Přehled kontrolních mechanismů zabezpečení Azure (v2)
(ASB) poskytuje doporučené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure.
Tento srovnávací test je součástí sady holistických pokynů k zabezpečení, která zahrnuje také:
- Cloud Adoption Framework – pokyny k zabezpečení, včetně strategie, rolí a odpovědností, osvědčených postupů zabezpečení Azure Top 10 a referenční implementace.
- Azure Well-Architected Framework – Pokyny k zabezpečení úloh v Azure.
- Osvědčené postupy zabezpečení Microsoftu – doporučení s příklady pro Azure
Srovnávací test zabezpečení Azure se zaměřuje na oblasti řízení zaměřené na cloud. Tyto kontroly jsou konzistentní s dobře známými srovnávacími testy zabezpečení, jako jsou ty, které popisuje Center for Internet Security (CIS) Controls verze 7.1 a National Institute of Standards and Technology (NIST) SP 800-53. Srovnávací test zabezpečení Azure zahrnuje následující ovládací prvky:
| Domény ovládacích prvků ASB | Description |
|---|---|
| Zabezpečení sítě (NS) | Zabezpečení sítě zahrnuje kontrolní mechanismy pro zabezpečení a ochranu sítí Azure, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírňování externích útoků a zabezpečení DNS. |
| Správa identit (IM) | Správa identit zahrnuje ovládací prvky pro vytvoření zabezpečené identity a řízení přístupu pomocí Azure Active Directory, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a instančních objektů) pro aplikace, podmíněného přístupu a monitorování anomálií účtů. |
| Privilegovaný přístup (PA) | Privilegovaný přístup zahrnuje ovládací prvky pro ochranu privilegovaného přístupu k vašemu tenantovi a prostředkům Azure, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem. |
| Ochrana dat (DP) | Ochrana dat zahrnuje kontrolu nad ochranou neaktivních uložených dat, přenášených dat a prostřednictvím mechanismů autorizovaného přístupu, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování a protokolování v Azure. |
| Asset Management (AM) | Správa prostředků zahrnuje kontrolní mechanismy, které zajišťují viditelnost zabezpečení a zásady správného řízení u prostředků Azure, včetně doporučení ohledně oprávnění pro bezpečnostní pracovníky, zabezpečení přístupu k inventáři prostředků a správy schválení služeb a prostředků (inventář, sledování a opravy). |
| Protokolování a detekce hrozeb (LT) | Protokolování a detekce hrozeb zahrnují kontrolní mechanismy pro detekci hrozeb v Azure a povolení, shromažďování a ukládání protokolů auditu pro služby Azure, včetně povolení procesů detekce, vyšetřování a nápravy s ovládacími prvky pro generování vysoce kvalitních upozornění s nativní detekcí hrozeb ve službách Azure. Zahrnuje také shromažďování protokolů pomocí služby Azure Monitor, centralizaci analýzy zabezpečení pomocí služby Azure Sentinel, synchronizaci času a uchovávání protokolů. |
| Reakce na incidenty (IR) | Reakce na incidenty se zabývá kontrolami v životním cyklu reakce na incidenty – příprava, detekce a analýza, uzavření incidentu a aktivity po incidentu, včetně použití služeb Azure, jako jsou Azure Security Center a Sentinel, k automatizaci procesu reakce na incidenty. |
| Správa stavu a ohrožení zabezpečení (PV) | Správa stavu zabezpečení a ohrožení zabezpečení se zaměřuje na kontrolní mechanismy pro posuzování a zlepšování stavu zabezpečení Azure, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy a také sledování konfigurace zabezpečení, vytváření sestav a oprav v prostředcích Azure. |
| Zabezpečení koncového bodu (ES) | Zabezpečení koncových bodů zahrnuje kontrolní mechanismy při detekci a odezvě koncových bodů, včetně použití detekce a reakce koncových bodů (EDR) a antimalwarové služby pro koncové body v prostředích Azure. |
| Zálohování a obnovení (BR) | Zálohování a obnovení zahrnují ovládací prvky, které zajišťují, že zálohování dat a konfigurace na různých úrovních služby se provádí, ověřuje a chrání. |
| Zásady správného řízení a strategie (GS) | Zásady správného řízení a strategie poskytují pokyny pro zajištění soudržné strategie zabezpečení a dokumentovaný přístup k zásadám správného řízení, který zajišťuje a udržuje zabezpečení, včetně stanovení rolí a odpovědností za různé funkce zabezpečení cloudu, sjednocené technické strategie a podpory zásad a standardů. |
Doporučení srovnávacího testu zabezpečení Azure
Každé doporučení obsahuje následující informace:
- Azure ID: ID srovnávacího testu zabezpečení Azure, které odpovídá doporučení.
- ID ovládacích prvků CIS v7.1: Ovládací prvky CIS Controls v7.1, které odpovídají tomuto doporučení.
- NIST SP 800-53 r4 ID(y): Kontroly NIST SP 800-53 r4 (střední), které odpovídají tomuto doporučení.
- Podrobnosti: Odůvodnění doporučení a odkazy na pokyny k jeho implementaci. Pokud Azure Security Center doporučení podporuje, zobrazí se také uvedené informace.
- Odpovědnost: Určuje, jestli za implementaci tohoto doporučení zodpovídá zákazník, poskytovatel služeb nebo oba. Odpovědnost za zabezpečení se sdílí ve veřejném cloudu. Některé bezpečnostní prvky jsou k dispozici pouze pro poskytovatele cloudových služeb, a proto je poskytovatel zodpovědný za jejich řešení. Jedná se o obecné pozorování – u některých jednotlivých služeb se odpovědnost bude lišit od toho, co je uvedeno ve srovnávacím testu zabezpečení Azure. Tyto rozdíly jsou popsané v základních doporučeních pro jednotlivé služby.
- Účastníci zabezpečení zákazníků: Funkce zabezpečení v organizaci zákazníka, kteří můžou být zodpovědní, odpovědní nebo nahlíželi na příslušný ovládací prvek. Může se lišit v závislosti na organizační struktuře zabezpečení vaší společnosti a rolích a zodpovědnostech, které nastavíte v souvislosti se zabezpečením Azure.
Poznámka
Mapování kontrol mezi ASB a oborovými srovnávacími testy (jako jsou NIST a CIS) pouze značí, že konkrétní funkci Azure je možné použít k úplnému nebo částečnému řešení kontrolního požadavku definovaného v NIST nebo CIS. Měli byste si uvědomit, že taková implementace nemusí nutně znamenat úplný soulad odpovídající kontroly v CIS nebo NIST.
Uvítáme vaši podrobnou zpětnou vazbu a aktivní účast ve srovnávacím testu zabezpečení Azure. Pokud chcete týmu Azure Security Benchmarku poskytnout přímý vstup, vyplňte formulář na adrese https://aka.ms/AzSecBenchmark
Stáhnout
Srovnávací test zabezpečení Azure si můžete stáhnout v tabulkovém formátu.
Další kroky
- Podívejte se na první ovládací prvek zabezpečení: Zabezpečení sítě.
- Přečtěte si úvod ke srovnávacímu testu zabezpečení Azure.
- Seznámení se základy zabezpečení Azure