Panoramica del benchmark di sicurezza cloud Microsoft (v1)

Microsoft cloud security benchmark (MCSB) fornisce procedure consigliate e consigli prescrittivi per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in Azure e nell'ambiente multi-cloud. Questo benchmark si concentra sulle aree di controllo incentrate sul cloud con input da un set di linee guida per la sicurezza di Microsoft e del settore olistiche che includono:

Novità di Microsoft Cloud Security Benchmark v1

Nota

Il benchmark della sicurezza cloud Microsoft è il successore di Azure Security Benchmark (ASB), che è stato rebranded nel mese di ottobre 2022. È attualmente in anteprima pubblica.

Ecco le novità del benchmark di sicurezza cloud Microsoft v1:

  1. Framework di sicurezza multi-cloud completo: le organizzazioni spesso devono creare uno standard di sicurezza interno per riconciliare i controlli di sicurezza in più piattaforme cloud per soddisfare i requisiti di sicurezza e conformità per ognuno di essi. Questo richiede spesso ai team di sicurezza di ripetere la stessa implementazione, il monitoraggio e la valutazione tra i diversi ambienti cloud (spesso per standard di conformità diversi). Ciò crea un sovraccarico, un costo e un impegno non necessari. Per risolvere questo problema, abbiamo migliorato l'asB a MCSB per aiutarti a lavorare rapidamente con cloud diversi da:

    • Fornire un singolo framework di controllo per soddisfare facilmente i controlli di sicurezza tra cloud
    • Offrire un'esperienza utente coerente per il monitoraggio e l'applicazione del benchmark di sicurezza multi-cloud in Defender for Cloud
    • Rimanere allineati agli standard di settore (ad esempio, CIS, NIST, PCI)

    Mapping tra ASB e il benchmark CIS

  2. Monitoraggio automatico del controllo per AWS in Microsoft Defender for Cloud: è possibile usare Microsoft Defender per il dashboard di conformità alle normative cloud per monitorare l'ambiente AWS rispetto a MCSB proprio come il monitoraggio dell'ambiente di Azure. Sono stati sviluppati circa 180 controlli AWS per la nuova guida alla sicurezza AWS in MCSB, consentendo di monitorare l'ambiente e le risorse AWS in Microsoft Defender for Cloud.

    Screenshot dell'integrazione di MSCB in Microsoft Defender for Cloud

  3. Aggiornamento dei principi di sicurezza e linee guida di Azure esistenti: sono stati aggiornati anche alcuni dei principi di sicurezza e linee guida per la sicurezza di Azure esistenti durante questo aggiornamento, in modo da poter rimanere aggiornati con le funzionalità e le funzionalità più recenti di Azure.

Controlli

Domini di controllo Descrizione
Sicurezza di rete (NS) La sicurezza di rete copre i controlli per proteggere e proteggere le reti, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione di DNS.
Identity Management (IM) Identity Management copre i controlli per stabilire un'identità sicura e i controlli di accesso usando sistemi di gestione delle identità e degli accessi, tra cui l'uso dell'accesso Single Sign-On, le autenticazione complesse, le identità gestite (e le entità servizio) per le applicazioni, l'accesso condizionale e il monitoraggio delle anomalie dell'account.
Accesso con privilegi (PA) L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse, inclusi un intervallo di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation di accesso con privilegi contro rischi intenzionali e inavvertitamente.
Protezione dei dati (DP) La protezione dei dati copre il controllo della protezione dei dati inattivi, in transito e tramite meccanismi di accesso autorizzati, tra cui individuare, classificare, proteggere e monitorare gli asset di dati sensibili usando il controllo di accesso, la crittografia, la gestione delle chiavi e la gestione dei certificati.
Gestione asset (AM) Gestione asset copre i controlli per garantire visibilità e governance sulla sicurezza sulle risorse, incluse le raccomandazioni sulle autorizzazioni per il personale di sicurezza, l'accesso alla sicurezza all'inventario delle risorse e la gestione delle approvazioni per i servizi e le risorse (inventario, traccia e corretto).
Registrazione e rilevamento delle minacce (LT) La registrazione e il rilevamento delle minacce illustra i controlli per rilevare le minacce nel cloud e abilitare, raccogliere e archiviare i log di controllo per i servizi cloud, inclusa l'abilitazione di processi di rilevamento, analisi e correzione con controlli per generare avvisi di alta qualità con rilevamento delle minacce nativo nei servizi cloud; include anche la raccolta di log con un servizio di monitoraggio cloud, la centralizzazione dell'analisi della sicurezza con una sincronizzazione dei tempi, la sincronizzazione del tempo e la conservazione dei log.
Risposta agli eventi imprevisti La risposta agli eventi imprevisti copre i controlli nel ciclo di vita della risposta agli eventi imprevisti: preparazione, rilevamento e analisi, contenimento e attività post-evento imprevisto, inclusi l'uso di servizi di Azure (ad esempio Microsoft Defender per Cloud e Sentinel) e/o altri servizi cloud per automatizzare il processo di risposta agli eventi imprevisti.
Gestione della postura e della vulnerabilità (PV) Il comportamento e la gestione delle vulnerabilità si concentra sui controlli per valutare e migliorare il comportamento della sicurezza cloud, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento della configurazione della sicurezza, la creazione di report e la correzione nelle risorse cloud.
Endpoint Security (ES) Endpoint Security copre i controlli nel rilevamento e nella risposta degli endpoint, tra cui l'uso del rilevamento degli endpoint e della risposta (EDR) e del servizio antimalware per gli endpoint negli ambienti cloud.
Backup e ripristino (BR) Backup e ripristino illustra i controlli per garantire che i backup dei dati e della configurazione siano eseguiti, convalidati e protetti in diversi livelli di servizio.
DevOps Security (DS) DevOps Security illustra i controlli correlati alla progettazione e alle operazioni di sicurezza nei processi DevOps, inclusa la distribuzione di controlli di sicurezza critici (ad esempio test di sicurezza statica, gestione delle vulnerabilità) prima della fase di distribuzione per garantire la sicurezza durante il processo DevOps; include anche argomenti comuni, ad esempio la modellazione delle minacce e la sicurezza della fornitura di software.
Governance e strategia (GS) La governance e la strategia forniscono indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la sicurezza della sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, la strategia tecnica unificata e il supporto di criteri e standard.

Raccomandazioni nel benchmark di sicurezza cloud Microsoft

Ogni raccomandazione include le informazioni seguenti:

  • ID: ID benchmark che corrisponde alla raccomandazione.
  • CIS Controls v8 ID(s): i controlli CIS v8 che corrispondono alla raccomandazione.
  • CIS Controls v7.1 ID(s): i controlli CIS v7.1 che corrispondono alla raccomandazione (non disponibili nel Web a causa del motivo di formattazione).
  • ID PCI-DSS v3.2.1: i controlli PCI-DSS v3.2.1 corrispondenti alla raccomandazione.
  • NIST SP 800-53 r4 ID(s): il controllo NIST SP 800-53 r4 (moderato e alto) corrisponde a questa raccomandazione.
  • Principio di sicurezza: la raccomandazione è incentrata su "cosa", spiegando il controllo a livello tecnologico-agnostico.
  • Linee guida di Azure: il consiglio è incentrato su "come", spiegando le funzionalità tecniche e le nozioni di base sull'implementazione di Azure.
  • Linee guida DI AWS: la raccomandazione è incentrata su "come", spiegando le nozioni tecniche e le nozioni di base sull'implementazione di AWS.
  • Contesto di implementazione e aggiunta: dettagli dell'implementazione e altro contesto pertinente che collega gli articoli della documentazione sull'offerta di servizi Azure e AWS.
  • Stakeholder della sicurezza dei clienti: le funzioni di sicurezza dell'organizzazione dei clienti che possono essere responsabili, responsabili o consultate per il rispettivo controllo. Può essere diverso dall'organizzazione all'organizzazione a seconda della struttura dell'organizzazione di sicurezza dell'azienda e dei ruoli e delle responsabilità configurate in relazione alla sicurezza di Azure.

I mapping dei controlli tra MCSB e benchmark del settore (ad esempio CIS, NIST e PCI) indicano solo che è possibile usare una funzionalità di Azure specifica per soddisfare completamente o parzialmente un requisito di controllo definito in questi benchmark del settore. È consigliabile tenere presente che tale implementazione non si traduce necessariamente nella conformità completa dei controlli corrispondenti in questi benchmark del settore.

Sono disponibili commenti e suggerimenti dettagliati e partecipazione attiva al benchmark della sicurezza cloud Microsoft. Se si vuole fornire l'input diretto, inviare un messaggio di posta elettronica a benchmarkfeedback@microsoft.com.

Scarica

È possibile scaricare la copia offline benchmark e baseline in formato foglio di calcolo.

Passaggi successivi