Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Per un'introduzione al progetto microsoft cloud security benchmark, inclusi concetti chiave, linee guida per l'implementazione e terminologia, vedere l'introduzione al benchmark di sicurezza cloud Microsoft.
Microsoft Cloud Security Benchmark v2 (anteprima) offre indicazioni avanzate incentrate su Azure con domini di sicurezza espansi e dettagli completi sull'implementazione tecnica. Questa versione si fonda sul benchmark di sicurezza cloud Microsoft con controlli di sicurezza avanzati, linee guida per la protezione dell'intelligenza artificiale e mappature estese dei Criteri di Azure.
Funzionalità principali
Annotazioni
Microsoft Cloud Security Benchmark v2 (anteprima) è ora disponibile. Esplorare questa versione e fornire commenti e suggerimenti per migliorarlo. Per eventuali domande o commenti, inviare un messaggio di posta elettronica all'indirizzo benchmarkfeedback@microsoft.com.
Per informazioni sulla versione precedente, vedere Panoramica di Microsoft Cloud Security Benchmark v1.
Microsoft Cloud Security Benchmark v2 (anteprima) include:
Sicurezza dell'intelligenza artificiale : un nuovo dominio di sicurezza con sette raccomandazioni relative alla sicurezza della piattaforma di intelligenza artificiale, alla sicurezza delle applicazioni di intelligenza artificiale e al monitoraggio della sicurezza dell'intelligenza artificiale per affrontare minacce e rischi nelle distribuzioni di intelligenza artificiale.
Mapping completi di Criteri di Azure : più di 420 definizioni predefinite di Criteri di Azure per misurare e monitorare il comportamento di sicurezza in Azure usando Criteri di Azure e Defender for Cloud.
Linee guida per i rischi e le minacce: linee guida complete con esempi di implementazione tecnica granulari e riferimenti dettagliati che consentono di comprendere i rischi e le minacce per la sicurezza che ogni controllo di sicurezza attenua e come implementare i controlli di sicurezza nell'ambiente Azure.
Domini di sicurezza
| Dominio di sicurezza | Descrizione |
|---|---|
| Sicurezza di rete (NS) | La sicurezza di rete copre i controlli per proteggere e proteggere le reti virtuali, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS. |
| Gestione delle identità (IM) | Identity Management illustra i controlli per stabilire controlli di identità e accesso sicuri usando sistemi di gestione delle identità e degli accessi, tra cui l'uso di Single Sign-On, autenticazioni avanzate, identità gestite (e entità servizio) per applicazioni, accesso condizionale e monitoraggio delle anomalie degli account. |
| Accesso con privilegi (PA) | L'accesso con privilegi riguarda i controlli per proteggere l'accesso con privilegi al tenant e alle risorse, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e accidentali. |
| Protezione dei dati (DP) | La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia, la gestione delle chiavi e la gestione dei certificati. |
| Gestione degli asset (AM) | Gestione asset copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse, incluse le raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario degli asset e la gestione delle approvazioni per servizi e risorse (inventario, rilevamento e correzione). |
| Registrazione e rilevamento delle minacce (LT) | La registrazione e il rilevamento delle minacce illustra i controlli per il rilevamento delle minacce nel cloud e l'abilitazione, la raccolta e l'archiviazione dei log di controllo per i servizi cloud, tra cui l'abilitazione di processi di rilevamento, analisi e correzione con controlli per generare avvisi di alta qualità con il rilevamento delle minacce nativo nei servizi cloud. Include anche la raccolta di log con un servizio di monitoraggio cloud, la centralizzazione dell'analisi della sicurezza con siem, sincronizzazione dell'ora e conservazione dei log. |
| Risposta agli eventi imprevisti (IR) | La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, incluso l'uso di servizi di Azure (ad esempio Microsoft Defender per cloud e Sentinel) e/o altri servizi cloud per automatizzare il processo di risposta agli eventi imprevisti. |
| Gestione della postura e della vulnerabilità (PV) | La gestione del comportamento e della vulnerabilità è incentrata sui controlli per la valutazione e il miglioramento del comportamento di sicurezza del cloud, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse cloud. |
| Sicurezza degli endpoint (ES) | Endpoint Security copre i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento e della risposta degli endpoint (EDR) e del servizio antimalware per gli endpoint negli ambienti cloud. |
| Backup e ripristino (BR) | Il backup e il ripristino illustrano i controlli per garantire che i backup di dati e configurazione nei diversi livelli di servizio vengano eseguiti, convalidati e protetti. |
| Sicurezza DevOps (DS) | DevOps Security illustra i controlli correlati alla progettazione e alle operazioni di sicurezza nei processi DevOps, inclusa la distribuzione di controlli di sicurezza critici (ad esempio test di sicurezza statici delle applicazioni, gestione delle vulnerabilità) prima della fase di distribuzione per garantire la sicurezza durante il processo DevOps. Include anche argomenti comuni, ad esempio la modellazione delle minacce e la sicurezza della fornitura di software. |
| Sicurezza dell'intelligenza artificiale | La sicurezza dell'intelligenza artificiale copre i controlli per garantire lo sviluppo sicuro, la distribuzione e il funzionamento di modelli e servizi di intelligenza artificiale, tra cui la sicurezza della piattaforma di intelligenza artificiale, la sicurezza delle applicazioni di intelligenza artificiale e il monitoraggio della sicurezza dell'intelligenza artificiale. |
Struttura del controllo di sicurezza in Microsoft Cloud Security Benchmark v2 (anteprima)
Ogni controllo di sicurezza nel benchmark include le sezioni seguenti:
- ID: identificatore univoco per ogni controllo di sicurezza, costituito da un'abbreviazione e un numero di dominio (ad esempio, AI-1 per il controllo di sicurezza dell'intelligenza artificiale 1, DP-1 per il controllo di protezione dei dati 1, NS-2 per il controllo di sicurezza di rete 2). Questo ID viene usato in tutta la documentazione per fare riferimento a controlli di sicurezza specifici.
- Criteri di Azure: collegamenti a definizioni di criteri predefiniti di Azure che è possibile usare per misurare e applicare il controllo di sicurezza. Si noti che non tutti i controlli di sicurezza includono un collegamento a Criteri di Azure, perché alcuni controlli di sicurezza forniscono indicazioni per scenari o configurazioni che l'automazione di Criteri di Azure non può applicare.
- Principio di sicurezza: descrizione generale del controllo di sicurezza a livello tecnologico indipendente, che spiega il "cosa" e "perché" del controllo di sicurezza.
- Rischio da attenuare: rischi e minacce specifici per la sicurezza che il controllo della sicurezza mira a risolvere.
- MITRE ATT&CK: tattiche, tecniche e procedure MITRE ATT&CK rilevanti per i rischi per la sicurezza. Scopri di più su https://attack.mitre.org/.
- Linee guida per l'implementazione: indicazioni tecniche dettagliate specifiche di Azure organizzate in sezioni secondarie numerate (ad esempio, NS-1.1, NS-1.2) che illustrano come implementare il controllo di sicurezza usando funzionalità e servizi di Azure.
- Esempio di implementazione: scenario reale pratico che illustra come implementare il controllo di sicurezza, tra cui la sfida, l'approccio alla soluzione e il risultato.
- Livello di criticità: indica l'importanza relativa del controllo di sicurezza per il comportamento di sicurezza. I valori possibili sono "Must have" (essenziali per la sicurezza di base), "Should have" (importante per la sicurezza avanzata) o "Nice to have" (utile per gli scenari di sicurezza avanzati).
-
Mapping dei controlli: mappature a standard e framework di sicurezza del settore, tra cui:
- NIST SP 800-53 Rev.5: ID controllo di sicurezza NIST SP 800-53 r5
- PCI-DSS v4: ID requisito PCI-DSS v4
- Controlli CIS v8.1: Identificatori dei Controlli CIS v8.1
- NIST CSF v2.0: Identificativi di funzione e categoria del NIST Cybersecurity Framework v2.0
- ISO 27001:2022: ID dei controlli di sicurezza ISO/IEC 27001:2022
- SOC 2: SOC 2 Trust Services Criteria
I mapping dei controlli di sicurezza tra MCSB e benchmark del settore (ad esempio CIS, NIST, PCI, ISO e altri) indicano solo che è possibile usare funzionalità specifiche di Azure per soddisfare completamente o parzialmente un requisito di controllo della sicurezza definito in questi benchmark del settore. Tale implementazione non si traduce necessariamente nella conformità completa dei controlli di sicurezza corrispondenti in questi benchmark del settore.
Microsoft è lieta di ricevere commenti e suggerimenti dettagliati e di partecipare attivamente allo sforzo microsoft cloud security benchmark v2 (anteprima). Se si vuole fornire l'input diretto, inviare un messaggio di posta elettronica all'indirizzo benchmarkfeedback@microsoft.com.
Passaggi successivi
- Esaminare l'introduzione al benchmark di sicurezza del cloud Microsoft per i concetti generali e le linee guida per l'implementazione di MCSB
- Esplorare i domini di sicurezza a partire dalla sicurezza di rete
- Informazioni sui concetti fondamentali sulla sicurezza di Azure