Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Úvod do projektu srovnávacích testů zabezpečení cloudu Microsoftu, včetně klíčových konceptů, pokynů k implementaci a terminologie, najdete v úvodu ke srovnávacímu testu zabezpečení cloudu Microsoftu.
Srovnávací test cloudového zabezpečení Microsoftu v2 (Preview) poskytuje vylepšené pokyny zaměřené na Azure s rozšířenými doménami zabezpečení a komplexními podrobnostmi o technické implementaci. Tato verze vychází ze základu srovnávacího testu cloudového zabezpečení Microsoftu s upřesněnými ovládacími prvky zabezpečení, pokyny k zabezpečení AI a rozšířenými mapováními azure Policy.
Klíčové funkce
Poznámka:
Srovnávací test zabezpečení cloudu Microsoftu v2 je aktuálně ve verzi Preview. Tato verze nahrazuje srovnávací test cloudového zabezpečení Microsoftu v1. Vítáme vaši zpětnou vazbu, abychom ji mohli vylepšit. Pokud máte jakékoli dotazy nebo komentáře, pošlete nám e-mail na adresu benchmarkfeedback@microsoft.com.
Srovnávací test cloudového zabezpečení Microsoftu v2 (Preview) zahrnuje:
Zabezpečení umělé inteligence – nová doména zabezpečení se sedmi doporučeními týkajícími se zabezpečení platformy AI, zabezpečení aplikací AI a monitorování zabezpečení AI za účelem řešení hrozeb a rizik v nasazeních umělé inteligence.
Komplexní mapování azure Policy – Více než 420 integrovaných definic Azure Policy, které vám pomůžou měřit a monitorovat stav zabezpečení v Azure pomocí Azure Policy a Defenderu pro cloud.
Pokyny založené na rizicích a hrozbách – Komplexní pokyny s podrobnými příklady technické implementace a podrobnými odkazy, které vám pomůžou pochopit bezpečnostní rizika a hrozby, které každá kontrola zabezpečení zmírní a jak implementovat kontrolní mechanismy zabezpečení ve vašem prostředí Azure.
Domény zabezpečení
| Doména zabezpečení | Popis |
|---|---|
| Zabezpečení sítě (NS) | Zabezpečení sítě zahrnuje kontrolní mechanismy pro zabezpečení a ochranu sítí, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírnění externích útoků a zabezpečení DNS. |
| Správa identit (IM) | Správa identit se zabývá ovládacími prvky pro vytvoření zabezpečeného řízení identit a přístupu pomocí systémů pro správu identit a přístupu, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněný přístup a monitorování anomálií účtů. |
| Privilegovaný přístup (PA) | Privileged Access zahrnuje ovládací prvky, které chrání privilegovaný přístup k vašemu tenantovi a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem. |
| Ochrana dat (DP) | Ochrana dat zahrnuje kontrolu neaktivních uložených dat, přenášených dat a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a správy certifikátů. |
| Správa prostředků (AM) | Správa prostředků zahrnuje kontroly, které zajišťují viditelnost zabezpečení a zásady správného řízení u vašich prostředků, včetně doporučení pro oprávnění pro pracovníky zabezpečení, přístupu zabezpečení k inventáři prostředků a správy schválení pro služby a prostředky (inventář, sledování a správnost). |
| Protokolování a detekce hrozeb (LT) | Protokolování a detekce hrozeb zahrnuje kontroly pro detekci hrozeb v cloudu a povolení, shromažďování a ukládání protokolů auditu pro cloudové služby, včetně povolení detekce, vyšetřování a nápravných procesů s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb v cloudových službách. Zahrnuje také shromažďování protokolů pomocí cloudové monitorovací služby, centralizaci analýzy zabezpečení pomocí SIEM, synchronizace času a uchovávání protokolů. |
| Reakce na incidenty (IR) | Reakce na incidenty se zabývá kontrolami v životním cyklu reakce na incidenty – příprava, detekce a analýza, omezování a aktivity po incidentu, včetně použití služeb Azure (jako je Microsoft Defender for Cloud a Sentinel) a/nebo jiných cloudových služeb k automatizaci procesu reakce na incidenty. |
| Řízení postoje a zranitelností (PV) | Stav a správa ohrožení zabezpečení se zaměřuje na kontroly pro posouzení a zlepšení stavu zabezpečení v cloudu, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy, jakož i sledování konfigurace zabezpečení, generování sestav a oprav v cloudových prostředcích. |
| Zabezpečení koncových bodů (ES) | Endpoint Security se zabývá kontrolami v detekci a odpovědích koncových bodů, včetně použití detekce a odezvy koncových bodů (EDR) a antimalwarové služby pro koncové body v cloudových prostředích. |
| Zálohování a obnovení (BR) | Zálohování a obnovení pokrývá ovládací prvky, které zajišťují, že se data a zálohy konfigurace na různých úrovních služby provádějí, ověřují a chrání. |
| Zabezpečení DevOps (DS) | DevOps Security se zabývá ovládacími prvky souvisejícími s technikou zabezpečení a operacemi v procesech DevOps, včetně nasazení důležitých kontrol zabezpečení (jako je testování zabezpečení statických aplikací, správa ohrožení zabezpečení) před fází nasazení, aby se zajistilo zabezpečení v průběhu procesu DevOps. Zahrnuje také běžná témata, jako je modelování hrozeb a zabezpečení dodávek softwaru. |
| Zabezpečení umělé inteligence (AI) | Zabezpečení umělé inteligence zahrnuje kontroly, které zajišťují zabezpečený vývoj, nasazení a provoz modelů a služeb umělé inteligence, včetně zabezpečení platformy AI, zabezpečení aplikací AI a monitorování zabezpečení AI. |
Struktura řízení zabezpečení v srovnávacím testu cloudového zabezpečení Microsoftu v2 (Preview)
Každá bezpečnostní kontrola v srovnávacím testu obsahuje následující části:
- ID: Jedinečný identifikátor každého ovládacího prvku zabezpečení, který se skládá ze zkratky domény a čísla (například AI-1 pro řízení zabezpečení umělé inteligence 1, DP-1 pro řízení ochrany dat 1, NS-2 pro řízení zabezpečení sítě 2). Toto ID se používá v celé dokumentaci k odkazům na konkrétní bezpečnostní prvky.
- Azure Policy: Odkazuje na předdefinované definice zásad Azure, které můžete použít k měření a vynucování řízení zabezpečení. Všimněte si, že ne každý ovládací prvek zabezpečení obsahuje odkaz azure Policy, protože některé kontrolní mechanismy zabezpečení poskytují pokyny pro scénáře nebo konfigurace, které automatizace Azure Policy nemůže vynutit.
- Princip zabezpečení: Základní popis kontroly zabezpečení na úrovni nezávislé na technologii, vysvětlení "what" a "why" ovládacího prvku zabezpečení.
- Riziko pro zmírnění: Konkrétní bezpečnostní rizika a hrozby, které má kontrolní prvek zabezpečení řešit.
- MITRE ATT&CK: Taktika, techniky a postupy MITRE ATT&CK relevantní pro rizika zabezpečení. Další informace najdete na adrese https://attack.mitre.org/.
- Pokyny k implementaci: Podrobné technické pokyny specifické pro Azure uspořádané v číslovaných dílčích částech (například NS-1.1, NS-1.2) vysvětlující, jak implementovat řízení zabezpečení pomocí funkcí a služeb Azure.
- Příklad implementace: Praktický skutečný scénář demonstrující, jak implementovat řízení zabezpečení, včetně výzvy, přístupu k řešení a výsledku.
- Úroveň závažnosti: Označuje relativní důležitost ovládacího prvku zabezpečení pro stav zabezpečení. Možné hodnoty jsou "Musí mít" (nezbytné pro základní zabezpečení), "Mělo by" (důležité pro rozšířené zabezpečení) nebo "Nice to have" (přínosné pro pokročilé scénáře zabezpečení).
-
Mapování kontrol: Mapování na oborové standardy zabezpečení a rámce, včetně:
- NIST SP 800-53 Rev.5: NIST SP 800-53 r5 ID kontrolních mechanismů zabezpečení
- PCI-DSS v4: ID požadavků na PCI-DSS v4
- Ovládací prvky CIS v8.1: ID ovládacích prvků CIS v8.1
- NIST CSF v2.0: Funkce a ID kategorií architektury NIST pro kybernetickou bezpečnost v2.0
- ISO 27001:2022: ISO/IEC 27001:2022 ID bezpečnostních kontrol
- SOC 2: Kritéria důvěryhodných služeb SOC 2
Mapování kontrol zabezpečení mezi MCSB a oborovými srovnávacími testy (jako jsou CIS, NIST, PCI, ISO a další) značí, že můžete použít konkrétní funkce Azure k úplnému nebo částečnému vyřešení požadavku na kontrolu zabezpečení definovaného v těchto oborových srovnávacích testech. Taková implementace nemusí nutně překládat na úplné dodržování odpovídajících kontrolních mechanismů zabezpečení v těchto oborových srovnávacích testech.
Vítáme vaši podrobnou zpětnou vazbu a aktivní účast na srovnávacím testu zabezpečení cloudu Microsoftu. Pokud chcete zadat přímý vstup, pošlete nám e-mail na adresu benchmarkfeedback@microsoft.com.
Další kroky
- Projděte si úvod ke srovnávacím testům zabezpečení cloudu Microsoftu , kde najdete obecné koncepty a pokyny k implementaci MCSB.
- Prozkoumání domén zabezpečení počínaje zabezpečením sítě
- Další informace o základech zabezpečení Azure