Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Cloud Security Benchmark (MCSB) fornisce procedure consigliate e consigli prescrittivi per migliorare la sicurezza di carichi di lavoro, dati e servizi in Azure e nell'ambiente multi-cloud. Questo benchmark è incentrato sulle aree di controllo incentrate sul cloud con input da una serie di linee guida olistiche per la sicurezza di Microsoft e del settore che includono:
- Cloud Adoption Framework: linee guida sulla sicurezza, tra cui strategia, ruoli e responsabilità, Procedure consigliate per la sicurezza top 10 di Azure e implementazione di riferimento.
- Azure Well-Architected Framework: linee guida per la protezione dei carichi di lavoro in Azure.
- Workshop del Chief Information Security Officer (CISO):linee guida e strategie di riferimento del programma per accelerare la modernizzazione della sicurezza usando i principi Zero Trust.
- Altri standard e framework di procedure consigliate per la sicurezza di altri provider di servizi cloud e settore: gli esempi includono Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) e Payment Card Industry Data Security Standard (PCI-DSS).
Novità di Microsoft Cloud Security Benchmark v1
Annotazioni
Microsoft Cloud Security Benchmark è il successore di Azure Security Benchmark (ASB), che è stato rinominato nell'ottobre 2022.
Il supporto di Google Cloud Platform in MCSB è ora disponibile come funzionalità di anteprima sia nelle linee guida del benchmark MCSB che in Microsoft Defender for Cloud.
Ecco le novità di Microsoft Cloud Security Benchmark v1:
Framework di sicurezza multi-cloud completo: le organizzazioni spesso devono creare uno standard di sicurezza interno per riconciliare i controlli di sicurezza in più piattaforme cloud per soddisfare i requisiti di sicurezza e conformità in ognuno di essi. Questo richiede spesso ai team di sicurezza di ripetere le stesse operazioni di implementazione, monitoraggio e valutazione tra i diversi ambienti cloud (di frequente per standard di conformità diversi). Tutto ciò contribuisce a generare spese generali, costi e attività superflui. Per affrontare questa preoccupazione, abbiamo migliorato l'ASB in MCSB per aiutarti a lavorare rapidamente con diversi cloud mediante:
- Unico framework di controllo per soddisfare facilmente i controlli di sicurezza in più cloud
- Offrire un'esperienza utente coerente per il monitoraggio e l'applicazione del benchmark di sicurezza multi-cloud in Defender for Cloud
- Rimanere allineati agli standard di settore (ad esempio, CIS, NIST, PCI)
Monitoraggio automatizzato del controllo per AWS in Microsoft Defender for Cloud: è possibile usare Il dashboard di conformità alle normative di Microsoft Defender for Cloud per monitorare l'ambiente AWS con MCSB esattamente come si monitora l'ambiente Azure. Sono stati sviluppati circa 180 controlli per AWS per le nuove indicazioni per la sicurezza di AWS in MCSB, che consentono di monitorare l'ambiente e le risorse AWS in Microsoft Defender per il cloud.
Aggiornamento delle linee guida e dei principi di sicurezza di Azure esistenti: durante questo aggiornamento sono stati aggiornati anche alcuni dei principi di sicurezza e delle linee guida esistenti per la sicurezza di Azure, in modo da poter rimanere aggiornati con le funzionalità e le funzionalità di Azure più recenti.
Controlli
| Domini di controllo | Descrizione |
|---|---|
| Sicurezza di rete (NS) | La sicurezza di rete copre i controlli per proteggere e proteggere le reti virtuali, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione di attacchi esterni e la protezione del DNS. |
| Gestione delle identità (IM) | Identity Management illustra i controlli per stabilire controlli di identità e accesso sicuri usando sistemi di gestione delle identità e degli accessi, tra cui l'uso di Single Sign-On, autenticazioni complesse, identità gestite (e entità servizio) per applicazioni, accesso condizionale e monitoraggio delle anomalie degli account. |
| Accesso con privilegi (PA) | L'accesso con privilegi riguarda i controlli per proteggere l'accesso con privilegi al tenant e alle risorse, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e accidentali. |
| Protezione dei dati (DP) | La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia, la gestione delle chiavi e la gestione dei certificati. |
| Gestione degli asset (AM) | Gestione asset copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse, incluse le raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario degli asset e la gestione delle approvazioni per servizi e risorse (inventario, rilevamento e correzione). |
| Registrazione e rilevamento delle minacce (LT) | La registrazione e il rilevamento delle minacce illustra i controlli per il rilevamento delle minacce nel cloud e l'abilitazione, la raccolta e l'archiviazione dei log di controllo per i servizi cloud, tra cui l'abilitazione di processi di rilevamento, indagine e correzione con controlli per generare avvisi di alta qualità con il rilevamento delle minacce nativo nei servizi cloud; include anche la raccolta di log con un servizio di monitoraggio cloud, la centralizzazione dell'analisi della sicurezza con siem, sincronizzazione dell'ora e conservazione dei log. |
| Risposta agli eventi imprevisti (IR) | La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, incluso l'uso di servizi di Azure (ad esempio Microsoft Defender per cloud e Sentinel) e/o altri servizi cloud per automatizzare il processo di risposta agli eventi imprevisti. |
| Gestione della postura e della vulnerabilità (PV) | La gestione del comportamento e della vulnerabilità è incentrata sui controlli per la valutazione e il miglioramento del comportamento di sicurezza del cloud, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse cloud. |
| Sicurezza degli endpoint (ES) | Endpoint Security copre i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento e della risposta degli endpoint (EDR) e del servizio antimalware per gli endpoint negli ambienti cloud. |
| Backup e ripristino (BR) | Il backup e il ripristino illustrano i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti. |
| Sicurezza DevOps (DS) | Sicurezza DevOps include i controlli correlati alla progettazione e alle operazioni di sicurezza nei processi DevOps, inclusa la distribuzione di controlli di sicurezza critici (ad esempio test di sicurezza statici e gestione delle vulnerabilità) prima della fase di distribuzione per garantire la sicurezza durante il processo DevOps. Include anche argomenti comuni, ad esempio la modellazione delle minacce e la sicurezza dell'approvvigionamento software. |
| Governance e strategia (GS) | La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia della sicurezza, inclusa la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e i criteri e gli standard di supporto. |
Raccomandazioni nel benchmark della sicurezza del cloud Microsoft
Ogni raccomandazione include le informazioni seguenti:
- ID: ID benchmark corrispondente alla raccomandazione.
- ID controlli CIS v8: I controlli di CIS Controls v8 che corrispondono alla raccomandazione.
- ID(s) dei controlli CIS v7.1: I controlli CIS v7.1 che corrispondono alla raccomandazione (non disponibili sul web a causa di problemi di formattazione).
- PCI-DSS: i controlli v3.2.1 PCI-DSS che corrispondono alla raccomandazione.
- NIST SP 800-53 r4 ID(s): I controlli NIST SP 800-53 r4 (Moderati e Elevati) corrispondono a questa raccomandazione.
- Principio di sicurezza: la raccomandazione è incentrata sul "cosa", spiegando il controllo a livello di tecnologia indipendente.
- Linee guida di Azure: il consiglio è incentrato sulla "procedura", che illustra le funzionalità tecniche di Azure e le nozioni di base sull'implementazione.
- Indicazioni su AWS: la raccomandazione è incentrata sul "come", spiegando le funzionalità tecniche e le nozioni di base sull'implementazione di AWS.
- Implementazione e contesto aggiuntivo: dettagli di implementazione e altro contesto pertinente che si collega agli articoli della documentazione dell'offerta di servizi di Azure e AWS.
- Interessati alla sicurezza dei clienti: le funzioni di sicurezza dell'organizzazione del cliente che possono essere responsabili, incaricati o consultate per il rispettivo controllo. Può essere diverso dall'organizzazione all'organizzazione a seconda della struttura dell'organizzazione di sicurezza aziendale e dei ruoli e delle responsabilità configurati in relazione alla sicurezza di Azure.
I mapping dei controlli tra MCSB e benchmark del settore (ad esempio CIS, NIST e PCI) indicano solo che una o più funzionalità di Azure specifiche possono essere usate per soddisfare completamente o parzialmente un requisito di controllo definito in questi benchmark del settore. È necessario tenere presente che tale implementazione non si traduce necessariamente nella conformità completa dei controlli corrispondenti in questi benchmark del settore.
Microsoft accoglie il feedback dettagliato e la partecipazione attiva al benchmark della sicurezza del cloud Microsoft. Se si vuole fornire l'input diretto, inviare un messaggio di posta elettronica all'indirizzo benchmarkfeedback@microsoft.com.
Scarica
È possibile scaricare la copia offline di benchmark e baseline in formato foglio di calcolo.
Passaggi successivi
- Consultare il primo controllo di sicurezza: Sicurezza di rete
- Leggere l'introduzione a Microsoft Cloud Security Benchmark
- Informazioni sui concetti fondamentali sulla sicurezza di Azure