Az Azure biztonsági vezérlőinek áttekintése (v2)
Az Azure Security Benchmark (ASB) előíró ajánlott eljárásokkal és javaslatokkal segít az Azure-beli számítási feladatok, adatok és szolgáltatások biztonságának javításában.
Ez a teljesítményteszt egy holisztikus biztonsági útmutató része, amely a következőket is tartalmazza:
- felhőadaptálási keretrendszer – Útmutatás a biztonsághoz, beleértve a stratégiát, a szerepköröket és a felelősségeket, az Azure 10 legfontosabb biztonsági ajánlott eljárásait és a referencia-megvalósítást.
- Azure Well-Architected Framework – Útmutató a számítási feladatok azure-beli védelméhez .
- A Microsoft biztonsági ajánlott eljárásai – javaslatok az Azure-ral kapcsolatos példákkal.
Az Azure Security Benchmark a felhőközpontú szabályozási területekre összpontosít. Ezek a vezérlők összhangban vannak a jól ismert biztonsági viszonyítási alapokkal, például a Center for Internet Security (CIS) Controls 7.1-es verziójával és a National Institute of Standards and Technology (NIST) SP 800-53-as verziójával. Az Azure Security Benchmark a következő vezérlőket tartalmazza:
| ASB-vezérlőtartományok | Description |
|---|---|
| Hálózati biztonság (NS) | A Network Security az Azure-hálózatok védelmét és védelmét szolgáló vezérlőket tartalmazza, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létrehozását, a külső támadások megelőzését és mérséklését, valamint a DNS védelmét. |
| Identitáskezelés (IM) | Az Identity Management az Azure Active Directory használatával biztonságos identitás- és hozzáférés-vezérlők létrehozására szolgáló vezérlőket tartalmazza, beleértve az egyszeri bejelentkezést, az erős hitelesítéseket, a felügyelt identitásokat (és szolgáltatásneveket) az alkalmazásokhoz, a feltételes hozzáférést és a fiókanomáliák monitorozását. |
| Emelt szintű hozzáférés (PA) | A Privileged Access az Azure-bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét szolgáló vezérlőket tartalmazza, beleértve a felügyeleti modell, a felügyeleti fiókok és a kiemelt hozzáférési munkaállomások szándékos és véletlen kockázatokkal szembeni védelmét biztosító vezérlőket. |
| Adatvédelem (DP) | Az Adatvédelem magában foglalja az inaktív, az átvitel közbeni és az engedélyezett hozzáférési mechanizmusokon keresztüli adatvédelmet, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással és naplózással az Azure-ban. |
| Eszközkezelés (AM) | Az Eszközkezelés az Azure-erőforrások biztonsági láthatóságának és szabályozásának biztosítására szolgáló vezérlőket tartalmazza, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és helyes). |
| Naplózás és fenyegetésészlelés (LT) | A naplózás és a fenyegetésészlelés az Azure-beli fenyegetések észlelésére, valamint az Azure-szolgáltatások naplózási naplóinak engedélyezésére, gyűjtésére és tárolására szolgáló vezérlőkre terjed ki, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel az Azure-szolgáltatásokban; Emellett naplókat gyűjt az Azure Monitorral, központosítja a biztonsági elemzést az Azure Sentinellel, az időszinkronizálást és a naplómegőrzést. |
| Incidenskezelés (IR) | Az Incidenskezelés az incidensmegoldás életciklusának vezérlőire terjed ki – előkészítés, észlelés és elemzés, elszigetelés és incidens utáni tevékenységek, beleértve az Azure-szolgáltatások, például a Azure Security Center és a Sentinel használatát az incidensmegoldási folyamat automatizálásához. |
| Testtartás- és biztonságirés-kezelés (PV) | A Testure and Vulnerability Management az Azure biztonsági helyzetének felmérésére és javítására szolgáló vezérlőkre összpontosít, beleértve a sebezhetőségek vizsgálatát, a behatolástesztelést és a szervizelést, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást az Azure-erőforrásokban. |
| Végpontbiztonság (ES) | Az Endpoint Security a végpontészlelés és -válasz vezérlőire vonatkozik, beleértve a végpontészlelés és -válasz (EDR) használatát, valamint az Azure-környezetekben található végpontok kártevőirtó szolgáltatásának használatát. |
| Biztonsági mentés és helyreállítás (BR) | A biztonsági mentés és helyreállítás olyan vezérlőket tartalmaz, amelyek biztosítják, hogy a különböző szolgáltatási szinteken lévő adatok és konfigurációs biztonsági mentések végrehajtása, érvényesítése és védelme biztosított legyen. |
| Irányítás és stratégia (GS) | Az irányítás és a stratégia útmutatást nyújt egy koherens biztonsági stratégia és dokumentált irányítási megközelítés biztosításához a biztonsági biztosítékok irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségének megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat. |
Azure Security Benchmark-javaslatok
Minden javaslat a következő információkat tartalmazza:
- Azure ID: A javaslatnak megfelelő Azure Security Benchmark-azonosító.
- CIS-vezérlők v7.1 AZONOSÍTÓ(k):: A CIS-vezérlők v7.1 vezérlői, amelyek megfelelnek ennek a javaslatnak.
- NIST SP 800-53 r4 ID(k): A javaslatnak megfelelő NIST SP 800-53 r4 (mérsékelt) vezérlő(k).
- Részletek: A javaslat indoklása és a megvalósítási útmutatóra mutató hivatkozások. Ha a javaslatot Azure Security Center támogatja, akkor az információk is megjelennek.
- Felelősség: Az ügyfél, a szolgáltató vagy mindkettő felelős-e a javaslat megvalósításáért. A biztonsági felelősségek a nyilvános felhőben vannak megosztva. Egyes biztonsági vezérlők csak a felhőszolgáltató számára érhetők el, ezért ezekért a szolgáltatók a felelősek. Ezek általános megfigyelések – egyes szolgáltatások esetében a felelősség eltér az Azure Security Benchmarkban felsoroltaktól. Ezeket a különbségeket az egyes szolgáltatásokra vonatkozó alapkonfiguráció-javaslatok ismertetik.
- Ügyfélbiztonsági érintettek: Az ügyfélszervezet biztonsági funkciói , akik elszámoltathatók, felelősek vagy konzultáltak az adott ellenőrzéssel. A vállalat biztonsági szervezeti struktúrájától, valamint az Azure-biztonsághoz beállított szerepköröktől és felelősségektől függően a szervezettől eltérő lehet.
Megjegyzés
Az ASB és az iparági teljesítménytesztek (például az NIST és a CIS) közötti vezérlőleképezések csak azt jelzik, hogy egy adott Azure-szolgáltatás használható az NIST-ben vagy a CIS-ben meghatározott szabályozási követelmények teljes vagy részleges kezelésére. Tisztában kell lennie azzal, hogy az ilyen implementáció nem feltétlenül jelenti a CIS-ben vagy az NIST-ben a megfelelő ellenőrzés teljes körű megfelelőségét.
Örömmel fogadjuk részletes visszajelzését és aktív részvételét az Azure Security Benchmarkban. Ha közvetlen bemenetet szeretne adni az Azure Security Benchmark csapatának, töltse ki az űrlapot a következő címen: https://aka.ms/AzSecBenchmark
Letöltés
Az Azure Security Benchmarkot táblázatos formátumban töltheti le.
Következő lépések
- Tekintse meg az első biztonsági vezérlőt: Hálózati biztonság
- Az Azure Security Benchmark bemutatása
- Az Azure biztonsági alapjainak megismerése