Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Nota
Tolok ukur keamanan cloud Microsoft v2 (pratinjau) sekarang tersedia. Kami mendorong Anda untuk menjelajahi versi ini dan memberikan umpan balik untuk membantu kami meningkatkannya lebih lanjut. Untuk pertanyaan atau komentar apa pun, kirim email kepada kami di benchmarkfeedback@microsoft.com.
Tolok ukur keamanan cloud Microsoft memberikan praktik dan rekomendasi terbaik preskriptif untuk membantu meningkatkan keamanan beban kerja, data, dan layanan di Azure dan lingkungan multicloud Anda. Tolok ukur ini berfokus pada area keamanan yang berfokus pada cloud dengan input dari serangkaian panduan keamanan industri dan Microsoft holistik yang mencakup:
- Cloud Adoption Framework: Panduan tentang keamanan, termasuk strategi, peran dan tanggung jawab, Praktik Terbaik Keamanan Azure Top 10, dan implementasi referensi.
- Azure Well-Architected Framework: Panduan tentang mengamankan beban kerja Anda di Azure.
- Microsoft Secure Future Initiative (SFI): SFI adalah inisiatif internal Microsoft multiyear yang diluncurkan untuk menyematkan keamanan ke dalam setiap tahap desain, pengembangan, dan operasi produk. SFI mencakup praktik terbaik keamanan internal Microsoft yang juga ingin kami rekomendasikan kepada pelanggan kami.
- Lokakarya Chief Information Security Officer (CISO):Panduan program dan strategi referensi untuk mempercepat modernisasi keamanan menggunakan prinsip Zero Trust.
- Standar dan kerangka kerja praktik terbaik keamanan penyedia industri dan layanan cloud lainnya: Contohnya termasuk Amazon Web Services (AWS) Well-Architected Framework, CIS Controls, National Institute of Standards and Technology (NIST), dan Payment Card Industry Data Security Standard (PCI-DSS).
Layanan dan fitur baru dirilis setiap hari di platform penyedia layanan Azure dan cloud. Pengembang dengan cepat menerbitkan aplikasi cloud baru yang dibangun di atas layanan ini. Dan pelaku jahat terus mencari cara baru untuk mengeksploitasi sumber daya yang salah dikonfigurasi. Cloud bergerak cepat. Pengembang bergerak cepat. Pelaku jahat juga bergerak cepat. Bagaimana Anda mengikuti dan memastikan bahwa penyebaran cloud Anda aman? Bagaimana praktik keamanan untuk sistem cloud berbeda dari sistem lokal dan berbeda antara penyedia layanan cloud? Bagaimana Anda memantau beban kerja untuk konsistensi di beberapa platform cloud?
Microsoft menemukan bahwa menggunakan tolok ukur keamanan dapat membantu Anda mengamankan penyebaran cloud dengan cepat. Kerangka kerja praktik terbaik keamanan yang komprehensif dari penyedia layanan cloud dapat memberi Anda titik awal untuk memilih pengaturan konfigurasi keamanan tertentu di lingkungan cloud Anda, di beberapa penyedia layanan. Ini juga memungkinkan Anda untuk memantau konfigurasi ini menggunakan satu panel kaca.
Tolok ukur keamanan cloud Microsoft v2 (pratinjau)
Tolok ukur keamanan cloud Microsoft v2 (pratinjau) mewakili evolusi terbaru MCSB dengan panduan yang berfokus pada Azure yang ditingkatkan, domain keamanan yang diperluas, dan detail implementasi teknis yang komprehensif. Versi ini memperkenalkan domain keamanan Keamanan Kecerdasan Buatan baru dengan tujuh rekomendasi, lebih dari 420 definisi bawaan Azure Policy untuk pemantauan kepatuhan otomatis, dan panduan berbasis risiko dan ancaman dengan contoh implementasi terperinci. Untuk informasi terperinci tentang struktur kontrol keamanan, deskripsi domain, dan panduan implementasi, lihat Gambaran Umum tolok ukur keamanan cloud Microsoft v2 (pratinjau).
Menerapkan tolok ukur keamanan cloud Microsoft
Kontrol keamanan di MCSB umumnya berlaku di seluruh beban kerja cloud Anda. Setiap kontrol keamanan mengidentifikasi pemangku kepentingan yang biasanya terlibat dalam perencanaan, persetujuan, atau implementasi. Informasi ini membantu organisasi mengoordinasikan upaya keamanan mereka secara efektif.
- Rencanakan implementasi MCSB Anda dengan meninjau dokumentasi kontrol keamanan untuk merencanakan kerangka kerja Anda dan caranya memetakan panduan seperti Kontrol Keamanan Internet (CIS), Institut Standar dan Teknologi Nasional (NIST), dan kerangka kerja Standar Keamanan Data Industri Kartu Pembayaran (PCI-DSS).
- Pantau kepatuhan Anda terhadap status MCSB (dan set kontrol lainnya) dengan menggunakan Microsoft Defender for Cloud – Dasbor Kepatuhan Peraturan untuk lingkungan multicloud Anda.
- Buat pagar pembatas untuk mengotomatiskan konfigurasi aman dan menerapkan kepatuhan dengan MCSB (dan persyaratan lain di organisasi Anda) dengan menggunakan fitur seperti Azure Blueprints, Azure Policy, atau teknologi yang setara dari platform cloud lainnya.
Kasus penggunaan umum
Gunakan tolok ukur keamanan cloud Microsoft untuk mengatasi tantangan umum bagi pelanggan atau mitra layanan yang:
- Baru menggunakan Azure (dan platform cloud utama lainnya, seperti AWS) dan mencari praktik terbaik keamanan untuk memastikan penyebaran layanan cloud dan beban kerja aplikasi Anda sendiri yang aman.
- Ingin meningkatkan postur keamanan penyebaran cloud yang ada untuk memprioritaskan risiko dan mitigasi teratas.
- Menggunakan lingkungan multicloud (seperti Azure dan AWS) dan menghadapi tantangan dalam menyelaraskan pemantauan dan evaluasi kontrol keamanan menggunakan satu panel kaca.
- Mengevaluasi fitur dan kemampuan keamanan Azure (dan platform cloud utama lainnya, seperti AWS) sebelum onboarding atau menyetujui layanan ke katalog layanan cloud.
- Harus memenuhi persyaratan kepatuhan di industri yang sangat diatur, seperti pemerintah, keuangan, dan layanan kesehatan. Pelanggan ini perlu memastikan konfigurasi layanan Azure dan cloud lainnya untuk memenuhi spesifikasi keamanan yang ditentukan dalam kerangka kerja seperti CIS, NIST, atau PCI. MCSB menyediakan pendekatan yang efisien dengan pengendalian yang telah dipetakan sebelumnya berdasarkan tolok ukur industri ini.
Terminologi
Tolok ukur keamanan cloud Microsoft menggunakan beberapa istilah utama untuk mengatur dan menjelaskan panduan keamanan. Penting untuk memahami bagaimana MCSB menggunakan istilah-istilah ini.
| Istilah | Deskripsi | Contoh |
|---|---|---|
| Domain Keamanan | Pengelompokan kontrol keamanan terkait tingkat tinggi yang membahas area tertentu yang menjadi perhatian keamanan. | Keamanan Kecerdasan Buatan adalah salah satu dari 12 domain keamanan di MCSB v2. Ini mengelompokkan semua kontrol keamanan yang terkait dengan mengamankan beban kerja dan layanan AI. |
| Kontrol Keamanan | Persyaratan atau rekomendasi keamanan tertentu dalam domain yang perlu ditangani. Kontrol keamanan adalah deskripsi agnostik teknologi tentang apa yang harus Anda capai. | Dalam domain Perlindungan Data, "DP-1: Menemukan, mengklasifikasikan, dan memberi label data sensitif" adalah kontrol keamanan yang menjelaskan kebutuhan untuk mengidentifikasi dan mengategorikan informasi sensitif. |
| Subkontrol Keamanan | Rekomendasi terperinci atau panduan implementasi yang mendukung pengendalian keamanan. Subkontrol keamanan menyediakan langkah-langkah teknis atau prosedural tertentu. | Di bawah kontrol keamanan DP-1, subkontrol keamanan DP-1.1 menyediakan panduan khusus untuk menerapkan klasifikasi data menggunakan Microsoft Purview atau alat serupa. |
| Garis Dasar | Serangkaian implementasi kontrol keamanan yang disesuaikan untuk skenario, kerangka kerja kepatuhan, atau industri tertentu. | Meskipun garis besar untuk MCSB v2 (pratinjau) belum tersedia, Anda dapat menemukan informasi tentang garis besar MCSB v1 di Gambaran Umum tolok ukur keamanan cloud Microsoft v1. |
Kami menyambut umpan balik Anda tentang tolok ukur keamanan cloud Microsoft! Kami mendorong Anda untuk memberikan komentar di area umpan balik di bawah ini. Jika Anda lebih suka membagikan input Anda secara lebih privat dengan tim keamanan cloud Microsoft, kirim email kepada kami di benchmarkfeedback@microsoft.com.