Gambaran umum tolok ukur keamanan cloud Microsoft (v1)
Tolok ukur keamanan cloud Microsoft (MCSB) menyediakan praktik terbaik preskriptif dan rekomendasi untuk membantu meningkatkan keamanan beban kerja, data, dan layanan di Azure dan lingkungan multi-cloud Anda. Tolok ukur ini berfokus pada area kontrol yang berfokus pada cloud dengan input dari serangkaian panduan keamanan microsoft dan industri holistik yang mencakup:
- Cloud Adoption Framework: Panduan tentang keamanan, termasuk strategi, peran dan tanggung jawab, Praktik Terbaik Keamanan Azure Top 10, dan implementasi referensi.
- Azure Well-Architected Framework: Panduan tentang mengamankan beban kerja Anda di Azure.
- Lokakarya Chief Information Security Officer (CISO):Panduan program dan strategi referensi untuk mempercepat modernisasi keamanan menggunakan prinsip Zero Trust.
- Standar dan kerangka kerja praktik terbaik keamanan penyedia industri dan cloud lainnya: Contohnya termasuk Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS), National Institute of Standards and Technology (NIST), dan Payment Card Industry Data Security Standard (PCI-DSS).
Apa yang baru dalam tolok ukur keamanan cloud Microsoft v1
Catatan
Tolok ukur keamanan cloud Microsoft adalah penerus Azure Security Benchmark (ASB), yang berganti nama pada Oktober 2022.
Dukungan Google Cloud Platform di MCSB sekarang tersedia sebagai fitur pratinjau baik dalam panduan tolok ukur MCSB maupun Microsoft Defender untuk Cloud.
Inilah yang baru dalam tolok ukur keamanan cloud Microsoft v1:
Kerangka kerja keamanan multi-cloud yang komprehensif: Organisasi sering kali harus membangun standar keamanan internal untuk merekonsiliasi kontrol keamanan di beberapa platform cloud untuk memenuhi persyaratan keamanan dan kepatuhan pada masing-masing. Ini sering mengharuskan tim keamanan untuk mengulangi implementasi, pemantauan, dan penilaian yang sama di berbagai lingkungan cloud (seringkali untuk standar kepatuhan yang berbeda). Ini menciptakan overhead, biaya, dan upaya yang tidak perlu. Untuk mengatasi masalah ini, kami meningkatkan ASB ke MCSB untuk membantu Anda bekerja dengan cepat dengan cloud yang berbeda dengan:
- Menyediakan satu kerangka kerja kontrol untuk memenuhi kontrol keamanan di seluruh cloud dengan mudah
- Memberikan pengalaman pengguna yang konsisten untuk memantau dan memberlakukan tolok ukur keamanan multi-cloud di Defender for Cloud
- Tetap selaras dengan Standar Industri (misalnya, CIS, NIST, PCI)
Pemantauan kontrol otomatis untuk AWS di Microsoft Defender untuk Cloud: Anda dapat menggunakan Microsoft Defender untuk Dasbor Kepatuhan Peraturan Cloud untuk memantau lingkungan AWS Anda terhadap MCSB sama seperti cara Anda memantau lingkungan Azure Anda. Kami mengembangkan sekitar 180 AWS memeriksa panduan keamanan AWS baru di MCSB, memungkinkan Anda memantau lingkungan dan sumber daya AWS anda di Microsoft Defender for Cloud.
Penyegaran prinsip panduan dan keamanan Azure yang ada: Kami juga me-refresh beberapa panduan keamanan dan prinsip keamanan Azure yang ada selama pembaruan ini sehingga Anda dapat tetap terkini dengan fitur dan kemampuan Azure terbaru.
Kontrol
| Domain Kontrol | Deskripsi |
|---|---|
| Keamanan jaringan (NS) | Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah, dan mengurangi serangan eksternal, dan mengamankan DNS. |
| Manajemen Identitas (IM) | Manajemen Identitas mencakup kontrol untuk menetapkan identitas yang aman dan kontrol akses menggunakan sistem manajemen identitas dan akses, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun. |
| Akses Istimewa (PA) | Akses Istimewa mencakup kontrol untuk melindungi akses istimewa ke penyewa dan sumber daya Anda, termasuk berbagai kontrol untuk melindungi model administratif, akun administratif, dan stasiun kerja akses istimewa Anda dari risiko yang disengaja dan tidak disengaja. |
| Perlindungan Data (DP) | Perlindungan Data mencakup kontrol perlindungan data saat tidak aktif, saat transit, dan melalui mekanisme akses resmi, termasuk menemukan, mengklasifikasikan, melindungi, dan memantau aset data sensitif menggunakan kontrol akses, enkripsi, manajemen kunci, dan manajemen sertifikat. |
| Manajemen Aset (AM) | Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Anda, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventarisasi aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventarisasi, lacak, dan benar). |
| Pengelogan dan Deteksi Ancaman (LT) | Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman di cloud, dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan cloud, termasuk memungkinkan proses deteksi, investigasi, dan remediasi dengan kontrol untuk menghasilkan pemberitahuan berkualitas tinggi dengan deteksi ancaman asli di layanan cloud; ini juga termasuk mengumpulkan log dengan layanan pemantauan cloud, memusatkan analisis keamanan dengan SIEM, sinkronisasi waktu, dan retensi log. |
| Respons Insiden (IR) | Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden, termasuk menggunakan layanan Azure (seperti Microsoft Defender untuk Cloud dan Sentinel) dan/atau layanan cloud lainnya untuk mengotomatiskan proses respons insiden. |
| Manajemen Postur dan Kerentanan (PV) | Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan cloud, termasuk pemindaian kerentanan, pengujian dan remediasi penetrasi, serta pelacakan, pelaporan, dan koreksi konfigurasi keamanan dalam sumber daya cloud. |
| Keamanan Titik Akhir (ES) | Keamanan Titik Akhir mencakup kontrol dalam deteksi dan respons titik akhir, termasuk penggunaan deteksi dan respons titik akhir (EDR) dan layanan anti-malware untuk titik akhir di lingkungan cloud. |
| Pencadangan dan Pemulihan (BR) | Pencadangan dan Pemulihan mencakup kontrol untuk memastikan bahwa pencadangan data dan konfigurasi di berbagai tingkat layanan telah dilakukan, divalidasi, dan dilindungi. |
| Keamanan DevOps (DS) | Keamanan DevOps mencakup kontrol yang terkait dengan rekayasa keamanan dan operasi dalam proses DevOps, termasuk penerapan pemeriksaan keamanan penting (seperti pengujian keamanan aplikasi statis, manajemen kerentanan) sebelum fase penerapan untuk memastikan keamanan selama proses DevOps; itu juga mencakup topik umum seperti pemodelan ancaman dan keamanan pasokan perangkat lunak. |
| Tata Kelola dan Strategi (GS) | Tata Kelola dan Strategi menyediakan panduan untuk memastikan strategi keamanan yang koheren dan pendekatan tata kelola yang terdokumentasi untuk memandu dan mempertahankan jaminan keamanan, termasuk menetapkan peran dan tanggung jawab untuk berbagai fungsi keamanan cloud, strategi teknis terpadu, serta mendukung kebijakan dan standar. |
Rekomendasi dalam tolok ukur keamanan cloud Microsoft
Setiap rekomendasi mencakup informasi berikut:
- ID: ID Tolok Ukur yang sesuai dengan rekomendasi.
- Kontrol CIS v8 ID: Kontrol CIS v8 yang sesuai dengan rekomendasi.
- Kontrol CIS v7.1 ID: Kontrol CIS v7.1 yang sesuai dengan rekomendasi (tidak tersedia di web karena alasan pemformatan).
- PCI-DSS v3.2.1 ID: Kontrol PCI-DSS v3.2.1 yang sesuai dengan rekomendasi.
- NIST SP 800-53 r4 ID: Kontrol NIST SP 800-53 r4 (Sedang dan Tinggi) sesuai dengan rekomendasi ini.
- Prinsip Keamanan: Rekomendasi berfokus pada "apa", menjelaskan kontrol pada tingkat agnostik teknologi.
- Panduan Azure: Rekomendasi berfokus pada "bagaimana", menjelaskan fitur teknis Azure dan dasar-dasar implementasi.
- Panduan AWS: Rekomendasi berfokus pada "bagaimana", menjelaskan fitur teknis AWS dan dasar-dasar implementasi.
- Implementasi dan konteks tambahan: Detail implementasi dan konteks relevan lainnya yang ditautkan ke artikel dokumentasi penawaran layanan Azure dan AWS.
- Pemangku Kepentingan Keamanan Pelanggan: Fungsi keamanan di organisasi pelanggan yang mungkin akuntabel, bertanggung jawab, atau berkonsultasi untuk kontrol masing-masing. Ini mungkin berbeda dari organisasi ke organisasi tergantung pada struktur organisasi keamanan perusahaan Anda dan peran serta tanggung jawab yang Anda siapkan terkait dengan keamanan Azure.
Pemetaan kontrol antara MCSB dan tolok ukur industri (seperti CIS, NIST, dan PCI) hanya menunjukkan bahwa fitur Azure tertentu dapat digunakan untuk sepenuhnya atau sebagian mengatasi persyaratan kontrol yang ditentukan dalam tolok ukur industri ini. Anda harus menyadari bahwa implementasi tersebut tidak selalu berarti kepatuhan penuh dari kontrol yang sesuai dalam tolok ukur industri ini.
Kami menyambut umpan balik terperinci dan partisipasi aktif Anda dalam upaya tolok ukur keamanan cloud Microsoft. Jika Anda ingin memberikan masukan langsung, silakan kirim email kepada kami di benchmarkfeedback@microsoft.com.
Unduh
Anda dapat mengunduh Tolok Ukur dan salinan offline garis besar dalam format spreadsheet.
Langkah berikutnya
- Lihat kontrol keamanan pertama: Keamanan jaringan
- Membaca pengenalan tolok ukur keamanan cloud Microsoft
- Pelajari Dasar-Dasar Keamanan Azure