A Microsoft felhőbiztonsági teljesítménytesztjének áttekintése (v1)

A Microsoft felhőbiztonsági teljesítménytesztje (MCSB) előíró ajánlott eljárásokat és javaslatokat nyújt a számítási feladatok, adatok és szolgáltatások biztonságának javításához az Azure-ban és a többfelhős környezetben. Ez a referenciamutató a felhőközpontú szabályozási területekre összpontosít, és a Microsoft és az iparági biztonsági útmutatók egy készletének bemenetét tartalmazza, amely a következőket tartalmazza:

A Microsoft cloud security benchmark v1 újdonságai

Megjegyzés

A Microsoft felhőbiztonsági teljesítménytesztje az Azure Security Benchmark (ASB) utódja, amelyet 2022 októberében újjáalakítottak. Jelenleg nyilvános előzetes verzióban érhető el.

A Microsoft cloud security benchmark v1 újdonságai:

  1. Átfogó többfelhős biztonsági keretrendszer: A szervezeteknek gyakran létre kell hozniuk egy belső biztonsági szabványt, amely több felhőplatform biztonsági vezérlőit egyezteti a biztonsági és megfelelőségi követelményeknek való megfelelés érdekében. Ez gyakran megköveteli, hogy a biztonsági csapatok ugyanazt a megvalósítást, monitorozást és értékelést ismételjék meg a különböző felhőkörnyezetekben (gyakran különböző megfelelőségi szabványok esetén). Ez szükségtelen többletterhelést, költséget és erőfeszítést hoz létre. A probléma megoldásához az ASB-t az MCSB-hez bővítettük, hogy a különböző felhőkkel gyorsan működjön együtt a következőkkel:

    • Egyetlen szabályozási keretrendszer biztosítása a felhők biztonsági vezérlőinek egyszerű kielégítéséhez
    • Konzisztens felhasználói élmény biztosítása a többfelhős biztonsági teljesítményteszt monitorozásához és érvényesítéséhez a Defender for Cloudban
    • Igazodjon az iparági szabványokhoz (pl. CIS, NIST, PCI)

    Az ASB és a CIS-teljesítményteszt leképezése

  2. Automatizált vezérlésfigyelés az AWS-hez a felhőhöz készült Microsoft Defender-ben: A felhőszabályozási megfelelőségi irányítópult Microsoft Defender használatával ugyanúgy figyelheti az AWS-környezetet az MCSB-vel, mint ahogyan az Azure-környezetet is figyeli. Körülbelül 180 AWS-ellenőrzést fejlesztettünk ki az ÚJ AWS biztonsági útmutatóhoz az MCSB-ben, amely lehetővé teszi az AWS-környezet és -erőforrások monitorozását a felhőhöz készült Microsoft Defender.

    Képernyőkép az MSCB felhőbeli Microsoft Defender való integrációjáról

  3. A meglévő Azure-útmutatók és biztonsági alapelvek frissítése: A frissítés során frissítettünk néhány meglévő Azure-biztonsági útmutatót és biztonsági alapelvet is, hogy naprakész maradjon a legújabb Azure-funkciókkal és képességekkel.

Vezérlők

Tartományok vezérlése Leírás
Hálózati biztonság (NS) A Hálózatbiztonság magában foglalja a hálózatok védelmét és védelmét szolgáló vezérlőket, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létesítését, a külső támadások megelőzését és mérséklését, valamint a DNS védelmét.
Identitáskezelés (IM) Az Identity Management magában foglalja a biztonságos identitás- és hozzáférés-vezérlők identitás- és hozzáférés-kezelési rendszerek használatával történő létrehozását, beleértve az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások (és szolgáltatásnevek) alkalmazását, a feltételes hozzáférést és a fiókanomáliák monitorozását.
Emelt szintű hozzáférés (PA) A Privileged Access a bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét biztosító vezérlőket tartalmazza, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférési munkaállomások szándékos és véletlen kockázatokkal szembeni védelmét biztosító vezérlőket.
Adatvédelem (DP) Az Adatvédelem magában foglalja az inaktív, az átvitel közbeni és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelem ellenőrzését, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcskezeléssel és tanúsítványkezeléssel.
Eszközkezelés (AM) Az Eszközkezelés olyan vezérlőket tartalmaz, amelyek biztosítják az erőforrások biztonsági láthatóságát és irányítását, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és javítás).
Naplózás és fenyegetésészlelés (LT) A naplózás és a fenyegetésészlelés magában foglalja a felhőbeli fenyegetések észlelésének vezérlőit, valamint a felhőszolgáltatások naplózási naplóinak engedélyezését, gyűjtését és tárolását, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel a felhőszolgáltatásokban; Ez magában foglalja a naplók felhőmonitorozási szolgáltatással történő gyűjtését, a biztonsági elemzés SIEM-sel történő központosítását, az időszinkronizálást és a naplómegőrzést.
Incidenskezelés (IR) Az incidenskezelés magában foglalja az incidenskezelés életciklusának vezérlőit – az előkészítést, az észlelést és az elemzést, az elszigetelést és az incidens utáni tevékenységeket, beleértve az Azure-szolgáltatások (például a felhőhöz és a Sentinelhez készült Microsoft Defender) és/vagy más felhőszolgáltatások használatát az incidenskezelési folyamat automatizálásához.
Testtartás- és biztonságirés-kezelés (PV) A Testure and Vulnerability Management a felhőbeli biztonsági helyzet felmérésére és javítására szolgáló vezérlőkre összpontosít, beleértve a sebezhetőségek vizsgálatát, a behatolástesztelést és a szervizelést, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást a felhőerőforrásokban.
Végpontbiztonság (ES) Az Endpoint Security a végpontészlelés és -válasz vezérlőit ismerteti, beleértve a végpontészlelés és -válasz (EDR) használatát, valamint a felhőkörnyezetekben lévő végpontok kártevőirtó szolgáltatásának használatát.
Biztonsági mentés és helyreállítás (BR) A biztonsági mentés és helyreállítás olyan vezérlőket tartalmaz, amelyek biztosítják, hogy a különböző szolgáltatási szinteken lévő adatok és konfigurációs biztonsági mentések végrehajtása, érvényesítése és védelme biztosított legyen.
DevOps Security (DS) A DevOps Security a DevOps-folyamatok biztonsági tervezéséhez és műveleteihez kapcsolódó vezérlőkre terjed ki, beleértve a kritikus biztonsági ellenőrzések (például statikus alkalmazások biztonsági tesztelése, sebezhetőségek kezelése) üzembe helyezését az üzembe helyezési fázis előtt, hogy biztosítsa a biztonságot a DevOps-folyamat során; Olyan gyakori témaköröket is tartalmaz, mint a fenyegetésmodellezés és a szoftverellátás biztonsága.
Irányítás és stratégia (GS) Az irányítás és a stratégia útmutatást nyújt egy koherens biztonsági stratégia és dokumentált irányítási megközelítés biztosításához a biztonsági biztosítékok irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségének megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat.

Javaslatok a Microsoft felhőbiztonsági teljesítménytesztjében

Minden javaslat a következő információkat tartalmazza:

  • Azonosító: A javaslatnak megfelelő teljesítményteszt azonosítója.
  • CIS-vezérlők v8-azonosító(ka): A javaslatnak megfelelő CIS-vezérlők v8-vezérlő(k).
  • CIS-vezérlők v7.1 azonosító(k):: A CIS-vezérlők 7.1-s verziójú vezérlői, amelyek megfelelnek a javaslatnak (a formázási ok miatt nem érhetők el a weben).
  • PCI-DSS v3.2.1 ID(s): A javaslatnak megfelelő PCI-DSS v3.2.1 vezérlő(k).
  • NIST SP 800-53 r4 ID(s): Az NIST SP 800-53 r4 (közepes és magas) vezérlő(k) megfelelnek ennek a javaslatnak.
  • Biztonsági elv: A javaslat a "what" kifejezésre összpontosított, és a technológia-agnosztikus szinten magyarázta az ellenőrzést.
  • Azure-útmutató: A javaslat középpontjában a "hogyan" áll, amely az Azure műszaki funkcióit és implementálási alapjait ismerteti.
  • AWS-útmutató: A javaslat a "hogyan"-ra összpontosított, az AWS technikai funkcióinak és implementálási alapjainak ismertetésével.
  • Megvalósítás és további környezet: Az implementáció részletei és egyéb releváns környezetek, amelyek az Azure és az AWS szolgáltatás dokumentációs cikkére hivatkoznak.
  • Ügyfélbiztonsági érintettek: Az ügyfélszervezet biztonsági funkciói , akik elszámoltathatók, felelősek vagy konzultáltak az adott ellenőrzéssel. A vállalat biztonsági szervezeti struktúrájától, valamint az Azure-biztonsághoz beállított szerepköröktől és felelősségektől függően a szervezettől eltérő lehet.

Az MCSB és az iparági teljesítménytesztek (például CIS, NIST és PCI) közötti vezérlőleképezések csak azt jelzik, hogy egy adott Azure-szolgáltatás(ok) használhatók az ezekben az iparági teljesítménymutatókban meghatározott szabályozási követelmények teljes vagy részleges kezelésére. Tisztában kell lennie azzal, hogy az ilyen megvalósítás nem feltétlenül jelenti a megfelelő ellenőrzés(ek) teljes körű betartását ezekben az iparági teljesítménymutatókban.

Örömmel fogadjuk részletes visszajelzését és aktív részvételét a Microsoft felhőbiztonsági teljesítménytesztjében. Ha közvetlen bemenetet szeretne adni, küldjön nekünk e-mailt a címen benchmarkfeedback@microsoft.com.

Letöltés

A teljesítményteszt és az alapkonfiguráció offline másolatát letöltheti számolótábla formátumban.

Következő lépések