A Microsoft felhőbiztonsági teljesítménytesztjének bemutatása

Megjegyzés

A Microsoft felhőbiztonsági teljesítménytesztje az Azure Security Benchmark (ASB) utódja, amelyet 2022 októberében újjáépítettünk. Jelenleg nyilvános előzetes verzióban érhető el.

Naponta jelennek meg új szolgáltatások és funkciók az Azure-ban és a felhőszolgáltatók platformján, a fejlesztők gyorsan közzétenek új felhőalkalmazásokat ezekre a szolgáltatásokra alapozva, és a támadók folyamatosan új módszereket keresnek a helytelenül konfigurált erőforrások kihasználására. A felhő gyorsan mozog, a fejlesztők gyorsan mozognak, és a támadók is gyorsan mozognak. Hogyan gondoskodhat arról, hogy a felhőbeli üzemelő példányok biztonságosak legyenek? Miben különböznek a felhőrendszerek biztonsági eljárásai a helyszíni rendszerektől és a felhőszolgáltatóktól? Hogyan figyelheti a számítási feladatokat a több felhőplatform konzisztenciájára vonatkozóan?

A Microsoft úgy találta, hogy a biztonsági teljesítménytesztek használatával gyorsan biztonságossá teheti a felhőbeli üzemelő példányokat. A felhőszolgáltatók átfogó biztonsági ajánlott eljárásainak keretrendszere kiindulópontként szolgál a felhőkörnyezet adott biztonsági konfigurációs beállításainak kiválasztásához több szolgáltató között, és lehetővé teszi a konfigurációk egyetlen panelen történő monitorozását.

A Microsoft felhőbiztonsági teljesítménytesztje (MCSB) számos nagy hatású biztonsági javaslatot tartalmaz, amelyekkel a felhőszolgáltatásokat egyetlen vagy többfelhős környezetben is biztonságossá teheti. Az MCSB-javaslatok két fő szempontot tartalmaznak:

  • Biztonsági vezérlők: Ezek a javaslatok általánosan alkalmazhatók a felhőbeli számítási feladatokra. Minden javaslat azonosítja azoknak az érdekelt feleknek a listáját, akik általában részt vesznek a referenciamutató tervezésében, jóváhagyásában vagy megvalósításában.
  • Szolgáltatási alapkonfigurációk: Ezek a vezérlőket az egyes felhőszolgáltatásokra alkalmazzák, hogy javaslatokat nyújtsanak az adott szolgáltatás biztonsági konfigurációjára vonatkozóan. Jelenleg csak az Azure-hoz érhetők el szolgáltatási alapkonfigurációk.

A Microsoft felhőbiztonsági teljesítménytesztjének implementálása

  • Tervezze meg az MCSB-implementációt a vállalati vezérlők dokumentációjának és a szolgáltatásspecifikus alapkonfigurációknak a áttekintésével, hogy megtervezze a vezérlési keretrendszert, és hogyan képezze le az olyan útmutatásokat, mint a Center for Internet Security (CIS), a National Institute of Standards and Technology (NIST) és a Payment Card Industry Data Security Standard (PCI-DSS) keretrendszer.
  • Monitorozza az MCSB-állapotnak (és más vezérlőkészleteknek) való megfelelést a felhőre vonatkozó Microsoft Defender – Jogszabályi megfelelőség irányítópult használatával a többfelhős környezetben. .
  • Védőkorlátokat hozhat létre a biztonságos konfigurációk automatizálásához és az MCSB(és a szervezet egyéb követelményei) betartásának kikényszerítéséhez olyan funkciók használatával, mint az Azure Blueprints, a Azure Policy vagy más felhőplatformok egyenértékű technológiái.

Gyakori használati esetek

A Microsoft felhőbiztonsági teljesítménytesztje gyakran használható a következő ügyfelek vagy szolgáltatáspartnerek gyakori kihívásainak kezelésére:

  • Új az Azure (és más nagy felhőplatformok, például az AWS), és biztonsági ajánlott eljárásokat keres a felhőszolgáltatások és a saját alkalmazásterhelés biztonságos üzembe helyezésének biztosításához.
  • A meglévő felhőbeli üzemelő példányok biztonsági helyzetének javítása a legfontosabb kockázatok és kockázatcsökkentések rangsorolása érdekében.
  • Többfelhős környezetek (például az Azure és az AWS) használata, valamint a biztonsági vezérlés monitorozásának és kiértékelésének egyetlen panelen történő igazítása során felmerülő kihívások.
  • Az Azure (és más nagy felhőplatformok, például az AWS) biztonsági funkcióinak/képességeinek kiértékelése egy szolgáltatás(ok) felhőszolgáltatás-katalógusba való bevezetése/jóváhagyása előtt.
  • Eleget kell tenni a szigorúan szabályozott iparágak, például a kormányzati, a pénzügyi és az egészségügyi előírásoknak. Ezeknek az ügyfeleknek biztosítaniuk kell az Azure és más felhők szolgáltatáskonfigurációit, hogy megfeleljenek a keretrendszerben meghatározott biztonsági specifikációnak, például a CIS-nek, az NIST-nek vagy a PCI-nek. Az MCSB hatékony megközelítést biztosít az iparági teljesítménytesztekhez már előre leképezett vezérlőkkel.

Terminológia

A "control" és az "alapkonfiguráció" kifejezéseket gyakran használják a Microsoft felhőbiztonsági teljesítménytesztjének dokumentációjában. Fontos megérteni, hogy az MCSB hogyan használja ezeket a kifejezéseket.

Időszak Leírás Példa
Szabályozás A vezérlés egy olyan funkció vagy tevékenység magas szintű leírása, amelyet kezelni kell, és nem egy technológiára vagy megvalósításra jellemző. Az adatvédelem az egyik biztonsági vezérlőcsalád. Az Adatvédelem olyan konkrét műveleteket tartalmaz, amelyeket meg kell oldani az adatok védelmének biztosítása érdekében.
Alapkonfiguráció Az alapkonfiguráció az egyes Azure-szolgáltatások vezérlőjének implementálása. Minden szervezet egy teljesítménytesztre vonatkozó javaslatot diktál, és a megfelelő konfigurációkra van szükség az Azure-ban. Megjegyzés: Jelenleg csak az Azure-ban érhetők el szolgáltatási alapkonfigurációk. A Contoso vállalat úgy néz ki, hogy Azure SQL biztonsági funkciókat az Azure SQL biztonsági alapkonfigurációban ajánlott konfigurációt követve engedélyezi.

Örömmel vesszük visszajelzését a Microsoft felhőbiztonsági teljesítménytesztjéről! Javasoljuk, hogy az alábbi visszajelzési területen adjon meg megjegyzéseket. Ha inkább privátabban szeretné megosztani a bemenetet a Microsoft felhőbiztonsági csapatával, kérjük, küldjön nekünk e-mailt a következő címen benchmarkfeedback@microsoft.com: .