A Microsoft felhőbiztonsági teljesítménytesztjének áttekintése (v1)
A Microsoft felhőbiztonsági teljesítménytesztje (MCSB) előíró ajánlott eljárásokat és javaslatokat nyújt a számítási feladatok, adatok és szolgáltatások biztonságának javításához az Azure-ban és a többfelhős környezetben. Ez a referenciamutató a felhőközpontú szabályozási területekre összpontosít, és a Microsoft és az iparági biztonsági útmutatók egy készletének bemenetét tartalmazza, amely a következőket tartalmazza:
- felhőadaptálási keretrendszer: Útmutatás a biztonsághoz, beleértve a stratégiát, a szerepköröket és a felelősségeket, az Azure Top 10 biztonsági ajánlott eljárásait és a referencia-megvalósítást.
- Azure Well-Architected Framework: Útmutató a számítási feladatok azure-beli védelméhez.
- A vezető informatikai biztonsági tisztviselő (CISO) workshop: Programvezetési és referenciastratégiák a biztonság modernizálásának felgyorsítására Teljes felügyelet alapelvek alapján.
- Más iparági és felhőszolgáltatók biztonsági ajánlott eljárás szabványai és keretrendszerei: Ilyenek például az Amazon Web Services (AWS) Well-Architected Framework, a Center for Internet Security (CIS) Controls, a National Institute of Standards and Technology (NIST) és a Payment Card Industry Data Security Standard (PCI-DSS).
A Microsoft cloud security benchmark v1 újdonságai
Megjegyzés
A Microsoft felhőbiztonsági teljesítménytesztje az Azure Security Benchmark (ASB) utódja, amelyet 2022 októberében újjáalakítottak. Jelenleg nyilvános előzetes verzióban érhető el.
A Microsoft cloud security benchmark v1 újdonságai:
Átfogó többfelhős biztonsági keretrendszer: A szervezeteknek gyakran létre kell hozniuk egy belső biztonsági szabványt, amely több felhőplatform biztonsági vezérlőit egyezteti a biztonsági és megfelelőségi követelményeknek való megfelelés érdekében. Ez gyakran megköveteli, hogy a biztonsági csapatok ugyanazt a megvalósítást, monitorozást és értékelést ismételjék meg a különböző felhőkörnyezetekben (gyakran különböző megfelelőségi szabványok esetén). Ez szükségtelen többletterhelést, költséget és erőfeszítést hoz létre. A probléma megoldásához az ASB-t az MCSB-hez bővítettük, hogy a különböző felhőkkel gyorsan működjön együtt a következőkkel:
- Egyetlen szabályozási keretrendszer biztosítása a felhők biztonsági vezérlőinek egyszerű kielégítéséhez
- Konzisztens felhasználói élmény biztosítása a többfelhős biztonsági teljesítményteszt monitorozásához és érvényesítéséhez a Defender for Cloudban
- Igazodjon az iparági szabványokhoz (pl. CIS, NIST, PCI)
Automatizált vezérlésfigyelés az AWS-hez a felhőhöz készült Microsoft Defender-ben: A felhőszabályozási megfelelőségi irányítópult Microsoft Defender használatával ugyanúgy figyelheti az AWS-környezetet az MCSB-vel, mint ahogyan az Azure-környezetet is figyeli. Körülbelül 180 AWS-ellenőrzést fejlesztettünk ki az ÚJ AWS biztonsági útmutatóhoz az MCSB-ben, amely lehetővé teszi az AWS-környezet és -erőforrások monitorozását a felhőhöz készült Microsoft Defender.
A meglévő Azure-útmutatók és biztonsági alapelvek frissítése: A frissítés során frissítettünk néhány meglévő Azure-biztonsági útmutatót és biztonsági alapelvet is, hogy naprakész maradjon a legújabb Azure-funkciókkal és képességekkel.
Vezérlők
| Tartományok vezérlése | Leírás |
|---|---|
| Hálózati biztonság (NS) | A Hálózatbiztonság magában foglalja a hálózatok védelmét és védelmét szolgáló vezérlőket, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létesítését, a külső támadások megelőzését és mérséklését, valamint a DNS védelmét. |
| Identitáskezelés (IM) | Az Identity Management magában foglalja a biztonságos identitás- és hozzáférés-vezérlők identitás- és hozzáférés-kezelési rendszerek használatával történő létrehozását, beleértve az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások (és szolgáltatásnevek) alkalmazását, a feltételes hozzáférést és a fiókanomáliák monitorozását. |
| Emelt szintű hozzáférés (PA) | A Privileged Access a bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét biztosító vezérlőket tartalmazza, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférési munkaállomások szándékos és véletlen kockázatokkal szembeni védelmét biztosító vezérlőket. |
| Adatvédelem (DP) | Az Adatvédelem magában foglalja az inaktív, az átvitel közbeni és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelem ellenőrzését, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcskezeléssel és tanúsítványkezeléssel. |
| Eszközkezelés (AM) | Az Eszközkezelés olyan vezérlőket tartalmaz, amelyek biztosítják az erőforrások biztonsági láthatóságát és irányítását, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és javítás). |
| Naplózás és fenyegetésészlelés (LT) | A naplózás és a fenyegetésészlelés magában foglalja a felhőbeli fenyegetések észlelésének vezérlőit, valamint a felhőszolgáltatások naplózási naplóinak engedélyezését, gyűjtését és tárolását, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel a felhőszolgáltatásokban; Ez magában foglalja a naplók felhőmonitorozási szolgáltatással történő gyűjtését, a biztonsági elemzés SIEM-sel történő központosítását, az időszinkronizálást és a naplómegőrzést. |
| Incidenskezelés (IR) | Az incidenskezelés magában foglalja az incidenskezelés életciklusának vezérlőit – az előkészítést, az észlelést és az elemzést, az elszigetelést és az incidens utáni tevékenységeket, beleértve az Azure-szolgáltatások (például a felhőhöz és a Sentinelhez készült Microsoft Defender) és/vagy más felhőszolgáltatások használatát az incidenskezelési folyamat automatizálásához. |
| Testtartás- és biztonságirés-kezelés (PV) | A Testure and Vulnerability Management a felhőbeli biztonsági helyzet felmérésére és javítására szolgáló vezérlőkre összpontosít, beleértve a sebezhetőségek vizsgálatát, a behatolástesztelést és a szervizelést, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást a felhőerőforrásokban. |
| Végpontbiztonság (ES) | Az Endpoint Security a végpontészlelés és -válasz vezérlőit ismerteti, beleértve a végpontészlelés és -válasz (EDR) használatát, valamint a felhőkörnyezetekben lévő végpontok kártevőirtó szolgáltatásának használatát. |
| Biztonsági mentés és helyreállítás (BR) | A biztonsági mentés és helyreállítás olyan vezérlőket tartalmaz, amelyek biztosítják, hogy a különböző szolgáltatási szinteken lévő adatok és konfigurációs biztonsági mentések végrehajtása, érvényesítése és védelme biztosított legyen. |
| DevOps Security (DS) | A DevOps Security a DevOps-folyamatok biztonsági tervezéséhez és műveleteihez kapcsolódó vezérlőkre terjed ki, beleértve a kritikus biztonsági ellenőrzések (például statikus alkalmazások biztonsági tesztelése, sebezhetőségek kezelése) üzembe helyezését az üzembe helyezési fázis előtt, hogy biztosítsa a biztonságot a DevOps-folyamat során; Olyan gyakori témaköröket is tartalmaz, mint a fenyegetésmodellezés és a szoftverellátás biztonsága. |
| Irányítás és stratégia (GS) | Az irányítás és a stratégia útmutatást nyújt egy koherens biztonsági stratégia és dokumentált irányítási megközelítés biztosításához a biztonsági biztosítékok irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségének megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat. |
Javaslatok a Microsoft felhőbiztonsági teljesítménytesztjében
Minden javaslat a következő információkat tartalmazza:
- Azonosító: A javaslatnak megfelelő teljesítményteszt azonosítója.
- CIS-vezérlők v8-azonosító(ka): A javaslatnak megfelelő CIS-vezérlők v8-vezérlő(k).
- CIS-vezérlők v7.1 azonosító(k):: A CIS-vezérlők 7.1-s verziójú vezérlői, amelyek megfelelnek a javaslatnak (a formázási ok miatt nem érhetők el a weben).
- PCI-DSS v3.2.1 ID(s): A javaslatnak megfelelő PCI-DSS v3.2.1 vezérlő(k).
- NIST SP 800-53 r4 ID(s): Az NIST SP 800-53 r4 (közepes és magas) vezérlő(k) megfelelnek ennek a javaslatnak.
- Biztonsági elv: A javaslat a "what" kifejezésre összpontosított, és a technológia-agnosztikus szinten magyarázta az ellenőrzést.
- Azure-útmutató: A javaslat középpontjában a "hogyan" áll, amely az Azure műszaki funkcióit és implementálási alapjait ismerteti.
- AWS-útmutató: A javaslat a "hogyan"-ra összpontosított, az AWS technikai funkcióinak és implementálási alapjainak ismertetésével.
- Megvalósítás és további környezet: Az implementáció részletei és egyéb releváns környezetek, amelyek az Azure és az AWS szolgáltatás dokumentációs cikkére hivatkoznak.
- Ügyfélbiztonsági érintettek: Az ügyfélszervezet biztonsági funkciói , akik elszámoltathatók, felelősek vagy konzultáltak az adott ellenőrzéssel. A vállalat biztonsági szervezeti struktúrájától, valamint az Azure-biztonsághoz beállított szerepköröktől és felelősségektől függően a szervezettől eltérő lehet.
Az MCSB és az iparági teljesítménytesztek (például CIS, NIST és PCI) közötti vezérlőleképezések csak azt jelzik, hogy egy adott Azure-szolgáltatás(ok) használhatók az ezekben az iparági teljesítménymutatókban meghatározott szabályozási követelmények teljes vagy részleges kezelésére. Tisztában kell lennie azzal, hogy az ilyen megvalósítás nem feltétlenül jelenti a megfelelő ellenőrzés(ek) teljes körű betartását ezekben az iparági teljesítménymutatókban.
Örömmel fogadjuk részletes visszajelzését és aktív részvételét a Microsoft felhőbiztonsági teljesítménytesztjében. Ha közvetlen bemenetet szeretne adni, küldjön nekünk e-mailt a címen benchmarkfeedback@microsoft.com.
Letöltés
A teljesítményteszt és az alapkonfiguráció offline másolatát letöltheti számolótábla formátumban.
Következő lépések
- Tekintse meg az első biztonsági vezérlőt: Hálózati biztonság
- A Microsoft felhőbiztonsági teljesítménytesztjének bemutatása
- Az Azure biztonsági alapjainak megismerése