Přehled srovnávacího testu cloudového zabezpečení Microsoftu (v1)
Microsoft Cloud Security Benchmark (MCSB) poskytuje doporučené osvědčené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure a ve vašem multicloudovém prostředí. Tento srovnávací test se zaměřuje na oblasti řízení zaměřené na cloud se vstupy ze sady ucelených pokynů Microsoftu a oborového zabezpečení, které zahrnují:
- Cloud Adoption Framework: Pokyny k zabezpečení, včetně strategie, rolí a odpovědností, osvědčených postupů zabezpečení Azure Top 10 a referenční implementace.
- Azure Well-Architected Framework: Pokyny k zabezpečení úloh v Azure.
- Workshop vedoucího oddělení pro zabezpečení informací (CISO):Programové pokyny a referenční strategie pro urychlení modernizace zabezpečení s využitím nulová důvěra (Zero Trust) principů.
- Osvědčené standardy zabezpečení a architektura jiných poskytovatelů cloudových služeb: Mezi příklady patří Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS) Controls, NIST (National Institute of Standards and Technology) a PCI-DSS (Payment Card Industry Data Security Standard).
Co je nového ve srovnávacím testu cloudového zabezpečení Microsoftu v1
Poznámka
Microsoft Cloud Security Benchmark je nástupcem srovnávacího testu zabezpečení Azure (ASB), který byl přejmenován v říjnu 2022.
Podpora Google Cloud Platform v MCSB je nyní k dispozici jako funkce Preview v pokynech k srovnávacím testům MCSB i v Microsoft Defender pro cloud.
Podívejte se, co je nového ve srovnávacím testu Microsoft Cloud Security v1:
Komplexní architektura vícecloudového zabezpečení: Organizace často musí vytvořit interní bezpečnostní standard, který sjednotí kontrolní mechanismy zabezpečení napříč několika cloudovými platformami, aby splňovaly požadavky na zabezpečení a dodržování předpisů pro každou z nich. To často vyžaduje, aby bezpečnostní týmy opakovaly stejnou implementaci, monitorování a hodnocení v různých cloudových prostředích (často pro různé standardy dodržování předpisů). To vytváří zbytečnou režii, náklady a úsilí. Abychom tuto obavu vyřešili, vylepšili jsme ASB na MCSB, aby vám pomohla rychle pracovat s různými cloudy:
- Poskytuje jedinou architekturu řízení pro snadné splnění bezpečnostních prvků napříč cloudy.
- Poskytování konzistentního uživatelského prostředí pro monitorování a vynucování srovnávacího testu zabezpečení více cloudů v Defenderu for Cloud
- Udržování souladu s oborovými standardy (např. CIS, NIST, PCI)
Automatizované monitorování řízení pro AWS v Microsoft Defender for Cloud: Řídicí panel Microsoft Defender pro dodržování právních předpisů v cloudu můžete použít k monitorování prostředí AWS proti MCSB stejně jako v prostředí Azure. Vyvinuli jsme přibližně 180 kontrol AWS pro nové pokyny k zabezpečení AWS v MCSB, které umožňují monitorovat prostředí a prostředky AWS v Microsoft Defender for Cloud.
Aktualizace stávajících pokynů a principů zabezpečení Azure: Během této aktualizace jsme také aktualizovali některé stávající pokyny a principy zabezpečení Azure, abyste mohli zůstat aktuální s nejnovějšími funkcemi a možnostmi Azure.
Ovládací prvky
| Řídicí domény | Description |
|---|---|
| Zabezpečení sítě (NS) | Zabezpečení sítě zahrnuje ovládací prvky pro zabezpečení a ochranu sítí, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírňování externích útoků a zabezpečení DNS. |
| Správa identit (IM) | Správa identit zahrnuje ovládací prvky pro vytvoření zabezpečené identity a řízení přístupu pomocí systémů správy identit a přístupu, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněného přístupu a monitorování anomálií účtů. |
| Privilegovaný přístup (PA) | Privilegovaný přístup zahrnuje ovládací prvky pro ochranu privilegovaného přístupu k vašemu tenantovi a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem. |
| Ochrana dat (DP) | Ochrana dat zahrnuje kontrolu nad ochranou neaktivních uložených dat, přenášených dat a prostřednictvím mechanismů autorizovaného přístupu, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a správy certifikátů. |
| Asset Management (AM) | Správa prostředků zahrnuje kontrolní mechanismy, které zajišťují viditelnost zabezpečení a zásady správného řízení u vašich prostředků, včetně doporučení ohledně oprávnění pro pracovníky zabezpečení, zabezpečení přístupu k inventáři prostředků a správy schválení pro služby a prostředky (inventář, sledování a opravy). |
| Protokolování a detekce hrozeb (LT) | Protokolování a detekce hrozeb zahrnují kontrolní mechanismy pro detekci hrozeb v cloudu a povolení, shromažďování a ukládání protokolů auditu pro cloudové služby, včetně povolení procesů detekce, vyšetřování a nápravy s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb v cloudových službách. Zahrnuje také shromažďování protokolů pomocí služby monitorování cloudu, centralizaci analýzy zabezpečení pomocí SIEM, synchronizaci času a uchovávání protokolů. |
| Reakce na incidenty (IR) | Reakce na incidenty zahrnuje kontrolní mechanismy v životním cyklu reakce na incidenty – aktivity přípravy, detekce a analýzy, omezování a po incidentu, včetně použití služeb Azure (například Microsoft Defender pro cloud a Sentinel) a/nebo jiných cloudových služeb k automatizaci procesu reakce na incidenty. |
| Správa stavu a ohrožení zabezpečení (PV) | Správa stavu zabezpečení a ohrožení zabezpečení se zaměřuje na kontrolní mechanismy pro posuzování a zlepšování stavu cloudového zabezpečení, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy a také sledování konfigurace zabezpečení, vytváření sestav a oprav v cloudových prostředcích. |
| Zabezpečení koncového bodu (ES) | Zabezpečení koncového bodu zahrnuje kontrolní mechanismy při detekci a odezvě koncových bodů, včetně použití detekce a odezvy koncových bodů (EDR) a antimalwarové služby pro koncové body v cloudových prostředích. |
| Zálohování a obnovení (BR) | Zálohování a obnovení zahrnují ovládací prvky, které zajišťují, že zálohování dat a konfigurací na různých úrovních služby se provádí, ověřuje a chrání. |
| DevOps Security (DS) | DevOps Security zahrnuje kontrolní mechanismy související s vytvářením zabezpečení a operacemi v procesech DevOps, včetně nasazení důležitých kontrol zabezpečení (jako je testování zabezpečení statických aplikací, správa ohrožení zabezpečení) před fází nasazení, aby se zajistilo zabezpečení v celém procesu DevOps. Zahrnuje také běžná témata, jako je modelování hrozeb a zabezpečení dodávek softwaru. |
| Zásady správného řízení a strategie (GS) | Zásady správného řízení a strategie poskytují pokyny pro zajištění soudržné strategie zabezpečení a dokumentovaný přístup k zásadám správného řízení, který zajišťuje a udržuje zabezpečení, včetně stanovení rolí a odpovědností za různé funkce zabezpečení cloudu, sjednocené technické strategie a podpory zásad a standardů. |
Doporučení ve srovnávacím testu cloudového zabezpečení Microsoftu
Každé doporučení obsahuje následující informace:
- ID: ID srovnávacího testu, které odpovídá doporučení.
- ID ovládacích prvků CIS v8: Ovládací prvky CIS v8, které odpovídají doporučení.
- ID ovládacích prvků CIS v7.1: Ovládací prvky CIS Controls v7.1, které odpovídají doporučení (nejsou k dispozici na webu z důvodu formátování).
- ID PCI-DSS v3.2.1: Ovládací prvky PCI-DSS v3.2.1, které odpovídají doporučení.
- NIST SP 800-53 r4 ID(y): Kontroly NIST SP 800-53 r4 (střední a vysoké) odpovídají tomuto doporučení.
- Security Principle (Princip zabezpečení): Doporučení se zaměřilo na "co", které vysvětluje řízení na úrovni nezávislé na technologiích.
- Pokyny k Azure: Doporučení se zaměřilo na postup a vysvětlilo technické funkce Azure a základy implementace.
- Pokyny pro AWS: Doporučení se zaměřilo na "jak" a vysvětlilo technické funkce AWS a základy implementace.
- Implementace a další kontext: Podrobnosti implementace a další relevantní kontext, který odkazuje na články dokumentace k nabídce služeb Azure a AWS.
- Účastníci zabezpečení zákazníků: Funkce zabezpečení v organizaci zákazníka, kteří můžou být zodpovědní, odpovědní nebo nahlíželi na příslušný ovládací prvek. Může se lišit v závislosti na organizační struktuře zabezpečení vaší společnosti a rolích a zodpovědnostech, které nastavíte v souvislosti se zabezpečením Azure.
Mapování kontrol mezi MCSB a oborovými srovnávacími testy (například CIS, NIST a PCI) pouze značí, že konkrétní funkce Azure je možné použít k úplnému nebo částečnému řešení požadavků na kontrolu definovaných v těchto oborových srovnávacích testech. Měli byste si uvědomit, že taková implementace nemusí nutně znamenat úplné dodržování odpovídajících kontrol v těchto oborových srovnávacích testech.
Uvítáme vaši podrobnou zpětnou vazbu a aktivní účast ve srovnávacím testu cloudového zabezpečení od Microsoftu. Pokud chcete poskytnout přímý vstup, pošlete nám e-mail na adresu benchmarkfeedback@microsoft.com.
Stáhnout
Můžete si stáhnout offline kopii srovnávacího testu a základního plánu ve formátu tabulky.
Další kroky
- Podívejte se na první ovládací prvek zabezpečení: Zabezpečení sítě.
- Přečtěte si úvod ke srovnávacímu testu cloudového zabezpečení Microsoftu.
- Seznámení se základy zabezpečení Azure