Sdílet prostřednictvím


Přehled srovnávacího testu cloudového zabezpečení Microsoftu (v1)

Microsoft Cloud Security Benchmark (MCSB) poskytuje doporučené osvědčené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure a ve vašem multicloudovém prostředí. Tento srovnávací test se zaměřuje na oblasti řízení zaměřené na cloud se vstupy ze sady ucelených pokynů Microsoftu a oborového zabezpečení, které zahrnují:

Co je nového ve srovnávacím testu cloudového zabezpečení Microsoftu v1

Poznámka

Microsoft Cloud Security Benchmark je nástupcem srovnávacího testu zabezpečení Azure (ASB), který byl přejmenován v říjnu 2022.

Podpora Google Cloud Platform v MCSB je nyní k dispozici jako funkce Preview v pokynech k srovnávacím testům MCSB i v Microsoft Defender pro cloud.

Podívejte se, co je nového ve srovnávacím testu Microsoft Cloud Security v1:

  1. Komplexní architektura vícecloudového zabezpečení: Organizace často musí vytvořit interní bezpečnostní standard, který sjednotí kontrolní mechanismy zabezpečení napříč několika cloudovými platformami, aby splňovaly požadavky na zabezpečení a dodržování předpisů pro každou z nich. To často vyžaduje, aby bezpečnostní týmy opakovaly stejnou implementaci, monitorování a hodnocení v různých cloudových prostředích (často pro různé standardy dodržování předpisů). To vytváří zbytečnou režii, náklady a úsilí. Abychom tuto obavu vyřešili, vylepšili jsme ASB na MCSB, aby vám pomohla rychle pracovat s různými cloudy:

    • Poskytuje jedinou architekturu řízení pro snadné splnění bezpečnostních prvků napříč cloudy.
    • Poskytování konzistentního uživatelského prostředí pro monitorování a vynucování srovnávacího testu zabezpečení více cloudů v Defenderu for Cloud
    • Udržování souladu s oborovými standardy (např. CIS, NIST, PCI)

    Mapování mezi ASB a srovnávacím testem CIS

  2. Automatizované monitorování řízení pro AWS v Microsoft Defender for Cloud: Řídicí panel Microsoft Defender pro dodržování právních předpisů v cloudu můžete použít k monitorování prostředí AWS proti MCSB stejně jako v prostředí Azure. Vyvinuli jsme přibližně 180 kontrol AWS pro nové pokyny k zabezpečení AWS v MCSB, které umožňují monitorovat prostředí a prostředky AWS v Microsoft Defender for Cloud.

    Snímek obrazovky s integrací MSCB do Microsoft Defender pro cloud

  3. Aktualizace stávajících pokynů a principů zabezpečení Azure: Během této aktualizace jsme také aktualizovali některé stávající pokyny a principy zabezpečení Azure, abyste mohli zůstat aktuální s nejnovějšími funkcemi a možnostmi Azure.

Ovládací prvky

Řídicí domény Description
Zabezpečení sítě (NS) Zabezpečení sítě zahrnuje ovládací prvky pro zabezpečení a ochranu sítí, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírňování externích útoků a zabezpečení DNS.
Správa identit (IM) Správa identit zahrnuje ovládací prvky pro vytvoření zabezpečené identity a řízení přístupu pomocí systémů správy identit a přístupu, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněného přístupu a monitorování anomálií účtů.
Privilegovaný přístup (PA) Privilegovaný přístup zahrnuje ovládací prvky pro ochranu privilegovaného přístupu k vašemu tenantovi a prostředkům, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem.
Ochrana dat (DP) Ochrana dat zahrnuje kontrolu nad ochranou neaktivních uložených dat, přenášených dat a prostřednictvím mechanismů autorizovaného přístupu, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování, správy klíčů a správy certifikátů.
Asset Management (AM) Správa prostředků zahrnuje kontrolní mechanismy, které zajišťují viditelnost zabezpečení a zásady správného řízení u vašich prostředků, včetně doporučení ohledně oprávnění pro pracovníky zabezpečení, zabezpečení přístupu k inventáři prostředků a správy schválení pro služby a prostředky (inventář, sledování a opravy).
Protokolování a detekce hrozeb (LT) Protokolování a detekce hrozeb zahrnují kontrolní mechanismy pro detekci hrozeb v cloudu a povolení, shromažďování a ukládání protokolů auditu pro cloudové služby, včetně povolení procesů detekce, vyšetřování a nápravy s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb v cloudových službách. Zahrnuje také shromažďování protokolů pomocí služby monitorování cloudu, centralizaci analýzy zabezpečení pomocí SIEM, synchronizaci času a uchovávání protokolů.
Reakce na incidenty (IR) Reakce na incidenty zahrnuje kontrolní mechanismy v životním cyklu reakce na incidenty – aktivity přípravy, detekce a analýzy, omezování a po incidentu, včetně použití služeb Azure (například Microsoft Defender pro cloud a Sentinel) a/nebo jiných cloudových služeb k automatizaci procesu reakce na incidenty.
Správa stavu a ohrožení zabezpečení (PV) Správa stavu zabezpečení a ohrožení zabezpečení se zaměřuje na kontrolní mechanismy pro posuzování a zlepšování stavu cloudového zabezpečení, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy a také sledování konfigurace zabezpečení, vytváření sestav a oprav v cloudových prostředcích.
Zabezpečení koncového bodu (ES) Zabezpečení koncového bodu zahrnuje kontrolní mechanismy při detekci a odezvě koncových bodů, včetně použití detekce a odezvy koncových bodů (EDR) a antimalwarové služby pro koncové body v cloudových prostředích.
Zálohování a obnovení (BR) Zálohování a obnovení zahrnují ovládací prvky, které zajišťují, že zálohování dat a konfigurací na různých úrovních služby se provádí, ověřuje a chrání.
DevOps Security (DS) DevOps Security zahrnuje kontrolní mechanismy související s vytvářením zabezpečení a operacemi v procesech DevOps, včetně nasazení důležitých kontrol zabezpečení (jako je testování zabezpečení statických aplikací, správa ohrožení zabezpečení) před fází nasazení, aby se zajistilo zabezpečení v celém procesu DevOps. Zahrnuje také běžná témata, jako je modelování hrozeb a zabezpečení dodávek softwaru.
Zásady správného řízení a strategie (GS) Zásady správného řízení a strategie poskytují pokyny pro zajištění soudržné strategie zabezpečení a dokumentovaný přístup k zásadám správného řízení, který zajišťuje a udržuje zabezpečení, včetně stanovení rolí a odpovědností za různé funkce zabezpečení cloudu, sjednocené technické strategie a podpory zásad a standardů.

Doporučení ve srovnávacím testu cloudového zabezpečení Microsoftu

Každé doporučení obsahuje následující informace:

  • ID: ID srovnávacího testu, které odpovídá doporučení.
  • ID ovládacích prvků CIS v8: Ovládací prvky CIS v8, které odpovídají doporučení.
  • ID ovládacích prvků CIS v7.1: Ovládací prvky CIS Controls v7.1, které odpovídají doporučení (nejsou k dispozici na webu z důvodu formátování).
  • ID PCI-DSS v3.2.1: Ovládací prvky PCI-DSS v3.2.1, které odpovídají doporučení.
  • NIST SP 800-53 r4 ID(y): Kontroly NIST SP 800-53 r4 (střední a vysoké) odpovídají tomuto doporučení.
  • Security Principle (Princip zabezpečení): Doporučení se zaměřilo na "co", které vysvětluje řízení na úrovni nezávislé na technologiích.
  • Pokyny k Azure: Doporučení se zaměřilo na postup a vysvětlilo technické funkce Azure a základy implementace.
  • Pokyny pro AWS: Doporučení se zaměřilo na "jak" a vysvětlilo technické funkce AWS a základy implementace.
  • Implementace a další kontext: Podrobnosti implementace a další relevantní kontext, který odkazuje na články dokumentace k nabídce služeb Azure a AWS.
  • Účastníci zabezpečení zákazníků: Funkce zabezpečení v organizaci zákazníka, kteří můžou být zodpovědní, odpovědní nebo nahlíželi na příslušný ovládací prvek. Může se lišit v závislosti na organizační struktuře zabezpečení vaší společnosti a rolích a zodpovědnostech, které nastavíte v souvislosti se zabezpečením Azure.

Mapování kontrol mezi MCSB a oborovými srovnávacími testy (například CIS, NIST a PCI) pouze značí, že konkrétní funkce Azure je možné použít k úplnému nebo částečnému řešení požadavků na kontrolu definovaných v těchto oborových srovnávacích testech. Měli byste si uvědomit, že taková implementace nemusí nutně znamenat úplné dodržování odpovídajících kontrol v těchto oborových srovnávacích testech.

Uvítáme vaši podrobnou zpětnou vazbu a aktivní účast ve srovnávacím testu cloudového zabezpečení od Microsoftu. Pokud chcete poskytnout přímý vstup, pošlete nám e-mail na adresu benchmarkfeedback@microsoft.com.

Stáhnout

Můžete si stáhnout offline kopii srovnávacího testu a základního plánu ve formátu tabulky.

Další kroky