Übersicht über Microsoft Cloud Security Benchmark (v1)
Microsoft Cloud Security Benchmark (MCSB) bietet ausführliche bewährte Methoden und Empfehlungen, um die Sicherheit von Workloads, Daten und Diensten in Azure und in Umgebungen mit mehreren Clouds zu verbessern. Dieser Benchmark konzentriert sich auf cloudorientierte Kontrollbereiche mit Eingaben aus einer Reihe ganzheitlicher Sicherheitsleitlinien von Microsoft und der Branche, die Folgendes umfassen:
- Cloud Adoption Framework: Leitfaden zur Sicherheit, einschließlich Strategie, Rollen und Verantwortlichkeiten, Bewährte Sicherheitsmethoden für Azure 10 und Referenzimplementierung.
- Azure Well-Architected Framework: Leitfaden zum Absichern Ihrer Workloads in Azure.
- Der Chief Information Security Officer (CISO) Workshop: Programmleitfaden und Referenzstrategien zur Beschleunigung der Sicherheitsmodernisierung mit Zero Trust Prinzipien.
- Weitere bewährte Standards und Frameworks für Die Sicherheit von Industrie- und Clouddienstanbietern: Beispiele sind amazon Web Services (AWS) Well-Architected Framework, CENTER for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) und Payment Card Industry Data Security Standard (PCI-DSS).
Neuerungen in Microsoft Cloud Security Benchmark v1
Hinweis
Die Microsoft Cloud Security Benchmark ist die Nachfolgerin der Azure Security Benchmark (ASB), der im Oktober 2022 umbenannt wurde.
Die Google Cloud Platform-Unterstützung in MCSB ist jetzt als Vorschaufeature sowohl im MCSB-Benchmarkleitfaden als auch in Microsoft Defender für Cloud verfügbar.
Neuerungen in Microsoft Cloud Security Benchmark v1:
Umfassendes Sicherheitsframework für mehrere Clouds: Organisationen müssen oft einen internen Sicherheitsstandard entwickeln, um Sicherheitskontrollmaßnahmen auf mehreren Cloudplattformen aufeinander abzustimmen, damit Sicherheits- und Complianceanforderungen auf jeder dieser Plattformen erfüllt werden. Dies erfordert häufig, dass Sicherheitsteams dieselbe Implementierung, Überprüfung und Bewertung in den verschiedenen Cloudumgebungen wiederholen müssen (oft für unterschiedliche Compliancestandards). Dies verursacht unnötigen Mehraufwand, Kosten und Mühe. Um diese Problematik anzugehen, haben wir ASB zu MCSB erweitert, damit Sie schnell mit verschiedenen Clouds arbeiten können:
- Bereitstellen eines einzelnen Kontrollframeworks, um die Sicherheitskontrollen in den Clouds problemlos zu erfüllen
- Bereitstellen eines einheitlichen Benutzererlebnisses beim Überwachen und Durchsetzen des Sicherheitsbenchmarks für mehrere Clouds in Defender for Cloud
- Einhaltung von Branchenstandards (z. B. CIS, NIST, PCI)
Automatisierte Steuerungsüberwachung für AWS in Microsoft Defender für Cloud: Sie können Microsoft Defender for Cloud Regulatory Compliance Dashboard verwenden, um Ihre AWS-Umgebung mit MCSB zu überwachen, genau wie Ihre Azure-Umgebung. Wir haben etwa 180 AWS-Prüfungen für die neuen AWS-Sicherheitsleitlinien in MCSB entwickelt, mit deren Hilfe Sie Ihre AWS-Umgebung und -Ressourcen in Microsoft Defender for Cloud überwachen können.
Aktualisierung der vorhandenen Azure-Anleitungen und Sicherheitsprinzipien: Wir haben auch einige der vorhandenen Azure-Sicherheitsleitfäden und -Sicherheitsprinzipien während dieses Updates aktualisiert, damit Sie mit den neuesten Azure-Features und -Funktionen auf dem Laufenden bleiben können.
Steuerelemente
| Kontrollbereiche | Beschreibung |
|---|---|
| Netzwerksicherheit | Netzwerksicherheit umfasst Kontrollen zum Absichern und Schützen von Netzwerken, einschließlich der Absicherung virtueller Netzwerke, der Einrichtung privater Verbindungen, der Verhinderung und Eindämmung externer Angriffe und der DNS-Absicherung. |
| Identitätsverwaltung | Identitätsverwaltung umfasst Kontrollmechanismen zum Einrichten sicherer Identitäts- und Zugriffssteuerungen mithilfe von Identitäts- und Zugriffsverwaltungssystemen. Dazu gehören das einmalige Anmelden, sichere Authentifizierungen, verwaltete Identitäten (und Dienstprinzipale) für Anwendungen, bedingter Zugriff und Überwachung von Anomalien bei Konten. |
| Privilegierter Zugriff | Privilegierter Zugriff umfasst Kontrollmechanismen zum Schutz des privilegierten Zugriffs auf Ihren Mandanten und Ihre Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken. |
| Datenschutz | Der Schutz von Daten umfasst die Kontrolle des Schutzes ruhender Daten, in Übertragung begriffener Daten und des Zugriffs über autorisierte Zugriffsmechanismen. Hierzu gehören auch das Ermitteln, Klassifizieren, Schützen und Überwachen vertraulicher Daten mithilfe von Zugriffssteuerung, Verschlüsselung sowie Schlüssel- und Zertifikatverwaltung. |
| Ressourcenverwaltung | Asset Management umfasst Steuerungen, um die Transparenz und Governance der Sicherheit für Ihre Ressourcen sicherzustellen, einschließlich Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugriff auf den Bestand von Ressourcen und Verwaltung von Genehmigungen für Dienste und Ressourcen (Bestand, Nachverfolgung und Korrektur). |
| Protokollierung und Bedrohungserkennung | Protokollierung und Bedrohungserkennung umfasst Kontrollmechanismen zur Erkennung von Bedrohungen in der Cloud sowie das Aktivieren, Erfassen und Speichern von Überwachungsprotokollen für Clouddienste. Dazu gehört das Aktivieren von Erkennungs-, Untersuchungs- und Abhilfeprozessen mit Mechanismen zur Generierung nützlicher Warnungen mithilfe der nativen Bedrohungserkennung in Clouddiensten. Außerdem gehört dazu das Erfassen von Protokollen mit einem Cloudüberwachungsdienst, die Zentralisierung der Sicherheitsanalyse mit einem SIEM-System (Security Information and Event Management), die Zeitsynchronisierung und die Aufbewahrung von Protokollen. |
| Reaktion auf Vorfälle (Incident Response, IR) | Reaktion auf Incidents umfasst Kontrollmechanismen im Lebenszyklus der Reaktion auf Incidents. Dazu gehören Vorbereitung, Erkennung und Analyse, Eindämmung und Nachbereitung von Incidents, einschließlich der Nutzung von Azure-Diensten (z. B. Microsoft Defender for Cloud und Sentinel) und/oder Clouddiensten zur Automatisierung des Prozesses zur Reaktion auf Incidents. |
| Status- und Sicherheitsrisikoverwaltung | Status- und Sicherheitsrisikomanagement konzentriert sich auf Kontrollmechanismen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Überprüfung auf Sicherheitsrisiken, Penetrationstests und Wartung sowie Nachverfolgung, Berichterstellung und Korrektur der Sicherheitskonfiguration von Cloudressourcen. |
| Endpunktsicherheit | Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie die Nutzung von EDR- und Antischadsoftwarediensten für Endpunkte in Cloudumgebungen. |
| Sicherung und Wiederherstellung | Sicherung und Wiederherstellung umfasst Kontrollen, die sicherstellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen durchgeführt, überprüft und geschützt werden. |
| DevOps-Sicherheit | Die DevOps-Sicherheit deckt die Kontrollen im Zusammenhang mit der Sicherheitsentwicklung und den Vorgängen in DevOps-Prozessen ab, einschließlich der Bereitstellung kritischer Sicherheitsüberprüfungen (z. B. statische Anwendungssicherheitstests, Sicherheitsrisikomanagement) vor der Bereitstellungsphase, um die Sicherheit während des gesamten DevOps-Prozesses zu gewährleisten. Zudem fallen darunter auch allgemeine Themen wie Gefahrenmodellierung und Softwarebereitstellungssicherheit. |
| Governance und Strategie | Governance und Strategie bietet Leitlinien für die Gewährleistung einer stimmigen Sicherheitsstrategie und eines dokumentierten Governance-Ansatzes zur Lenkung und Aufrechterhaltung der Sicherheitsgarantie, einschließlich Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einer einheitlichen technischen Strategie und der Unterstützung von Richtlinien und Standards. |
Empfehlungen im Microsoft-Cloudsicherheitstest
Jede Empfehlung umfasst die folgenden Informationen:
- ID: Die Benchmark-ID, die der Empfehlung entspricht.
- CIS Controls v8 ID(s): Die CIS Controls v8-Steuerelemente, die der Empfehlung entsprechen.
- CIS Controls v7.1 ID(s): Die CIS Controls v7.1-Steuerelemente, die der Empfehlung entsprechen (aus Gründen der Formatierung nicht im Web verfügbar).
- PCI-DSS v3.2.1-ID(s): Die PCI-DSS v3.2.1-Steuerelemente, die der Empfehlung entsprechen.
- NIST SP 800-53 r4 ID(s): Die NIST SP 800-53 r4 -Steuerung(en) (Mittel und Hoch) entsprechen dieser Empfehlung.
- Sicherheitsprinzip: Die Empfehlung konzentriert sich auf das „Was“, wobei das Steuerelement auf technologieunabhängiger Ebene erläutert wird.
- Azure-Leitfaden: Die Empfehlung konzentriert sich auf das „Wie“, wobei die technischen Features und Implementierungsgrundlagen in Azure erläutert werden.
- AWS-Leitfaden: Die Empfehlung konzentrierte sich auf das "Wie" und erläuterte die technischen Features und Implementierungsgrundlagen von AWS.
- Implementierung und zusätzlicher Kontext: Die Implementierungsdetails und andere relevante Kontexte, die mit den Dokumentationsartikeln zum Azure- und AWS-Dienstangebot verknüpft sind.
- Sicherheitsverantwortliche beim Kunden: Die Sicherheitsverantwortlichen in der Kundenorganisation, die für den jeweiligen Kontrollbereich ggf. verantwortlich, rechenschaftspflichtig oder ansprechbar sind. Sie können je nach der Sicherheitsorganisationsstruktur Ihres Unternehmens und den Rollen und Verantwortlichkeiten, die Sie im Zusammenhang mit der Azure-Sicherheit einrichten, von Organisation zu Organisation unterschiedlich sein.
Die Kontrollzuordnungen zwischen MCSB und Branchenbenchmarks (z. B. CIS, NIST und PCI) weisen nur darauf hin, dass ein bestimmtes Azure-Feature(en) verwendet werden kann, um eine in diesen Branchenvergleichswerten definierte Steuerungsanforderung vollständig oder teilweise zu erfüllen. Sie sollten sich darüber im Klaren sein, dass eine solche Implementierung nicht notwendigerweise zu einer vollständigen Einhaltung der entsprechenden Kontrollmechanismen in diesen branchenüblichen Vergleichstests führt.
Wir freuen uns über Ihr ausführliches Feedback und Ihre aktive Teilnahme am Microsoft Cloud Security Benchmark. Wenn Sie eine direkte Eingabe bereitstellen möchten, senden Sie uns bitte eine E-Mail an benchmarkfeedback@microsoft.com.
Herunterladen
Sie können die Benchmark- und Baseline-Offlinekopie im Tabellenkalkulationsformat herunterladen.
Nächste Schritte
- Schauen Sie sich die erste Sicherheitskontrolle an: Netzwerksicherheit
- Lesen Sie die Einführung in den Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über die grundlegenden Azure-Sicherheitsinformationen