Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Untuk pengenalan proyek tolok ukur keamanan cloud Microsoft, termasuk konsep utama, panduan implementasi, dan terminologi, lihat pengenalan tolok ukur keamanan cloud Microsoft.
Tolok ukur keamanan cloud Microsoft v2 (pratinjau) menyediakan panduan yang berfokus pada Azure yang ditingkatkan dengan domain keamanan yang diperluas dan detail implementasi teknis yang komprehensif. Versi ini dibangun berdasarkan dasar tolok ukur keamanan cloud Microsoft dengan kontrol keamanan yang disempurnakan, panduan keamanan AI, dan pemetaan Azure Policy yang diperluas.
Fitur utama
Nota
Tolok ukur keamanan cloud Microsoft v2 saat ini dalam pratinjau. Versi ini menggantikan tolok ukur keamanan cloud Microsoft v1. Kami menyambut umpan balik Anda untuk membantu meningkatkannya. Untuk pertanyaan atau komentar apa pun, kirim email kepada kami di benchmarkfeedback@microsoft.com.
Tolok ukur keamanan cloud Microsoft v2 (pratinjau) meliputi:
Keamanan Kecerdasan Buatan - Domain keamanan baru dengan tujuh rekomendasi yang mencakup keamanan platform AI, keamanan aplikasi AI, dan pemantauan keamanan AI untuk mengatasi ancaman dan risiko dalam penyebaran kecerdasan buatan.
Pemetaan Azure Policy komprehensif - Lebih dari 420 definisi bawaan Azure Policy untuk membantu Anda mengukur dan memantau postur keamanan Anda di Azure dengan menggunakan Azure Policy dan Defender for Cloud.
Panduan berbasis risiko dan ancaman - Panduan komprehensif dengan contoh implementasi teknis terperinci dan referensi terperinci untuk membantu Anda memahami risiko dan ancaman keamanan yang dimitigasi setiap kontrol keamanan, dan cara menerapkan kontrol keamanan di lingkungan Azure Anda.
Domain keamanan
| Domain keamanan | Deskripsi |
|---|---|
| Keamanan jaringan (NS) | Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah dan mengurangi serangan eksternal, dan mengamankan DNS. |
| Manajemen Identitas (IM) | Manajemen Identitas mencakup kontrol untuk membangun identitas yang aman dan kontrol akses dengan menggunakan sistem manajemen identitas dan akses, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun. |
| Akses Istimewa (PA) | Akses Istimewa mencakup kontrol untuk melindungi akses istimewa ke penyewa dan sumber daya Anda, termasuk berbagai kontrol untuk melindungi model administratif, akun administratif, dan stasiun kerja akses istimewa Anda dari risiko yang disengaja dan tidak disengaja. |
| Perlindungan Data (DP) | Perlindungan Data mencakup kontrol perlindungan data saat tidak aktif, saat transit, dan melalui mekanisme akses resmi, termasuk menemukan, mengklasifikasikan, melindungi, dan memantau aset data sensitif dengan menggunakan kontrol akses, enkripsi, manajemen kunci, dan manajemen sertifikat. |
| Manajemen Aset (AM) | Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Anda, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventarisasi aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventarisasi, lacak, dan benar). |
| Pencatatan dan Deteksi Ancaman (LT) | Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman di cloud, dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan cloud, termasuk mengaktifkan proses deteksi, investigasi, dan remediasi dengan kontrol untuk menghasilkan pemberitahuan berkualitas tinggi dengan deteksi ancaman asli di layanan cloud. Ini juga termasuk mengumpulkan log dengan layanan pemantauan cloud, memusatkan analisis keamanan dengan SIEM, sinkronisasi waktu, dan retensi log. |
| Tanggapan Insiden (IR) | Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden, termasuk menggunakan layanan Azure (seperti Pertahanan Microsoft untuk Cloud dan Sentinel) dan/atau layanan cloud lainnya untuk mengotomatiskan proses respons insiden. |
| Manajemen Postur dan Kerentanan (PV) | Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan cloud, termasuk pemindaian kerentanan, pengujian dan remediasi penetrasi, serta pelacakan, pelaporan, dan koreksi konfigurasi keamanan dalam sumber daya cloud. |
| Keamanan Titik Akhir (ES) | Keamanan Titik Akhir mencakup kontrol dalam deteksi dan respons titik akhir, termasuk penggunaan deteksi dan respons titik akhir (EDR) dan layanan anti-malware untuk titik akhir di lingkungan cloud. |
| Pencadangan dan Pemulihan (BR) | Pencadangan dan Pemulihan mencakup kontrol untuk memastikan bahwa pencadangan data dan konfigurasi di berbagai tingkat layanan dilakukan, divalidasi, dan dilindungi. |
| Keamanan DevOps (DS) | DevOps Security mencakup kontrol yang terkait dengan rekayasa dan operasi keamanan dalam proses DevOps, termasuk penyebaran pemeriksaan keamanan penting (seperti pengujian keamanan aplikasi statis, manajemen kerentanan) sebelum fase penyebaran untuk memastikan keamanan sepanjang proses DevOps. Ini juga termasuk topik umum seperti pemodelan ancaman dan keamanan pasokan perangkat lunak. |
| Keamanan Kecerdasan Buatan (AI) | Keamanan Kecerdasan Buatan mencakup kontrol untuk memastikan pengembangan, penyebaran, dan pengoperasian model dan layanan AI yang aman, termasuk keamanan platform AI, keamanan aplikasi AI, dan pemantauan keamanan AI. |
Struktur kontrol keamanan dalam Microsoft Cloud Security Benchmark v2 (pratinjau)
Setiap kontrol keamanan dalam tolok ukur mencakup bagian berikut:
- ID: Pengidentifikasi unik untuk setiap kontrol keamanan, yang terdiri dari singkatan dan angka domain (misalnya, AI-1 untuk kontrol Keamanan Kecerdasan Buatan 1, DP-1 untuk kontrol Perlindungan Data 1, NS-2 untuk kontrol Keamanan Jaringan 2). ID ini digunakan di seluruh dokumentasi untuk mereferensikan kontrol keamanan tertentu.
- Azure Policy: Tautan ke definisi kebijakan bawaan Azure yang dapat Anda gunakan untuk mengukur dan menegakkan kontrol keamanan. Perhatikan bahwa tidak setiap kontrol keamanan menyertakan tautan Azure Policy, karena beberapa kontrol keamanan memberikan panduan untuk skenario atau konfigurasi yang tidak dapat diberlakukan otomatisasi Azure Policy.
- Prinsip keamanan: Deskripsi tingkat tinggi tentang kontrol keamanan pada tingkat teknologi-agnostik, menjelaskan "apa" dan "mengapa" kontrol keamanan.
- Risiko untuk dimitigasi: Risiko dan ancaman keamanan tertentu yang bertujuan untuk ditangani oleh kontrol keamanan.
- MITRE ATT&CK: Taktik, teknik, dan prosedur (TTP) MITRE ATT&CK yang relevan dengan risiko keamanan. Pelajari lebih lanjut di https://attack.mitre.org/.
- Panduan implementasi: Panduan teknis khusus Azure terperinci yang diatur dalam sub-bagian bernomor (misalnya, NS-1.1, NS-1.2) menjelaskan cara menerapkan kontrol keamanan menggunakan fitur dan layanan Azure.
- Contoh implementasi: Skenario praktis dunia nyata yang menunjukkan cara menerapkan kontrol keamanan, termasuk tantangan, pendekatan solusi, dan hasil.
- Tingkat kekritisan: Menunjukkan kepentingan relatif kontrol keamanan untuk postur keamanan. Nilai yang mungkin adalah "Harus memiliki" (penting untuk keamanan dasar), "Harus memiliki" (penting untuk keamanan yang ditingkatkan), atau "Bagus untuk memiliki" (bermanfaat untuk skenario keamanan tingkat lanjut).
-
Pemetaan Kontrol: Pemetaan ke standar dan kerangka kerja keamanan industri, termasuk:
- NIST SP 800-53 Rev.5: ID kontrol keamanan NIST SP 800-53 r5
- PCI-DSS v4: ID persyaratan PCI-DSS v4
- CIS Controls v8.1: CIS Controls v8.1 ID
- NIST CSF v2.0: NIST Cybersecurity Framework v2.0 fungsi dan ID kategori
- ISO 27001:2022: ISO/IEC 27001:2022 ID kontrol keamanan
- SOC 2: SOC 2 Kriteria Layanan Kepercayaan
Pemetaan kontrol keamanan antara MCSB dan tolok ukur industri (seperti CIS, NIST, PCI, ISO, dan lainnya) hanya menunjukkan bahwa Anda dapat menggunakan fitur Azure tertentu untuk sepenuhnya atau sebagian mengatasi persyaratan kontrol keamanan yang ditentukan dalam tolok ukur industri ini. Implementasi tersebut tidak selalu diterjemahkan ke kepatuhan penuh kontrol keamanan yang sesuai dalam tolok ukur industri ini.
Kami menyambut umpan balik terperinci dan partisipasi aktif Anda dalam upaya tolok ukur keamanan cloud Microsoft. Jika Anda ingin memberikan input langsung, kirim email kepada kami di benchmarkfeedback@microsoft.com.
Langkah selanjutnya
- Tinjau pengenalan Microsoft Cloud Security Benchmark untuk konsep umum MCSB dan panduan implementasi
- Menjelajahi domain keamanan yang dimulai dengan Keamanan jaringan
- Pelajari tentang Dasar-Dasar Keamanan Azure