A Microsoft felhőbiztonsági referenciamutatójának bemutatása
Megjegyzés
A Microsoft felhőbiztonsági teljesítménytesztje az Azure Security Benchmark (ASB) utódja, amelyet 2022 októberében újjáalakítottak.
Az új szolgáltatások és funkciók naponta jelennek meg az Azure és a felhőszolgáltatók platformján, a fejlesztők gyorsan közzéteszik az ezekre a szolgáltatásokra épülő új felhőalkalmazásokat, és a támadók folyamatosan új módszereket keresnek a helytelenül konfigurált erőforrások kihasználására. A felhő gyorsan mozog, a fejlesztők gyorsan mozognak, és a támadók is gyorsan mozognak. Hogyan tarthatja fenn a lépést, és győződjön meg arról, hogy a felhőbeli üzemelő példányok biztonságosak? Miben különböznek a felhőrendszerek biztonsági eljárásai a helyszíni rendszerektől és a felhőszolgáltatóktól? Hogyan figyelheti a számítási feladatokat a több felhőplatform közötti konzisztencia szempontjából?
A Microsoft úgy találta, hogy a biztonsági teljesítménytesztek használatával gyorsan biztonságossá teheti a felhőbeli üzemelő példányokat. A felhőszolgáltatóktól származó átfogó ajánlott biztonsági eljárások keretrendszere kiindulópontként szolgál adott biztonsági konfigurációs beállítások kiválasztásához a felhőkörnyezetben, több szolgáltató között, és lehetővé teszi a konfigurációk egyetlen ablaktábla használatával történő monitorozását.
A Microsoft felhőbiztonsági teljesítménytesztje (MCSB) számos nagy hatású biztonsági javaslatot tartalmaz, amelyekkel biztonságossá teheti felhőszolgáltatásait egyetlen vagy többfelhős környezetben. Az MCSB-javaslatok két fő szempontot tartalmaznak:
- Biztonsági vezérlők: Ezek a javaslatok általánosan alkalmazhatók a felhőbeli számítási feladatokra. Minden javaslat azonosítja azoknak az érdekelt feleknek a listáját, akik általában részt vesznek a referenciamutató tervezésében, jóváhagyásában vagy végrehajtásában.
- Szolgáltatási alapkonfigurációk: Ezek a vezérlőket az egyes felhőszolgáltatásokra alkalmazzák, hogy javaslatokat nyújtsanak az adott szolgáltatás biztonsági konfigurációjára vonatkozóan. Jelenleg csak az Azure szolgáltatáskonfigurációi érhetők el.
A Microsoft felhőbiztonsági teljesítménytesztjének implementálása
- Tervezze meg MCSB-implementációját a vállalati vezérlők dokumentációjának és szolgáltatásspecifikus alapkonfigurációinak áttekintésével, és tervezze meg a szabályozási keretrendszert, és hogyan képezze le az olyan útmutatásokat, mint a Center for Internet Security (CIS), a National Institute of Standards and Technology (NIST) és a Payment Card Industry Data Security Standard (PCI-DSS) keretrendszer.
- Monitorozza az MCSB-állapotnak (és más vezérlőkészleteknek) való megfelelést a többfelhős környezet Microsoft Defender for Cloud – Jogszabályi megfelelőségi irányítópultjával. .
- Biztonsági korlátokat hozhat létre a biztonságos konfigurációk automatizálásához és az MCSB-nek (és a szervezet egyéb követelményeinek) való megfelelés kikényszerítéséhez olyan funkciók használatával, mint az Azure Blueprints, a Azure Policy vagy más felhőplatformok egyenértékű technológiái.
Gyakori használati esetek
A Microsoft felhőbiztonsági teljesítménytesztje gyakran használható a következő ügyfelek vagy szolgáltatáspartnerek gyakori kihívásainak kezelésére:
- Az Azure újdonságai (és más nagy felhőplatformok, például az AWS), és biztonsági ajánlott eljárásokat keresnek a felhőszolgáltatások és a saját alkalmazásterhelés biztonságos üzembe helyezésének biztosítása érdekében.
- A meglévő felhőbeli üzemelő példányok biztonsági helyzetének javítása a legfontosabb kockázatok és kockázatcsökkentések rangsorolása érdekében.
- Többfelhős környezetek (például az Azure és az AWS) használata, valamint a biztonsági vezérlés monitorozásának és kiértékelésének egyetlen ablaktábla használatával történő igazításával kapcsolatos kihívások.
- Az Azure (és más nagy felhőplatformok, például az AWS) biztonsági funkcióinak/képességeinek kiértékelése egy szolgáltatás(ok) felhőszolgáltatás-katalógusba való előkészítése/jóváhagyása előtt.
- Meg kell felelniük a szigorúan szabályozott iparágak, például a kormányzati, a pénzügyi és az egészségügyi előírásoknak. Ezeknek az ügyfeleknek biztosítaniuk kell az Azure és más felhők szolgáltatáskonfigurációit, hogy megfeleljenek a keretrendszerben meghatározott biztonsági specifikációnak, például a CIS-ben, az NIST-ben vagy a PCI-ben. Az MCSB hatékony megközelítést biztosít az említett iparági referenciamutatókhoz már előre leképezett vezérlőkkel.
Terminológia
A "control" és az "alapkonfiguráció" kifejezéseket gyakran használják a Microsoft felhőbiztonsági teljesítménytesztjének dokumentációjában. Fontos megérteni, hogy az MCSB hogyan használja ezeket a kifejezéseket.
| Időszak | Leírás | Példa |
|---|---|---|
| Szabályozás | A vezérlés egy olyan funkció vagy tevékenység magas szintű leírása, amelyet kezelni kell, és nem egy technológiára vagy megvalósításra vonatkozik. | Az Adatvédelem az egyik biztonsági vezérlőcsalád. Az Adatvédelem olyan konkrét műveleteket tartalmaz, amelyeket meg kell oldani az adatok védelmének biztosítása érdekében. |
| Alapkonfiguráció | Az alapkonfiguráció az egyes Azure-szolgáltatások vezérlésének megvalósítása. Minden szervezet egy teljesítményteszt-javaslatot diktál, és megfelelő konfigurációkra van szükség az Azure-ban. Megjegyzés: A szolgáltatáskonfigurációk jelenleg csak az Azure-ban érhetők el. | A Contoso vállalat úgy néz ki, hogy Azure SQL biztonsági funkciókat a Azure SQL biztonsági alapkonfigurációban ajánlott konfigurációt követve engedélyezi. |
Örömmel fogadjuk visszajelzését a Microsoft felhőbiztonsági teljesítménytesztjéről! Javasoljuk, hogy az alábbi visszajelzési területen adjon meg megjegyzéseket. Ha inkább privátabban szeretné megosztani a bemenetét a Microsoft felhőbiztonsági csapatával, küldjön nekünk e-mailt a címen benchmarkfeedback@microsoft.com.