bijvoorbeeld prima phishing resistant, maar nog niet alle apps op Android en iOS zijn dat volledig (zijn er bijna, nog eventjes

). Ook Powershell kan nog niet altijd phishing resistant inloggen.

Zo snel mogelijk het onveilige TOTP eruit trappen. Hoe eerder, hoe beter.

[Reactie gewijzigd door ibmpc op 19 december 2024 00:58]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (15)

Sorteer op:

Weergave: