تعيين التحكم في الأمان باستخدام مناطق هبوط Azure

يطلب من العديد من المؤسسات الامتثال لأنظمة صناعية/إقليمية معينة قبل اعتماد خدمات Azure السحابية وإلحاقها. يتم تحديد لوائح التوافق هذه من خلال مجال التوافق وعناصر التحكم على التوالي. على سبيل المثال، CMMC L3 AC 1.001 حيث AC هو مجال التحكم في الوصول و1.001 هو معرف تحكم في إطار عمل شهادة نموذج نضج الأمان عبر الإنترنت (CMMC). توصية أفضل الممارسات هي تعيين عناصر تحكم التوافق المطلوبة إلى معيار أمان سحابة Microsoft (MCSB) وتحديد المجموعة المخصصة من عناصر التحكم التي لا يغطيها MCSB.

بالإضافة إلى ذلك، يوفر MCSB أيضا قائمة النهج المضمنة ومبادرات النهج GUIDs لمعالجة عناصر التحكم المطلوبة. بالنسبة لعناصر التحكم غير المشمولة في MCSB، تتضمن إرشادات تعيين عنصر التحكم عملية خطوة بخطوة حول كيفية إنشاء النهج والمبادرات.

يمكن أن يؤدي تعيين عناصر التحكم المطلوبة إلى معيار أمان سحابة Microsoft إلى تسريع تجربة إلحاق Azure الآمنة بشكل كبير. يوفر معيار أمان السحابة من Microsoft مجموعة أساسية من عناصر التحكم في الأمان التقني التي تركز على السحابة استنادا إلى أطر التحكم في التوافق المستخدمة على نطاق واسع مثل NIST و CIS و PCI. هناك مبادرات امتثال تنظيمية مضمنة متاحة بالفعل. إذا كنت مهتما بمجال توافق معين، فراجع مبادرات التوافق التنظيمي المضمنة.

ملاحظة

تشير تعيينات التحكم بين معيار أمان السحابة من Microsoft ومعايير الصناعة، مثل CIS و NIST و PCI، فقط إلى أنه يمكن استخدام ميزة Azure معينة لمعالجة متطلبات التحكم المحددة في معايير الصناعة هذه بشكل كامل أو جزئي. يجب أن تدرك أن هذا التنفيذ لا يترجم بالضرورة إلى الامتثال الكامل لعناصر التحكم المقابلة في معايير الصناعة هذه.

يوضح الرسم التخطيطي التالي تدفق عملية تعيين عنصر التحكم:

خطوات تعيين التحكم

1. تحديد عناصر التحكم المطلوبة.
2. تعيين عناصر التحكم المطلوبة إلى معيار أمان السحابة من Microsoft.
3. حدد عناصر التحكم التي لم يتم تعيينها باستخدام معيار أمان سحابة Microsoft والنهج المعنية.
4. إجراء تقييم على مستوى النظام الأساسي والخدمة.
5. تنفيذ حواجز الحماية مع مبادرات النهج باستخدام أدوات منطقة هبوط Azure أو الأدوات الأصلية أو أدوات الجهات الخارجية.

تلميح

يجب عليك مراجعة الإرشادات الخاصة بكيفية تخصيص بنية منطقة هبوط Azure لدعم متطلبات تعيين عنصر التحكم.

1. تحديد عناصر التحكم المطلوبة

اجمع جميع القوائم الحالية والمطلوبة لعناصر تحكم التوافق من فريق الأمان. إذا لم تكن القائمة موجودة، فسجل متطلبات التحكم في جدول بيانات Excel. يرجى استخدام التنسيق أدناه كإرشادات لإنشاء القائمة. تتكون القائمة من عناصر تحكم من إطار توافق واحد أو العديد من أطر العمل. استخدم قالب تعيين عنصر تحكم الأمان لالتقاط عناصر التحكم المطلوبة وأطر العمل ذات الصلة.

عينة من قائمة عناصر التحكم الرسمية.

2. تعيين عناصر التحكم إلى معيار أمان سحابة Microsoft وإنشاء مجموعة من عناصر التحكم المخصصة

لكل عنصر تحكم قمت بالتقاطه، استخدم عناوين التحكم المناسبة وفئات المجال والإرشادات/الوصف لتحديد عناصر التحكم ذات الصلة. قم بمحاذاة هدف كل عنصر تحكم في أقرب وقت ممكن ولاحظ الانحراف أو الفجوات في جدول البيانات.

يمكنك أيضا استخدام أطر العمل الشائعة التي تم تعيينها لكل من معيار أمان السحابة الخاص بمؤسستك وMicrosoft حيثما وجدت. على سبيل المثال، إذا تم تعيين عناصر تحكم معيار الأمان السحابي من Microsoft وMicrosoft إلى NIST 800-53 r4 أو CIS 7.1، فيمكنك ضم مجموعات البيانات معا على هذا المحور. يمكن العثور على أطر عمل مشتركة متوسطة في قسم الموارد

مثال تعيين عنصر تحكم واحد: أهداف التحكم الخاصة بمؤسستك

يعرض الجدول أعلاه أحد أهداف التحكم الفريدة مع تمييز الكلمات الرئيسية.

في هذا المثال، يمكننا النظر في التصنيف الحالي لعنصر تحكم معين "أمان التطبيق" لتعريفه كعنصر تحكم متعلق بالتطبيق. المحتوى في حقل المتطلبات هو تنفيذ جدران حماية التطبيقوتقوية تطبيقاتها وتصحيحها. بالنظر إلى عناصر تحكم معيار أمان السحابة من Microsoft وإرشاداتها للحصول على تطابق مناسب، يمكننا أن نرى أن هناك العديد من عناصر التحكم التي قد تنطبق وتعين بشكل مناسب.

للبحث بسرعة في إصدار معين من معيار أمان السحابة من Microsoft، نقدم ملفات تنزيل Excel لكل إصدار يمكن البحث فيه بسرعة عن طريق معرف عنصر التحكم أو جزء من ذروة الوصف. في هذه الخطوة، تحدد العملية عناصر التحكم التي تغطيها معيار أمان السحابة من Microsoft وتحددها.

3. تحديد عناصر التحكم التي لم يتم تعيينها باستخدام معيار أمان سحابة Microsoft والنهج المعنية

يجب وضع علامة على أي عناصر تحكم محددة قد لا يتم تعيينها مباشرة على أنها تحتاج إلى تخفيف الأتمتة، ويجب تطوير نهج مخصص أو برنامج نصي للأتمتة في عملية تنفيذ حواجز الحماية.

تلميح

AzAdvertizer هي أداة تعتمد على المجتمع معتمدة من قبل Cloud Adoption Framework. يمكن أن يساعدك في اكتشاف النهج المضمنة، من مناطق هبوط Azure أو من مستودع نهج Azure المجتمعي في مكان واحد.

4. إجراء تقييم على مستوى النظام الأساسي والخدمة

بمجرد تعيين عناصر التحكم والأهداف بوضوح إلى معيار أمان السحابة من Microsoft وجمع المعلومات الداعمة حول المسؤولية والتوجيه والمراقبة، يجب على مكتب أمان تكنولوجيا المعلومات أو المؤسسة الداعمة مراجعة جميع المعلومات المقدمة في تقييم النظام الأساسي الرسمي.

سيحدد تقييم النظام الأساسي هذا ما إذا كان معيار أمان السحابة من Microsoft يفي بالحد الأدنى للاستخدام وما إذا كان يمكنه تلبية جميع متطلبات الأمان والتوافق التي تفرضها اللوائح.

إذا كانت هناك فجوات محددة، فلا يزال بإمكانك استخدام معيار أمان السحابة من Microsoft ولكن قد تحتاج إلى تطوير عناصر تحكم مخففة حتى يتم إغلاق هذه الثغرات ويمكن للمعيار إصدار التحديثات لمعالجتها. بالإضافة إلى ذلك، يمكنك تعيين عناصر التحكم المخصصة عن طريق إنشاء تعريف نهج وإضافة اختياريا إلى تعريف مبادرة.

قوائم التحقق للموافقة عليها

1. وافق فريق الأمان على نظام Azure الأساسي للاستخدام.

2. ستحتاج إلى الانضمام إلى أساس خدمة معيار أمان سحابة Microsoft فردي Excel إلى تعيينات التحكم المكتملة مسبقا على مستوى النظام الأساسي.

   • أضف أعمدة لاستيعاب التقييم مثل: التغطية والإنفاذ والتأثيرات المسموح بها.

3. قم بإجراء تحليل سطرا سطريا لقالب تقييم أساس الخدمة الناتج:

   • لكل هدف عنصر تحكم، قم بالإشارة إلى:

     • إذا كان يمكن الوفاء بها من قبل الخدمة أو المخاطر.
     • قيمة المخاطر، إن وجدت.
     • حالة المراجعة لعنصر السطر هذا.
     • عناصر التحكم المخففة المطلوبة، إن وجدت.
     • ما يمكن ل Azure Policy فرض/مراقبة عنصر التحكم.

   • عندما تكون هناك فجوات في المراقبة أو الإنفاذ للخدمة والمراقبة:

     • قم بالإبلاغ إلى فريق معيار أمان السحابة من Microsoft لسد الثغرات في المحتوى أو المراقبة أو الإنفاذ.

   • بالنسبة لأي مناطق لا تفي بمتطلباتك، لاحظ المخاطر التي ينطوي عليها الأمر إذا اخترت إعفاء هذا المطلب والتأثير وما إذا كان من المقبول الموافقة عليه أو إذا تم حظرك بسبب الفجوة.

4. يتم تحديد حالة الخدمة:

   • إما أن تفي الخدمة بجميع المتطلبات، أو أن المخاطر مقبولة ويتم وضعها على قائمة السماح لاستخدامها بعد وجود حواجز حماية.
   • OR، فجوات الخدمة كبيرة جدا / خطر كبير جدا ويتم وضع الخدمة على قائمة الحظر. لا يمكن استخدامه حتى يتم إغلاق الثغرات من قبل Microsoft.

المدخلات - مستوى النظام الأساسي

• قالب تقييم الخدمة (Excel)
• التحكم في أهداف تعيين معيار أمان السحابة من Microsoft
• خدمة الهدف

المخرجات - مستوى النظام الأساسي

• تقييم الخدمة المكتملة (Excel)
• عناصر التحكم المخففة
• الثغرات
• الموافقة/عدم الموافقة على استخدام الخدمة

بعد موافقة فريق الأمان/التدقيق الداخلي على أن النظام الأساسي والخدمات الأساسية تلبي احتياجاتهم، تحتاج إلى تنفيذ المراقبة والحماية المناسبة المتفق عليها. أثناء عملية التعيين والتقييم، إذا كانت هناك عناصر تحكم مخففة تتجاوز معيار أمان السحابة من Microsoft، فستحتاج عناصر التحكم المضمنة أو نهج Azure إلى تنفيذها باستخدام تعريفات النهج وإضافتها اختياريا إلى تعريف المبادرة.

قائمة اختيار - مستوى الخدمة

1. تلخيص النهج التي تم تحديدها على أنها مطلوبة كإخراج لتقييم النظام الأساسي وتقييمات الخدمة.
2. تطوير أي تعريفات نهج مخصصة مطلوبة لدعم تخفيف الضوابط/الثغرات.
3. إنشاء مبادرة نهج مخصصة.
4. قم بتعيين مبادرة النهج باستخدام أدوات منطقة هبوط Azure أو الأدوات الأصلية أو أدوات الجهات الخارجية.

المدخلات - مستوى الخدمة

• تقييم الخدمة المكتملة (Excel)

المخرجات - مستوى الخدمة

• مبادرة النهج المخصصة

5. تنفيذ حواجز الحماية باستخدام منطقة هبوط Azure أو الأدوات الأصلية

تصف الأقسام التالية عملية تحديد وتعيين وتنفيذ عناصر التحكم المتعلقة بالتوافق التنظيمي كجزء من نشر منطقة هبوط Azure. يغطي التوزيع النهج التي تتوافق مع معيار أمان السحابة من Microsoft لعناصر التحكم في الأمان على مستوى النظام الأساسي.

تلميح

كجزء من مسرعات منطقة Azure المنتقل إليها (المدخل، Bicep&Terraform)، نقوم بتعيين مبادرة نهج معيار أمان السحابة من Microsoft إلى مجموعة إدارة الجذر الوسيطة بشكل افتراضي.

يمكنك التعرف على النهج المعينة كجزء من توزيع مسرع منطقة Azure المنتقل إليها.

إرشادات نهج التنفيذ

اعتمادا على أهداف التحكم الخاصة بك، قد تحتاج إلى إنشاء تعريفات نهج مخصصة وتعريفات مبادرة النهجوتعيينات النهج.

راجع الإرشادات التالية لكل خيار تنفيذ مسرع.

مدخل مسرع المنطقة المنتقل إليها في Azure

عند استخدام التجربة المستندة إلى مدخل منطقة Azure المنتقل إليها:

• إنشاء نُهج أمان مخصصة في Microsoft Defender for Cloud
• البرنامج التعليمي: إنشاء تعريف نهج مخصص
• تعيين نهج Azure أو مبادرات النهج

Azure Resource Manager مع AzOps

عند استخدام قوالب Resource Manager مع AzOps Accelerator، راجع مقالة التوزيع لمعرفة كيفية تشغيل النظام الأساسي Azure باستخدام البنية الأساسية كتعلم برمجي.

• إضافة تعريفات ومبادرات نهج Azure المخصصة
• تعيين نهج Azure

وحدة Terraform

عند استخدام وحدة Terraform لمناطق هبوط Azure، راجع المستودع wiki للحصول على إرشادات حول كيفية إدارة تعريفات وتعيينات النهج الإضافية.

• إضافة تعريفات وتعيينات نهج Azure المخصصة
• تعيين نهج Azure مضمن
• توسيع تعريفات النموذج الأصلي المضمنة

Bicep

عند استخدام تنفيذ Bicep لمناطق هبوط Azure، تعرف على كيفية إنشاء تعريفات النهج والتعيينات الخاصة بك.

• إضافة تعريفات ومبادرات نهج Azure المخصصة
• تعيين نهج Azure

تنفيذ نهج مخصصة عند عدم استخدام تنفيذ مناطق هبوط Azure

مدخل Azure

عند استخدام مدخل Microsoft Azure، راجع المقالات التالية.

• إنشاء نُهج أمان مخصصة في Microsoft Defender for Cloud
• إنشاء تعريف نهج مخصص
• إنشاء نُهج فرض التوافق وإدارتها
• تعيين مبادرات النهج

قوالب Azure Resource Manager

عند استخدام قوالب Resource Manager، راجع المقالات التالية.

• إنشاء تعريف نهج مخصص
• تعيين مبادرات النهج
• إنشاء تعيين نهج لتحديد الموارد غير المتوافقة باستخدام قالب ARM
• مرجع قالب تعريف نهج Bicep و Resource Manager
• مرجع قالب Bicep ومجموعة Resource Manager (المبادرة)
• مرجع قالب تعيين نهج Bicep و Resource Manager

Terraform

عند استخدام Terraform، راجع المقالات التالية.

• إضافة تعريفات ومبادرات نهج Azure المخصصة
• إضافة تعريف مجموعة نهج Azure
• تعيين نهج مجموعة الإدارة
• تعيين نهج Azure أو مبادرة النهج

Bicep

عند استخدام قوالب Bicep، راجع المقالات التالية.

• التشغيل السريع: إنشاء تعيين نهج لتحديد الموارد غير المتوافقة باستخدام ملف Bicep
• مرجع قالب تعريف نهج Bicep و Resource Manager
• مرجع قالب Bicep ونهج Resource Manager (المبادرة)
• مرجع قالب تعيين نهج Bicep و Resource Manager

إرشادات لاستخدام Microsoft Defender للسحابة

يقارن Microsoft Defender for Cloud باستمرار تكوين مواردك مع المتطلبات في معايير الصناعة واللوائح والمعايير. توفر لوحة معلومات التوافق التنظيمي نظرة ثاقبة على وضع التوافق الخاص بك. تعرف على المزيد حول تحسين التوافق التنظيمي.

الأسئلة المتداولة

نحن نستخدم إطار عمل لم يتم تعيينه إلى معيار أمان سحابة Microsoft، كيف يمكنني الاستمرار في إعداد أهداف التحكم الخاصة بنا؟

نحن نقدم تعيينات معيار أمان السحابة من Microsoft للعديد من أطر العمل الصناعية الأكثر طلبا. ومع ذلك، بالنسبة لعناصر التحكم غير المشمولة حاليا، يلزم إجراء تمرين تعيين يدوي. في هذه الحالات، راجع خطواتنا لإجراء تعيين عنصر تحكم يدوي.

[مثال] نحن بحاجة إلى تلبية توافق Canada Federal Protected B (PBMM)، ولا يحتوي معيار أمان السحابة من Microsoft بعد على تعيين إلى PBMM. لتجاوز هذا التعيين، يمكنك العثور على تعيين إطار عمل مشترك مثل NIST SP 800-53 R4 المتوفر والم المعين لكل من PBMM وMCSB v2. باستخدام إطار العمل المشترك هذا، يمكنك فهم التوصيات والإرشادات التي يجب اتباعها في Azure لتلبية إطار العمل المطلوب.

لا تغطي عناصر تحكم معيار الأمان السحابي من Microsoft أهداف التحكم الخاصة بنا، كيف يمكنني إلغاء حظرها من الإلحاق؟

يركز معيار أمان السحابة من Microsoft على عناصر التحكم التقنية في Azure. يتم حذف المناطق الموضوعية المحيطة بالعناصر غير التقنية مثل التدريب، أو للعناصر غير الأمنية التقنية المباشرة، مثل أمان مركز البيانات، حسب التصميم. يمكن وضع علامة على هذه العناصر على أنها مسؤولية Microsoft، ويمكن توفير دليل على التوافق من محتوى معيار أمان السحابة من Microsoft أو تقارير تدقيق Microsoft. إذا وجدت أن الهدف هو حقا عنصر تحكم تقني، فقم بإنشاء عنصر تحكم مخفف بالإضافة إلى قاعدة التعقب، وأرسل طلبا لمعالجة MCSBteam@microsoft.com عناصر التحكم المفقودة في الإصدارات المستقبلية.

الموارد

⁧⁩مدخل Service Trust Portal⁧⁩

تحالف أمان السحابة

نظرة عامة على أمان مركز البيانات

نظرة عامة على الخدمات المالية

نظرة عامة على تقييم مخاطر المؤسسة المالية

اتفاقية مستوى الخدمة