Overzicht van Microsoft Cloud Security Benchmark (v1)
De Microsoft Cloud Security Benchmark (MCSB) biedt voorgeschreven best practices en aanbevelingen om de beveiliging van workloads, gegevens en services in Azure en uw omgeving met meerdere clouds te verbeteren. Deze benchmark is gericht op cloudgerichte controlegebieden met input van een set holistische richtlijnen voor microsoft- en branchebeveiliging, waaronder:
- Cloud Adoption Framework: Richtlijnen voor beveiliging, waaronder strategie, rollen en verantwoordelijkheden, Best practices voor Azure Top 10-beveiliging en referentie-implementatie.
- Azure Well-Architected Framework: richtlijnen voor het beveiligen van uw workloads in Azure.
- The Chief Information Security Officer (CISO) Workshop: Programmarichtlijnen en referentiestrategieën om de modernisering van beveiliging te versnellen met behulp van Zero Trust principes.
- Andere best practice-standaarden en frameworks voor beveiliging van branche- en cloudserviceproviders: voorbeelden zijn de Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) en Payment Card Industry Data Security Standard (PCI-DSS).
Wat is er nieuw in Microsoft Cloud Security Benchmark v1
Notitie
Microsoft Cloud Security Benchmark is de opvolger van Azure Security Benchmark (ASB), die in oktober 2022 is gewijzigd.
Google Cloud Platform-ondersteuning in MCSB is nu beschikbaar als preview-functie, zowel in mcsb-benchmarkrichtlijnen als in Microsoft Defender voor cloud.
Dit is wat er nieuw is in de Microsoft Cloud Security Benchmark v1:
Uitgebreid beveiligingsframework voor meerdere clouds: Organisaties moeten vaak een interne beveiligingsstandaard bouwen om beveiligingscontroles op meerdere cloudplatforms af te stemmen om te voldoen aan de beveiligings- en nalevingsvereisten voor elk ervan. Dit vereist vaak dat beveiligingsteams dezelfde implementatie, controle en evaluatie herhalen in de verschillende cloudomgevingen (vaak voor verschillende nalevingsstandaarden). Dit leidt tot onnodige overhead, kosten en inspanningen. Om dit probleem aan te pakken, hebben we asb uitgebreid naar MCSB om u te helpen snel met verschillende clouds te werken door:
- Eén besturingsframework bieden om eenvoudig te voldoen aan de beveiligingscontroles in clouds
- Consistente gebruikerservaring bieden voor het bewaken en afdwingen van de beveiligingsbenchmark voor meerdere clouds in Defender for Cloud
- In lijn blijven met industriestandaarden (bijvoorbeeld CIS, NIST, PCI)
Geautomatiseerde controlecontrole voor AWS in Microsoft Defender for Cloud: u kunt Microsoft Defender dashboard voor naleving van regelgeving in de cloud gebruiken om uw AWS-omgeving te controleren op MCSB, net zoals u uw Azure-omgeving bewaakt. We hebben ongeveer 180 AWS-controles ontwikkeld voor de nieuwe AWS-beveiligingsrichtlijnen in MCSB, zodat u uw AWS-omgeving en -resources kunt bewaken in Microsoft Defender for Cloud.
Een vernieuwing van de bestaande Azure-richtlijnen en beveiligingsprincipes: tijdens deze update hebben we ook enkele van de bestaande Azure-beveiligingsrichtlijnen en beveiligingsprincipes vernieuwd, zodat u op de hoogte kunt blijven van de nieuwste azure-functies en -mogelijkheden.
Besturingselementen
| Beheerdomeinen | Beschrijving |
|---|---|
| Netwerkbeveiliging (NS) | Netwerkbeveiliging omvat controles voor het beveiligen en beveiligen van netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS. |
| Identiteitsbeheer (IM) | Identiteitsbeheer omvat besturingselementen voor het instellen van een veilige identiteit en toegangsbeheer met behulp van identiteits- en toegangsbeheersystemen, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen. |
| Bevoegde toegang (PA) | Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw tenant en resources, waaronder een reeks besturingselementen om uw beheermodel, beheerdersaccounts en werkstations voor bevoegde toegang te beschermen tegen opzettelijke en onbedoelde risico's. |
| Gegevensbescherming (DP) | Gegevensbescherming omvat het beheer van gegevensbeveiliging at rest, in transit en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutelbeheer en certificaatbeheer. |
| Asset Management (AM) | Asset Management omvat controles om te zorgen voor zichtbaarheid van beveiliging en governance van uw resources, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, beveiligingstoegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en correct). |
| Logboekregistratie en detectie van bedreigingen (LT) | Logboekregistratie en detectie van bedreigingen omvat controles voor het detecteren van bedreigingen in de cloud en het inschakelen, verzamelen en opslaan van auditlogboeken voor cloudservices, waaronder het mogelijk maken van detectie,onderzoek en herstelprocessen met controles om waarschuwingen van hoge kwaliteit te genereren met systeemeigen detectie van bedreigingen in cloudservices; Het omvat ook het verzamelen van logboeken met een cloudbewakingsservice, het centraliseren van beveiligingsanalyse met een SIEM, tijdsynchronisatie en logboekretentie. |
| Reactie op incidenten (IR) | Respons op incidenten omvat controles in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en activiteiten na incidenten, waaronder het gebruik van Azure-services (zoals Microsoft Defender voor Cloud en Sentinel) en/of andere cloudservices om het reactieproces op incidenten te automatiseren. |
| Postuur en beheer van beveiligingsproblemen (PV) | Postuur- en beveiligingsproblemenbeheer richt zich op controles voor het beoordelen en verbeteren van de cloudbeveiligingspostuur, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden, rapporteren en corrigeren van beveiligingsconfiguraties in cloudresources. |
| Endpoint Security (ES) | Endpoint Security omvat besturingselementen voor eindpuntdetectie en -respons, waaronder het gebruik van eindpuntdetectie en -respons (EDR) en de antimalwareservice voor eindpunten in cloudomgevingen. |
| Back-up en herstel (BR) | Back-up en herstel omvat besturingselementen om ervoor te zorgen dat back-ups van gegevens en configuraties in de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd. |
| DevOps Security (DS) | DevOps Security omvat de controles met betrekking tot de beveiligingsengineering en -bewerkingen in de DevOps-processen, met inbegrip van de implementatie van kritieke beveiligingscontroles (zoals statische toepassingsbeveiligingstests, beheer van beveiligingsproblemen) voorafgaand aan de implementatiefase om de beveiliging tijdens het DevOps-proces te garanderen; Het bevat ook algemene onderwerpen, zoals bedreigingsmodellering en beveiliging van softwarelevering. |
| Governance en strategie (GS) | Governance en strategie bieden richtlijnen voor het waarborgen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiligingsgaranties te begeleiden en te onderhouden, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden. |
Aanbevelingen in Microsoft Cloud Security Benchmark
Elke aanbeveling bevat de volgende informatie:
- Id: de benchmark-id die overeenkomt met de aanbeveling.
- CIS-besturingselementen v8-id('s): de CIS-besturingselementen v8-besturingselementen die overeenkomen met de aanbeveling.
- CIS-besturingselementen v7.1 Id('s): De CIS-besturingselementen v7.1-besturingselementen die overeenkomen met de aanbeveling (niet beschikbaar op het web vanwege de opmaakreden).
- PCI-DSS v3.2.1 ID('s): de PCI-DSS v3.2.1-besturingselementen die overeenkomen met de aanbeveling.
- NIST SP 800-53 r4 Id('s): De NIST SP 800-53 r4-besturingselementen (gemiddeld en hoog) komen overeen met deze aanbeveling.
- Beveiligingsprincipe: De aanbeveling was gericht op het 'wat', waarin de controle op technologie-agnostisch niveau werd uitgelegd.
- Azure-richtlijnen: de aanbeveling is gericht op het 'hoe', waarin de technische functies en basisbeginselen van Azure worden uitgelegd.
- AWS-richtlijnen: de aanbeveling was gericht op het 'hoe', waarin de technische functies en basisbeginselen van AWS worden uitgelegd.
- Implementatie en aanvullende context: de implementatiedetails en andere relevante context die koppelingen bevat naar de documentatieartikelen over azure- en AWS-serviceaanbiedingen.
- Belanghebbenden bij klantbeveiliging: de beveiligingsfuncties bij de klantorganisatie die verantwoordelijk, verantwoordelijk of geraadpleegd kunnen zijn voor de respectieve controle. Het kan per organisatie verschillen, afhankelijk van de beveiligingsorganisatiestructuur van uw bedrijf en de rollen en verantwoordelijkheden die u hebt ingesteld met betrekking tot Azure-beveiliging.
De toewijzingen van besturingselementen tussen MCSB en industriebenchmarks (zoals CIS, NIST en PCI) geven alleen aan dat een of meer specifieke Azure-functies kunnen worden gebruikt om volledig of gedeeltelijk te voldoen aan een controlevereiste die is gedefinieerd in deze industriebenchmarks. U moet er rekening mee houden dat een dergelijke implementatie zich niet noodzakelijkerwijs vertaalt in de volledige naleving van de bijbehorende controle(en) in deze branchebenchmarks.
We zijn blij met uw gedetailleerde feedback en actieve deelname aan de microsoft-cloudbeveiligingsbenchmark. Als u directe input wilt geven, kunt u ons een e-mail sturen op benchmarkfeedback@microsoft.com.
Downloaden
U kunt de offlinekopie Benchmark en basislijn downloaden in spreadsheetindeling.
Volgende stappen
- Zie het eerste beveiligingsbeheer: Netwerkbeveiliging
- Lees de inleiding tot de Microsoft Cloud Security-benchmark
- Meer informatie over de basisprincipes van Azure-beveiliging