Freigeben über


Übersicht über den Microsoft Cloud Security-Benchmark (v1)

Der Microsoft Cloud Security Benchmark (MCSB) bietet präskriptive bewährte Methoden und Empfehlungen zur Verbesserung der Sicherheit von Workloads, Daten und Diensten in Azure und Ihrer Multi-Cloud-Umgebung. Dieser Benchmark konzentriert sich auf cloudorientierte Kontrollbereiche mit Eingaben aus einer Reihe ganzheitlicher Sicherheitsleitlinien von Microsoft und der Branche, die Folgendes umfassen:

Neuerungen in Microsoft Cloud Security Benchmark v1

Hinweis

Microsoft Cloud Security Benchmark ist der Nachfolger von Azure Security Benchmark (ASB), der im Oktober 2022 umbenannt wurde.

Google Cloud Platform-Unterstützung in MCSB ist jetzt als Vorschaufeature sowohl in MCSB-Benchmarkanleitungen als auch in Microsoft Defender für Cloud verfügbar.

Dies ist neu in der Microsoft Cloud Security Benchmark v1:

  1. Umfassendes Multi-Cloud-Sicherheitsframework: Organisationen müssen häufig einen internen Sicherheitsstandard erstellen, um Sicherheitskontrollen auf mehreren Cloudplattformen abzugleichen, um die Sicherheits- und Complianceanforderungen für jeden von ihnen zu erfüllen. Dies erfordert häufig, dass Sicherheitsteams dieselbe Implementierung, Überprüfung und Bewertung in den verschiedenen Cloudumgebungen wiederholen müssen (oft für unterschiedliche Compliancestandards). Dies verursacht unnötigen Mehraufwand, Kosten und Mühe. Um dieses Problem zu beheben, haben wir den ASB auf MCSB erweitert, um Ihnen bei der schnellen Arbeit mit verschiedenen Clouds zu helfen:

    • Bereitstellen eines einzelnen Kontrollframeworks, um die Sicherheitskontrollen in den Clouds problemlos zu erfüllen
    • Bereitstellen einer konsistenten Benutzererfahrung für die Überwachung und Erzwingung des Multi-Cloud-Sicherheits-Benchmarks in Defender für Cloud
    • Einhaltung von Branchenstandards (z. B. CIS, NIST, PCI)

    Zuordnung zwischen ASB und CIS-Benchmark

  2. Automatisierte Steuerungsüberwachung für AWS in Microsoft Defender for Cloud: Sie können microsoft Defender for Cloud Regulatory Compliance Dashboard verwenden, um Ihre AWS-Umgebung auf MCSB genau wie ihre Azure-Umgebung zu überwachen. Wir haben etwa 180 AWS-Prüfungen für die neuen AWS-Sicherheitsleitlinien im MCSB entwickelt, mit deren Hilfe Sie Ihre AWS-Umgebung und -Ressourcen in Microsoft Defender for Cloud überwachen können.

    Screenshot der MSCB-Integration in Microsoft Defender für Cloud

  3. Eine Aktualisierung der vorhandenen Azure-Richtlinien und Sicherheitsprinzipien: Wir haben auch einige der vorhandenen Azure-Sicherheitsrichtlinien und -Sicherheitsprinzipien während dieses Updates aktualisiert, damit Sie mit den neuesten Azure-Features und -Funktionen auf dem laufenden bleiben können.

Bedienelemente

Kontrolldomänen BESCHREIBUNG
Netzwerksicherheit (NS) Die Netzwerksicherheit umfasst Steuerelemente zum Sichern und Schützen von Netzwerken, einschließlich sicherung virtueller Netzwerke, Einrichten privater Verbindungen, Verhindern und Mildern externer Angriffe und Schützen von DNS.
Identitätsverwaltung (IM) Identitätsverwaltung umfasst Kontrollmechanismen zum Einrichten sicherer Identitäts- und Zugriffssteuerungen mithilfe von Identitäts- und Zugriffsverwaltungssystemen. Dazu gehören das einmalige Anmelden, sichere Authentifizierungen, verwaltete Identitäten (und Dienstprinzipale) für Anwendungen, bedingter Zugriff und Überwachung von Anomalien bei Konten.
Privilegierter Zugriff (PA) Privilegierter Zugriff umfasst Kontrollmechanismen zum Schutz des privilegierten Zugriffs auf Ihren Mandanten und Ihre Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken.
Datenschutz (DP) Der Schutz von Daten umfasst die Kontrolle des Schutzes ruhender Daten, in Übertragung begriffener Daten und des Zugriffs über autorisierte Zugriffsmechanismen. Hierzu gehören auch das Ermitteln, Klassifizieren, Schützen und Überwachen vertraulicher Daten mithilfe von Zugriffssteuerung, Verschlüsselung sowie Schlüssel- und Zertifikatverwaltung.
Vermögensverwaltung (AM) Die Ressourcenverwaltung umfasst Steuerelemente, um die Sichtbarkeit und Governance der Sicherheit über Ihre Ressourcen zu gewährleisten, einschließlich Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugriff auf Bestandsbestand und Verwalten von Genehmigungen für Dienste und Ressourcen (Bestand, Nachverfolgen und Korrigieren).
Protokollierung und Bedrohungserkennung (LT) Protokollierung und Bedrohungserkennung umfasst Steuerelemente zum Erkennen von Bedrohungen in der Cloud und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Clouddienste, einschließlich der Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Kontrollen, um qualitativ hochwertige Warnungen mit nativer Bedrohungserkennung in Clouddiensten zu generieren; Sie umfasst auch das Sammeln von Protokollen mit einem Cloudüberwachungsdienst, die Zentrale der Sicherheitsanalyse mit einem SIEM, zeitsynchronisierung und Protokollaufbewahrung.
Reaktion auf Vorfälle (IR) Die Reaktion auf Vorfälle umfasst Steuerelemente im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten (z. B. Microsoft Defender für Cloud und Sentinel) und/oder andere Clouddienste, um den Vorfallreaktionsprozess zu automatisieren.
Haltungs- und Sicherheitsrisikomanagement (PV) Die Verwaltung von Haltungen und Sicherheitsrisiken konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Sicherheitsrisikoüberprüfungen, Penetrationstests und Korrekturen sowie zur Nachverfolgung von Sicherheitskonfigurationen, Berichterstellung und Korrektur in Cloudressourcen.
Endpunktsicherheit (ES) Die Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie zur Nutzung von EDR- und Antimalwarediensten für Endpunkte in Cloudumgebungen.
Sicherung und Wiederherstellung (BR) Sicherung und Wiederherstellung umfasst Steuerelemente, um sicherzustellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen ausgeführt, überprüft und geschützt werden.
DevOps-Sicherheit Die DevOps-Sicherheit umfasst Kontrollmechanismen im Zusammenhang mit der Sicherheitsentwicklung und den Sicherheitsvorgängen in DevOps-Prozessen ab. Dazu gehört die Bereitstellung kritischer Sicherheitsüberprüfungen (z. B. statische Anwendungssicherheitstests, Sicherheitsrisikomanagement) vor der Bereitstellungsphase, um die Sicherheit während des gesamten DevOps-Prozesses zu gewährleisten. Zudem fallen darunter auch allgemeine Themen wie Gefahrenmodellierung und Softwarebereitstellungssicherheit.
Governance und Strategie (GS) Governance und Strategie bieten Anleitungen für die Sicherstellung einer kohärenten Sicherheitsstrategie und dokumentierten Governance-Ansatz, um die Sicherheit zu unterstützen und zu gewährleisten, einschließlich der Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einheitliche technische Strategie und unterstützende Richtlinien und Standards.

Empfehlungen in microsoft Cloud Security Benchmark

Jede Empfehlung umfasst die folgenden Informationen:

  • ID: Die Benchmark-ID, die der Empfehlung entspricht.
  • CIS-Steuerelemente v8-IDs: Die CIS-Steuerelemente v8, die der Empfehlung entsprechen.
  • CIS Controls v7.1 ID(s): Die CIS-Steuerelemente v7.1, die der Empfehlung entsprechen (wegen Formatierungsgründen nicht im Web verfügbar).
  • PCI-DSS v3.2.1 ID(n):Die PCI-DSS v3.2.1-Steuerelemente, die der Empfehlung entsprechen.
  • NIST SP 800-53 r4 ID(s): Die NIST SP 800-53 r4 (moderate und hohe) Steuerelemente entsprechen dieser Empfehlung.
  • Sicherheitsprinzip: Die Empfehlung konzentrierte sich auf das "Was", in dem die Kontrolle auf technologieagnostischer Ebene erläutert wird.
  • Azure-Leitfaden: Die Empfehlung konzentriert sich auf das "How", in dem die technischen Features und Implementierungsgrundlagen von Azure erläutert werden.
  • AWS-Leitfaden: Die Empfehlung konzentrierte sich auf das "How", in dem die technischen Features und Implementierungsgrundlagen von AWS erläutert werden.
  • Implementierung und zusätzlicher Kontext: Die Implementierungsdetails und andere relevante Kontexte, die mit den Dokumentationsartikeln zu Azure- und AWS-Diensten verknüpft sind.
  • Stakeholder der Kundensicherheit: Die Sicherheitsfunktionen in der Kundenorganisation, die für die jeweilige Kontrolle verantwortlich, zuständig oder konsultiert werden können. Es kann sich von Organisation zu Organisation unterscheiden, abhängig von der Sicherheitsorganisationsstruktur Ihres Unternehmens und den Rollen und Zuständigkeiten, die Sie im Zusammenhang mit Azure-Sicherheit eingerichtet haben.

Die Kontrollzuordnungen zwischen MCSB und Branchen-Benchmarks (z. B. CIS, NIST und PCI) deuten nur darauf hin, dass ein bestimmtes Azure-Feature(n) verwendet werden kann, um eine in diesen Branchen-Benchmarks definierte Steuerungsanforderung vollständig oder teilweise zu erfüllen. Sie sollten sich bewusst sein, dass diese Implementierung nicht notwendigerweise in die vollständige Einhaltung der entsprechenden Kontrollen in diesen Branchen-Benchmarks übersetzt wird.

Wir freuen uns über Ihr detailliertes Feedback und ihre aktive Teilnahme am Microsoft Cloud Security Benchmark-Aufwand. Wenn Sie direkte Eingaben bereitstellen möchten, senden Sie uns bitte eine E-Mail an benchmarkfeedback@microsoft.com.

Herunterladen

Sie können die Offline-Version der Benchmark- und Baseline-Daten im Tabellenkalkulationsformat herunterladen.

Nächste Schritte