Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Tolok ukur keamanan cloud Microsoft (MCSB) memberikan praktik dan rekomendasi terbaik preskriptif untuk membantu meningkatkan keamanan beban kerja, data, dan layanan di Azure dan lingkungan multi-cloud Anda. Tolok ukur ini berfokus pada area kontrol yang berfokus pada cloud dengan input dari serangkaian panduan keamanan industri dan Microsoft holistik yang mencakup:
- Cloud Adoption Framework: Panduan tentang keamanan, termasuk strategi, peran dan tanggung jawab, Praktik Terbaik Keamanan Azure Top 10, dan implementasi referensi.
- Azure Well-Architected Framework: Panduan tentang mengamankan beban kerja Anda di Azure.
- Lokakarya Chief Information Security Officer (CISO):Panduan program dan strategi referensi untuk mempercepat modernisasi keamanan menggunakan prinsip Zero Trust.
- Standar dan kerangka praktik terbaik keamanan untuk penyedia layanan industri dan cloud lainnya: Contohnya termasuk Amazon Web Services (AWS) Well-Architected Framework, Kontrol dari Center for Internet Security (CIS), National Institute of Standards and Technology (NIST), dan Payment Card Industry Data Security Standard (PCI-DSS).
Apa yang baru dalam tolok ukur keamanan cloud Microsoft v1
Nota
Tolok ukur keamanan cloud Microsoft adalah penerus Azure Security Benchmark (ASB), yang diubah namanya pada Oktober 2022.
Dukungan Google Cloud Platform di MCSB sekarang tersedia sebagai fitur pratinjau baik dalam panduan tolok ukur MCSB maupun Pertahanan Microsoft untuk Cloud.
Berikut adalah yang baru dalam tolok ukur keamanan cloud Microsoft v1:
Kerangka kerja keamanan multi-cloud yang komprehensif: Organisasi sering kali harus membangun standar keamanan internal untuk mendamaikan kontrol keamanan di beberapa platform cloud untuk memenuhi persyaratan keamanan dan kepatuhan pada masing-masing platform tersebut. Ini sering mengharuskan tim keamanan untuk mengulangi implementasi, pemantauan, dan penilaian yang sama di berbagai lingkungan cloud (seringkali untuk standar kepatuhan yang berbeda). Ini menciptakan overhead, biaya, dan upaya yang tidak perlu. Untuk mengatasi masalah ini, kami meningkatkan ASB ke MCSB untuk membantu Anda dengan cepat bekerja dengan cloud yang berbeda dengan:
- Menyediakan kerangka kerja kontrol tunggal untuk memenuhi kontrol keamanan di seluruh cloud dengan mudah
- Memberikan pengalaman pengguna yang konsisten untuk memantau dan memberlakukan tolok ukur keamanan multi-cloud di Defender for Cloud
- Tetap selaras dengan Standar Industri (misalnya, CIS, NIST, PCI)
Pemantauan kontrol otomatis untuk AWS di Microsoft Defender for Cloud: Anda dapat menggunakan Dasbor Kepatuhan Peraturan Pertahanan Microsoft untuk Cloud untuk memantau lingkungan AWS Anda terhadap MCSB seperti cara Anda memantau lingkungan Azure Anda. Kami mengembangkan sekitar 180 pemeriksaan AWS untuk panduan keamanan AWS baru di MCSB, memungkinkan Anda memantau lingkungan dan sumber daya AWS Anda di Microsoft Defender for Cloud.
Penyegaran prinsip panduan dan keamanan Azure yang ada: Kami juga menyegarkan beberapa panduan keamanan dan prinsip keamanan Azure yang ada selama pembaruan ini sehingga Anda dapat tetap terkini dengan fitur dan kemampuan Azure terbaru.
Pengaturan
| Domain Kontrol | Description |
|---|---|
| Keamanan jaringan (NS) | Keamanan Jaringan mencakup kontrol untuk mengamankan dan melindungi jaringan, termasuk mengamankan jaringan virtual, membangun koneksi privat, mencegah, dan mengurangi serangan eksternal, dan mengamankan DNS. |
| Manajemen Identitas (IM) | Manajemen Identitas mencakup kontrol untuk membangun identitas yang aman dan kontrol akses menggunakan sistem manajemen identitas dan akses, termasuk penggunaan akses menyeluruh, autentikasi yang kuat, identitas terkelola (dan perwakilan layanan) untuk aplikasi, akses bersyarat, dan pemantauan anomali akun. |
| Akses Istimewa (PA) | Akses Istimewa mencakup kontrol untuk melindungi akses istimewa ke penyewa dan sumber daya Anda, termasuk berbagai kontrol untuk melindungi model administratif, akun administratif, dan stasiun kerja akses istimewa Anda dari risiko yang disengaja dan tidak disengaja. |
| Perlindungan Data (DP) | Perlindungan Data mencakup kontrol perlindungan data saat tidak aktif, saat transit, dan melalui mekanisme akses resmi, termasuk menemukan, mengklasifikasikan, melindungi, dan memantau aset data sensitif menggunakan kontrol akses, enkripsi, manajemen kunci, dan manajemen sertifikat. |
| Manajemen Aset (AM) | Manajemen Aset mencakup kontrol untuk memastikan visibilitas dan tata kelola keamanan atas sumber daya Anda, termasuk rekomendasi tentang izin untuk personel keamanan, akses keamanan ke inventarisasi aset, dan mengelola persetujuan untuk layanan dan sumber daya (inventarisasi, lacak, dan benar). |
| Pencatatan dan Deteksi Ancaman (LT) | Pengelogan dan Deteksi Ancaman mencakup kontrol untuk mendeteksi ancaman di cloud, dan mengaktifkan, mengumpulkan, dan menyimpan log audit untuk layanan cloud, termasuk mengaktifkan proses deteksi, investigasi, dan remediasi dengan kontrol untuk menghasilkan pemberitahuan berkualitas tinggi dengan deteksi ancaman asli di layanan cloud; ini juga termasuk mengumpulkan log dengan layanan pemantauan cloud, memusatkan analisis keamanan dengan SIEM, sinkronisasi waktu, dan retensi log. |
| Respons Insiden (IR) | Respons Insiden mencakup kontrol dalam siklus hidup respons insiden - persiapan, deteksi dan analisis, penahanan, dan aktivitas pasca-insiden, termasuk menggunakan layanan Azure (seperti Pertahanan Microsoft untuk Cloud dan Sentinel) dan/atau layanan cloud lainnya untuk mengotomatiskan proses respons insiden. |
| Manajemen Postur dan Kerentanan (PV) | Manajemen Postur dan Kerentanan berfokus pada kontrol untuk menilai dan meningkatkan postur keamanan cloud, termasuk pemindaian kerentanan, pengujian dan remediasi penetrasi, serta pelacakan, pelaporan, dan koreksi konfigurasi keamanan dalam sumber daya cloud. |
| Keamanan Titik Akhir (ES) | Keamanan Titik Akhir mencakup kontrol dalam deteksi dan respons titik akhir, termasuk penggunaan deteksi dan respons titik akhir (EDR) dan layanan anti-malware untuk titik akhir di lingkungan cloud. |
| Pencadangan dan Pemulihan (BR) | Pencadangan dan Pemulihan mencakup kontrol untuk memastikan bahwa pencadangan data dan konfigurasi di berbagai tingkat layanan dilakukan, divalidasi, dan dilindungi. |
| Keamanan DevOps (DS) | DevOps Security mencakup kontrol yang terkait dengan rekayasa dan operasi keamanan dalam proses DevOps, termasuk penyebaran pemeriksaan keamanan penting (seperti pengujian keamanan aplikasi statis, manajemen kerentanan) sebelum fase penyebaran untuk memastikan keamanan sepanjang proses DevOps; ini juga termasuk topik umum seperti pemodelan ancaman dan keamanan pasokan perangkat lunak. |
| Tata Kelola dan Strategi (GS) | Tata kelola dan Strategi memberikan panduan untuk memastikan strategi keamanan yang koheren dan pendekatan tata kelola yang terdokumen untuk memandu dan mempertahankan jaminan keamanan, termasuk menetapkan peran dan tanggung jawab untuk berbagai fungsi keamanan cloud, strategi teknis terpadu, dan kebijakan dan standar pendukung. |
Rekomendasi dalam tolok ukur keamanan cloud Microsoft
Setiap rekomendasi mencakup informasi berikut:
- ID: ID Tolok Ukur yang sesuai dengan rekomendasi.
- CIS Controls v8 ID: Kontrol CIS v8 yang sesuai dengan rekomendasi.
- CIS Controls v7.1 ID: Kontrol CIS v7.1 yang sesuai dengan rekomendasi (tidak tersedia di web karena alasan pemformatan).
- PCI-DSS ID v3.2.1: Kontrol PCI-DSS v3.2.1 yang sesuai dengan rekomendasi.
- NIST SP 800-53 r4 ID(s): Kontrol NIST SP 800-53 r4 (Sedang dan Tinggi) sesuai dengan rekomendasi ini.
- Prinsip Keamanan: Rekomendasi berfokus pada "apa", menjelaskan kontrol pada tingkat teknologi-agnostik.
- Panduan Azure: Rekomendasi berfokus pada "bagaimana", menjelaskan fitur teknis Azure dan dasar-dasar implementasi.
- Panduan AWS: Rekomendasi berfokus pada "bagaimana", menjelaskan fitur teknis AWS dan dasar-dasar implementasi.
- Implementasi dan konteks tambahan: Detail implementasi dan konteks relevan lainnya yang ditautkan ke artikel dokumentasi penawaran layanan Azure dan AWS.
- Pemangku Kepentingan Keamanan Pelanggan: Fungsi keamanan di organisasi pelanggan yang mungkin bertanggung jawab, akuntabel, atau berkonsultasi untuk masing-masing kontrol. Ini mungkin berbeda dari organisasi ke organisasi tergantung pada struktur organisasi keamanan perusahaan Anda, dan peran dan tanggung jawab yang Anda siapkan terkait dengan keamanan Azure.
Pemetaan kontrol antara MCSB dan tolok ukur industri (seperti CIS, NIST, dan PCI) hanya menunjukkan bahwa fitur Azure tertentu dapat digunakan untuk sepenuhnya atau sebagian mengatasi persyaratan kontrol yang ditentukan dalam tolok ukur industri ini. Anda harus menyadari bahwa implementasi tersebut tidak selalu diterjemahkan ke kepatuhan penuh kontrol yang sesuai dalam tolok ukur industri ini.
Kami menyambut umpan balik terperinci dan partisipasi aktif Anda dalam upaya tolok ukur keamanan cloud Microsoft. Jika Anda ingin memberikan input langsung, silakan kirim email kepada kami di benchmarkfeedback@microsoft.com.
Mengunduh
Anda dapat mengunduh Tolok Ukur dan salinan offline patokan dalam format spreadsheet.
Langkah selanjutnya
- Lihat kontrol keamanan pertama: Keamanan jaringan
- Baca pengenalan tolok ukur keamanan cloud Microsoft
- Pelajari Dasar-Dasar Keamanan Azure