Az Azure biztonsági vezérlőinek áttekintése (v2)

Az Azure Security Benchmark (ASB) előíró ajánlott eljárásokkal és javaslatokkal segít az Azure-beli számítási feladatok, adatok és szolgáltatások biztonságának javításában.

Ez a teljesítményteszt egy holisztikus biztonsági útmutató részét képezi, amely a következőket is tartalmazza:

Az Azure Security Benchmark a felhőközpontú vezérlési területekre összpontosít. Ezek a vezérlők összhangban vannak a jól ismert biztonsági teljesítménytesztekkel, például a Center for Internet Security (CIS) Controls 7.1 és National Institute of Standards and Technology (NIST) SP 800-53 által leírtakkal. Az Azure biztonsági teljesítménytesztje a következő vezérlőket tartalmazza:

ASB-vezérlőtartományok Description
Hálózati biztonság (NS) A Hálózati biztonság az Azure-hálózatok védelmét és védelmét szolgáló vezérlőket foglalja magában, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létesítését, a külső támadások megelőzését és enyhítését, valamint a DNS védelmét.
Identitáskezelés (IM) Az Identity Management az Azure Active Directoryval biztonságos identitás- és hozzáférés-vezérlést biztosító vezérlőket foglal magában, beleértve az egyszeri bejelentkezést, az erős hitelesítést, a felügyelt identitásokat (és szolgáltatási alapelveket) az alkalmazásokhoz, a feltételes hozzáférést és a fiókanomáliák monitorozását.
Emelt szintű hozzáférés (PA) A Privileged Access az Azure-bérlőhöz és -erőforrásokhoz való emelt szintű hozzáférés védelmét biztosító vezérlőket tartalmazza, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférésű munkaállomások szándékos és véletlen kockázattal szembeni védelmét biztosító vezérlőket.
Adatvédelem (DP) Az Adatvédelem magában foglalja az inaktív, átvitel alatt álló és engedélyezett hozzáférési mechanizmusokon keresztül történő adatvédelmet, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással és naplózással az Azure-ban.
Eszközkezelés (AM) Az Eszközkezelés az Azure-erőforrások biztonsági láthatóságának és szabályozásának biztosítására szolgáló vezérlőket tartalmazza, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltár, nyomon követés és helyesség).
Naplózás és fenyegetésészlelés (LT) A naplózás és a fenyegetésészlelés az Azure-beli fenyegetések észlelésére, valamint az Azure-szolgáltatások auditnaplóinak engedélyezésére, gyűjtésére és tárolására szolgáló vezérlőkre terjed ki, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését olyan vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel az Azure-szolgáltatásokban; Emellett naplókat gyűjt az Azure Monitorral, központosítja a biztonsági elemzést az Azure Sentinellel, az időszinkronizálást és a naplómegőrzést.
Incidenskezelés (IR) Az incidensmegoldás magában foglalja az incidensmegoldási életciklus vezérlőit – az előkészítést, észlelést és elemzést, az elszigetelést és az incidens utáni tevékenységeket, beleértve az Olyan Azure-szolgáltatások használatát, mint a Azure Security Center és a Sentinel az incidensmegoldási folyamat automatizálására.
Testtartás- és biztonságirés-kezelés (PV) A Testure and Vulnerability Management az Azure biztonsági helyzetének felmérésére és javítására összpontosít, beleértve a sebezhetőségek vizsgálatát, a behatolási tesztelést és a szervizelést, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást az Azure-erőforrásokban.
Végpontbiztonság (ES) Az Endpoint Security magában foglalja a végpontészlelés és -válasz vezérlőit, beleértve a végpontészlelés és -válasz (EDR) használatát és a kártevőirtó szolgáltatást az Azure-környezetek végpontjaihoz.
Biztonsági mentés és helyreállítás (BR) A biztonsági mentés és helyreállítás olyan vezérlőket tartalmaz, amelyek biztosítják, hogy az adatok és konfigurációk biztonsági mentése a különböző szolgáltatási szinteken történjen, ellenőrizve és védve legyen.
Irányítás és stratégia (GS) A szabályozás és a stratégia útmutatást nyújt a koherens biztonsági stratégia és dokumentált szabályozási megközelítés biztosításához a biztonság garantálásának irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes műszaki stratégiát, valamint a támogató szabályzatokat és szabványokat.

Az Azure biztonsági teljesítménytesztre vonatkozó javaslatok

Minden javaslat a következő információkat tartalmazza:

  • Azure ID: A javaslatnak megfelelő Azure-biztonsági teljesítményteszt azonosítója.
  • CIS-vezérlők 7.1-ös verziójú azonosító(ka): A javaslatnak megfelelő CIS-vezérlők v7.1-vezérlő(k).
  • NIST SP 800-53 r4 AZONOSÍTÓ(k):A javaslatnak megfelelő NIST SP 800-53 r4 (mérsékelt) vezérlő(k).
  • Részletek: A javaslat indoklása és a megvalósításra vonatkozó útmutatásra mutató hivatkozások. Ha a javaslatot Azure Security Center támogatja, akkor az adatok is megjelennek a listában.
  • Felelősség: Az, hogy az ügyfél, a szolgáltató vagy mindkettő felelős-e a javaslat megvalósításáért. A biztonsági feladatok a nyilvános felhőben vannak megosztva. Egyes biztonsági vezérlők csak a felhőszolgáltató számára érhetők el, ezért ezekért a szolgáltatók a felelősek. Ezek általános megfigyelések – egyes szolgáltatások esetében a felelősség eltér az Azure biztonsági teljesítménytesztjében felsoroltaktól. Ezeket a különbségeket az egyes szolgáltatásokra vonatkozó alapkonfiguráció-javaslatok ismertetik.
  • Ügyfélbiztonsági érdekelt felek: Az ügyfélszervezet azon biztonsági funkciói , akik elszámoltathatók, felelősek vagy konzultáltak az adott ellenőrzéssel kapcsolatban. A vállalat biztonsági szervezeti struktúrájától, valamint az Azure-biztonsághoz beállított szerepköröktől és felelősségektől függően a szervezet és a szervezet között eltérő lehet.

Megjegyzés

Az ASB és az iparági teljesítménytesztek (például az NIST és a CIS) közötti vezérlőleképezések csak azt jelzik, hogy egy adott Azure-funkció használható az NIST-ben vagy a CIS-ben meghatározott ellenőrzési követelmények teljes vagy részleges kielégítésére. Tisztában kell lennie azzal, hogy az ilyen implementáció nem feltétlenül jelenti a MEGFELELŐ vezérlő teljes megfelelőségét a CIS-ben vagy a NIST-ben.

Örömmel vesszük a részletes visszajelzését és az Azure Security Benchmarkban való aktív részvételét. Ha közvetlen bemenetet szeretne adni az Azure Security Benchmark csapatának, töltse ki az űrlapot a következő címen: https://aka.ms/AzSecBenchmark

Letöltés

Az Azure Security Benchmark táblázatos formátumban tölthető le.

Következő lépések