Freigeben über


Übersicht über Azure-Sicherheitskontrollen (v3)

Der Azure Security Benchmark (ASB) bietet präskriptive bewährte Methoden und Empfehlungen, um die Sicherheit von Workloads, Daten und Diensten in Azure zu verbessern. Dieser Benchmark ist Teil einer Reihe ganzheitlicher Sicherheitsleitlinien, die auch Folgendes umfasst:

Der Azure Security Benchmark konzentriert sich auf cloudorientierte Kontrollbereiche. Diese Kontrollen stehen im Einklang mit bekannten Sicherheits-Benchmarks, wie sie z. B. vom Center for Internet Security (CIS) Controls, dem National Institute of Standards and Technology (NIST) und dem Payment Card Industry Data Security Standard (PCI-DSSbeschrieben werden.

Was ist neu in ASB v3

Im Azure-Sicherheitsvergleichstest v3 gibt es folgende Neuerungen:

  • Zuordnungen zu den Branchen-Frameworks PCI-DSS v3.2.1 und CIS Controls v8 werden zusätzlich zu den vorhandenen Zuordnungen zu CIS Controls v7.1 und NIST SP800-53 Rev4 hinzugefügt.
  • Der Leitfaden wurde verfeinert, um ihn präziser und umsetzbarer zu machen, z. B. ist der Sicherheitsleitfaden jetzt in zwei separate Teile unterteilt: Sicherheitsprinzip und Azure-Leitfaden. Das Sicherheitsprinzip ist das "Was", das die Kontrolle auf der technologieunabhängigen Ebene erklärt; Der Azure-Leitfaden konzentriert sich auf das "Wie" und erläutert die relevanten technischen Features und Möglichkeiten zum Implementieren der Steuerelemente in Azure.
  • Die Hinzufügung neuer Kontrollen, z. B. DevOps Security als neue Kontrollfamilie, die auch Themen wie Bedrohungsmodellierung und Software-Supply-Chain-Sicherheit umfasst. Die Schlüssel- und Zertifikatverwaltung wurde eingeführt, um bewährte Methoden für die Schlüssel- und Zertifikatsverwaltung in Azure zu empfehlen.

Bedienelemente

Die folgenden Steuerelemente sind im Azure-Sicherheitsvergleichstest v3 enthalten:

ASB-Kontrolldomänen BESCHREIBUNG
Netzwerksicherheit (NS) Die Netzwerksicherheit umfasst Steuerelemente zum Sichern und Schützen von Azure-Netzwerken, einschließlich sicherung virtueller Netzwerke, Einrichten privater Verbindungen, Verhindern und Mildern externer Angriffe und Schützen von DNS.
Identitätsverwaltung (IM) Identitätsverwaltung umfasst Steuerelemente zum Einrichten einer sicheren Identitäts- und Zugriffssteuerung mithilfe von Azure Active Directory, einschließlich der Verwendung von einmaligem Anmelden, starken Authentifizierungen, verwalteten Identitäten (und Dienstprinzipalen) für Anwendungen, bedingten Zugriff und Kontoanomalienüberwachung.
Privilegierter Zugriff (PA) Privileged Access umfasst Steuerelemente zum Schutz des privilegierten Zugriffs auf Ihren Azure-Mandanten und -Ressourcen, einschließlich einer Reihe von Steuerelementen zum Schutz Ihres Verwaltungsmodells, Administrativen Konten und Arbeitsstationen mit privilegiertem Zugriff vor absichtlichen und versehentlichen Risiken.
Datenschutz (DP) Der Schutz von Daten umfasst die Kontrolle des Schutzes ruhender Daten, in Übertragung begriffener Daten und des Zugriffs über autorisierte Zugriffsmechanismen, einschließlich des Auffindens, Klassifizierens, Schützens und Überwachens sensibler Datenbestände mithilfe von Zugriffssteuerung, Verschlüsselung, Schlüssel- und Zertifikatverwaltung in Azure.
Vermögensverwaltung (AM) Das Asset Management umfasst Kontrollen zur Sicherstellung der Sichtbarkeit und Steuerung der Sicherheit über Azure-Ressourcen, einschließlich Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugang zum Asset-Inventar und zur Verwaltung von Genehmigungen für Dienstleistungen und Ressourcen (Inventar, Verfolgen und Korrigieren).
Protokollierung und Bedrohungserkennung (LT) Protokollierung und Bedrohungserkennung umfasst Kontrollen zum Erkennen von Bedrohungen in Azure und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Azure-Dienste, einschließlich der Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Steuerelementen, um qualitativ hochwertige Warnungen mit nativer Bedrohungserkennung in Azure-Diensten zu generieren; sie umfasst auch das Sammeln von Protokollen mit Azure Monitor, die zentrale Sicherheitsanalyse mit Azure Sentinel, Zeitsynchronisierung und Protokollaufbewahrung.
Reaktion auf Vorfälle (IR) Die Reaktion auf Vorfälle umfasst Steuerelemente im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten wie Microsoft Defender für Cloud und Sentinel zur Automatisierung des Vorfallreaktionsprozesses.
Status- und Sicherheitsrisikomanagement Die Verwaltung von Sicherheitsstatus und Schwachstellen konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Azure-Sicherheitsstatus, einschließlich Schwachstellen-Scans, Penetrationstests und deren Behebung sowie zur Nachverfolgung, Berichterstellung und Korrektur von Sicherheitskonfigurationen in Azure-Ressourcen.
Endpunktsicherheit (ES) Endpunktsicherheit umfasst Kontrollen zur Endpunkterkennung und -antwort, einschließlich des Einsatzes von Endpunkterkennung und -antwort und eines Antischadsoftwarediensts für Endpunkte in Azure-Umgebungen.
Sicherung und Wiederherstellung (BR) Sicherung und Wiederherstellung umfasst Steuerelemente, um sicherzustellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen ausgeführt, überprüft und geschützt werden.
DevOps-Sicherheit (DS) Die DevOps-Sicherheit umfasst Kontrollmechanismen im Zusammenhang mit der Sicherheitsentwicklung und den Sicherheitsvorgängen in DevOps-Prozessen ab. Dazu gehört die Bereitstellung kritischer Sicherheitsüberprüfungen (z. B. statische Anwendungssicherheitstests, Sicherheitsrisikomanagement) vor der Bereitstellungsphase, um die Sicherheit während des gesamten DevOps-Prozesses zu gewährleisten. Zudem fallen darunter auch allgemeine Themen wie Gefahrenmodellierung und Softwarebereitstellungssicherheit.
Governance und Strategie (GS) Governance und Strategie bieten Anleitungen für die Sicherstellung einer kohärenten Sicherheitsstrategie und dokumentierten Governance-Ansatz, um die Sicherheit zu unterstützen und zu gewährleisten, einschließlich der Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, einheitliche technische Strategie und unterstützende Richtlinien und Standards.

Empfehlungen für Azure Security-Benchmarks

Jede Empfehlung umfasst die folgenden Informationen:

  • ASB-ID: Die ID des Azure-Sicherheitsvergleichstests, die der Empfehlung entspricht.
  • CIS-Steuerelemente v8-IDs: Die CIS-Steuerelemente v8, die der Empfehlung entsprechen.
  • CIS Controls v7.1 ID(s): Die CIS-Steuerelemente v7.1, die der Empfehlung entsprechen (wegen Formatierungsgründen nicht im Web verfügbar).
  • PCI-DSS v3.2.1 ID(n):Die PCI-DSS v3.2.1-Steuerelemente, die der Empfehlung entsprechen.
  • NIST SP 800-53 r4 ID(s): Die NIST SP 800-53 r4 (Moderate und High) Kontrolle(n), die dieser Empfehlung entsprechen.
  • Sicherheitsprinzip: Die Empfehlung konzentrierte sich auf das "Was", in dem die Kontrolle auf technologieagnostischer Ebene erläutert wird.
  • Azure-Leitfaden: Die Empfehlung konzentriert sich auf das "How", in dem die technischen Features und Implementierungsgrundlagen von Azure erläutert werden.
  • Implementierungs- und Ergänzungskontext: Die Implementierungsdetails und andere relevante Kontexte, die mit den Dokumentationsartikeln zum Azure-Dienstangebot verknüpft sind.
  • Stakeholder der Kundensicherheit: Die Sicherheitsfunktionen in der Kundenorganisation, die für die jeweilige Kontrolle verantwortlich, zuständig oder konsultiert werden können. Es kann sich von Organisation zu Organisation unterscheiden, abhängig von der Sicherheitsorganisationsstruktur Ihres Unternehmens und den Rollen und Zuständigkeiten, die Sie im Zusammenhang mit Azure-Sicherheit eingerichtet haben.

Hinweis

Die Kontrollzuordnungen zwischen ASB und Branchenbenchmarks (z. B. CIS, NIST und PCI) geben nur an, dass ein oder mehrere bestimmte Azure-Features verwendet werden können, um eine in diesen Branchenbenchmarks definierte Kontrollanforderung ganz oder teilweise zu erfüllen. Sie sollten sich bewusst sein, dass diese Implementierung nicht notwendigerweise in die vollständige Einhaltung der entsprechenden Kontrollen in diesen Branchen-Benchmarks übersetzt wird.

Wir freuen uns über Ihr detailliertes Feedback und ihre aktive Teilnahme am Azure Security Benchmark-Aufwand. Wenn Sie dem Azure Security Benchmark-Team direkt Feedback geben möchten, füllen Sie das Formular bei https://aka.ms/AzSecBenchmark.

Herunterladen

Sie können den Azure Security Benchmark im Tabellenkalkulationsformat herunterladen.

Nächste Schritte