Información general sobre Microsoft Cloud Security Benchmark (v1)
Microsoft Cloud Security Benchmark (MCSB) proporciona recomendaciones y procedimientos recomendados prescriptivos para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure y el entorno de varias nubes. Este punto de referencia aborda las áreas de control centradas en la nube con ayuda de un conjunto completo de instrucciones de seguridad de Microsoft y del sector, entre las que se incluyen las siguientes:
- Cloud Adoption Framework: guía sobre la seguridad, incluida la estrategia, los roles y las responsabilidades, los mejores procedimientos recomendados de seguridad de Azure 10 y la implementación de referencia.
- Marco de buena arquitectura de Azure: guía sobre protección de las cargas de trabajo en Azure.
- Taller del Director de Seguridad de la Información (CISO):Guía del programa y estrategias de referencia para acelerar la modernización de la seguridad mediante Confianza cero principios.
- Otros proveedores de servicios en la nube y otros proveedores de servicios en la nube estándares y marcos de procedimientos recomendados de seguridad: ejemplos incluyen Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) y Payment Card Industry Data Security Standard (PCI-DSS).
Novedades de La prueba comparativa de seguridad en la nube de Microsoft v1
Nota:
Microsoft Cloud Security Benchmark es el sucesor de Azure Security Benchmark (ASB), que cambió de nombre en octubre de 2022.
La compatibilidad con Google Cloud Platform en MCSB ya está disponible como una característica en versión preliminar, tanto en la guía de pruebas comparativas de MCSB como en Microsoft Defender for Cloud.
Estas son las novedades de Microsoft Cloud Security Benchmark versión 1:
Marco de seguridad multinube integral: a menudo las organizaciones tienen que crear un estándar de seguridad interno para conciliar los controles de seguridad entre varias plataformas en la nube, con el fin de cumplir los requisitos de seguridad y cumplimiento normativo en cada una de ellas. Esto suele requerir que los equipos de seguridad repitan las mismas tareas de implementación, supervisión y evaluación en cada entornos de nube distinto (a menudo, con diferentes estándares de cumplimiento). Esto supone una sobrecarga, un coste y un esfuerzo innecesarios. Para abordar este problema, hemos mejorado ASB a MCSB para ayudarle a trabajar rápidamente con diferentes nubes, gracias a lo siguiente:
- Proporcionando un único marco de control para satisfacer fácilmente los controles de seguridad de todas las nubes
- Proporciona una experiencia de usuario uniforme para supervisar y aplicar el punto de referencia de seguridad multinube en Defender for Cloud
- Respetando los estándares del sector (por ejemplo, CIS, NIST, PCI)
Supervisión automatizada de control para AWS en Microsoft Defender for Cloud: puede usar Microsoft Defender para el panel de cumplimiento normativo en la nube para supervisar el entorno de AWS en MCSB, al igual que el modo en que supervisa su entorno de Azure. Hemos desarrollado alrededor de 180 comprobaciones de AWS para la nueva guía de seguridad de AWS en MCSB, lo que permite supervisar su entorno y recursos de AWS en Microsoft Defender for Cloud.
Actualización de las instrucciones y principios de seguridad de Azure existentes: también hemos actualizado algunas de las directrices de seguridad y los principios de seguridad de Azure existentes durante esta actualización para que pueda mantenerse al día con las características y funcionalidades de Azure más recientes.
Controles
| Dominios de control | Descripción |
|---|---|
| Seguridad de red (NS) | La seguridad de red cubre los controles para proteger y asegurar las redes, incluida la protección de redes virtuales, el establecimiento de conexiones privadas, la prevención y la mitigación de ataques externos, y la protección de DNS. |
| Administración de identidades (IM) | Administración de identidades cubre controles que establecen una identidad segura y controles de acceso mediante sistemas de administración de identidad y acceso, incluido el uso del inicio de sesión único, la autenticación segura, las identidades administradas (y las entidades de servicio) para las aplicaciones, el acceso condicional y la supervisión de anomalías en las cuentas. |
| Acceso con privilegios (PA) | Acceso con privilegios cubre controles que protegen el acceso con privilegios a su inquilino a los recursos. Incluye una serie de controles para proteger el modelo administrativo, las cuentas administrativas y las estaciones de trabajo de acceso con privilegios frente a riesgos deliberados e involuntarios. |
| Protección de datos (DP) | La protección de datos cubre el control de la protección de datos en reposo, en tránsito y a través de mecanismos de acceso autorizados, incluidas la detección, la clasificación, la protección y la supervisión de los recursos de datos confidenciales mediante el control de acceso, el cifrado y la administración de claves y certificados. |
| Administración de recursos (AM) | Asset Management cubre los controles para garantizar la visibilidad y la gobernanza de la seguridad en los recursos, incluidas las recomendaciones sobre los permisos para el personal de seguridad, el acceso de seguridad al inventario de recursos y la administración de aprobaciones para servicios y recursos (inventario, seguimiento y corrección). |
| Registro y detección de amenazas (LT) | El registro y la detección de amenazas cubre controles que detectan amenazas en la nube y habilitan, recopilan y almacenan registros de auditoría de servicios en la nube, incluida la habilitación de procesos de detección, investigación y corrección con controles para generar alertas de alta calidad con detección de amenazas nativa en los servicios en la nube. También incluye la recopilación de registros con un servicio de supervisión en la nube, la centralización de los análisis de seguridad con un SIEM, la sincronización de la hora y la retención de registros. |
| Respuesta a los incidentes (IR) | La respuesta a incidentes cubre controles del ciclo de vida de respuesta a incidentes: preparación, detección y análisis, contención y actividades posteriores a los incidentes, incluido el uso de servicios de Azure (como Microsoft Defender for Cloud y Sentinel) y otros servicios en la nube para automatizar el proceso de respuesta a incidentes. |
| Administración de posiciones y vulnerabilidades (PV) | La administración de la posición y la vulnerabilidad se centra en controles que evalúan y mejoran la posición de seguridad en la nube, incluyendo el examen de vulnerabilidades, las pruebas de penetración y la corrección, así como el seguimiento de la configuración de seguridad, informes y la corrección en los recursos en la nube. |
| Seguridad del punto de conexión (ES) | La seguridad de los puntos de conexión abarca los controles de detección y respuesta de puntos de conexión, como el uso de detección y respuesta de puntos de conexión (EDR) y el servicio antimalware para puntos de conexión en entornos en la nube. |
| Copia de seguridad y recuperación (BR) | La copia de seguridad y la recuperación conllevan controles para garantizar que las copias de seguridad de los datos y la configuración de los distintos niveles de servicio se realizan, se validan y se protegen. |
| Seguridad de DevOps (DS) | Seguridad de DevOps cubre los controles relacionados con la ingeniería de seguridad y las operaciones en los procesos de DevOps, incluida la implementación de comprobaciones de seguridad críticas (como las pruebas de seguridad de aplicaciones estáticas o la administración de vulnerabilidades) antes de la fase de implementación para garantizar la seguridad a lo largo del proceso de DevOps; también incluye temas comunes como el modelado de amenazas y la seguridad de suministro de software. |
| Gobernanza y estrategia (GS) | La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte. |
Recomendaciones en la prueba comparativa de seguridad en la nube de Microsoft
Cada recomendación incluye la siguiente información:
- Id. : el identificador de la prueba comparativa que corresponde a la recomendación.
- Identificadores de CIS Controls v8: los controles CIS Controls v8 que corresponden a la recomendación.
- Identificadores de CIS Controls v7.1: los controles CIS Controls v7.1 que corresponden a la recomendación (no están disponibles en la web por una razón de formato).
- Identificadores de PCI-DSS v3.2.1: los controles de PCI-DSS v3.2.1 que corresponden a la recomendación.
- NIST SP 800-53 r4 ID(s): los controles NIST SP 800-53 r4 (moderados y altos) corresponden a esta recomendación.
- Principio de seguridad: la recomendación se centra en el "qué", explicando el control en el nivel independiente de la tecnología.
- Guía de Azure: la recomendación se centra en el "cómo", explicando las características técnicas de Azure y los conceptos básicos de implementación.
- Guía de AWS: la recomendación se centra en "cómo", explicando los conceptos básicos de implementación y características técnicas de AWS.
- Implementación y contexto adicional: los detalles de implementación y otros contextos pertinentes que vinculan a los artículos de documentación sobre ofertas de servicios de Azure y AWS.
- Partes interesadas de seguridad del cliente: las funciones de seguridad de la organización del cliente que pueden ser responsables, comprometidas o consultadas para el control correspondiente. Puede ser diferente entre las organizaciones en función de la estructura de la organización de seguridad de la empresa, así como de los roles y las responsabilidades que configure relacionados con la seguridad de Azure.
Las asignaciones de control entre MCSB y las pruebas comparativas del sector (como CIS, NIST y PCI) solo indican que se pueden usar características específicas de Azure para abordar completamente o parcialmente un requisito de control definido en estas pruebas comparativas del sector. Debe tener en cuenta que dicha implementación no se traduce necesariamente en el cumplimiento completo del control correspondiente en las pruebas comparativas del sector.
Agradecemos sus comentarios detallados y la participación activa en el esfuerzo de pruebas comparativas de seguridad en la nube de Microsoft. Si desea proporcionar una entrada directa, envíenos un correo electrónico a benchmarkfeedback@microsoft.com.
Descargar
Puede descargar la copia sin conexión de Benchmark y baseline en formato de hoja de cálculo.
Pasos siguientes
- Vea el primer control de seguridad: Seguridad de las redes
- Lea la introducción a la prueba comparativa de seguridad en la nube de Microsoft.
- Conozca los aspectos básicos de seguridad de Azure