Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) zawiera normatywne najlepsze rozwiązania i zalecenia, które pomagają zwiększyć bezpieczeństwo obciążeń, danych i usług na platformie Azure i w środowisku z wieloma chmurami. Ten test porównawczy koncentruje się na obszarach kontroli skoncentrowanych na chmurze z danymi wejściowymi z zestawu całościowych wskazówek dotyczących zabezpieczeń firmy Microsoft i branży, które obejmują:
- Cloud Adoption Framework: wskazówki dotyczące zabezpieczeń, w tym strategii, ról i obowiązków, najlepszych rozwiązań dotyczących zabezpieczeń platformy Azure 10 i implementacji referencyjnej.
- Azure Well-Architected Framework: wskazówki dotyczące zabezpieczania obciążeń na platformie Azure.
- Warsztaty dyrektora ds. zabezpieczeń informacji (CISO):wskazówki dotyczące programu i strategie referencyjne w celu przyspieszenia modernizacji zabezpieczeń przy użyciu zasad zero trust.
- Inne standardy i struktury najlepszych rozwiązań branżowych i dostawców usług w chmurze: Przykłady obejmują Amazon Web Services (AWS) Well-Architected Ramowa, Kontrole Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) i Standard Bezpieczeństwa Danych Branży Kart Płatniczych (PCI-DSS).
Co nowego w testach porównawczych zabezpieczeń w chmurze firmy Microsoft w wersji 1
Uwaga / Notatka
Test porównawczy zabezpieczeń w chmurze firmy Microsoft jest następcą testu porównawczego zabezpieczeń platformy Azure (ASB), który został przemianowany w październiku 2022 roku.
Obsługa platformy Google Cloud Platform w mcSB jest teraz dostępna jako funkcja w wersji zapoznawczej zarówno w wytycznych dotyczących testów porównawczych MCSB, jak i w usłudze Microsoft Defender for Cloud.
Oto co nowego w testach porównawczych zabezpieczeń w chmurze firmy Microsoft w wersji 1:
Kompleksowa struktura zabezpieczeń w wielu chmurach: Organizacje często muszą utworzyć standard zabezpieczeń wewnętrznych w celu uzgodnienia mechanizmów kontroli zabezpieczeń na wielu platformach w chmurze w celu spełnienia wymagań dotyczących zabezpieczeń i zgodności dla każdego z nich. Często wymaga to od zespołów ds. zabezpieczeń powtórzeń tej samej implementacji, monitorowania i oceny w różnych środowiskach chmury (często w przypadku różnych standardów zgodności). Spowoduje to niepotrzebne obciążenie, koszty i nakład pracy. Aby rozwiązać ten problem, ulepszyliśmy ASB do MCSB, aby umożliwić szybką pracę z różnymi chmurami poprzez:
- Zapewnienie jednej struktury kontroli w celu łatwego spełnienia mechanizmów kontroli zabezpieczeń w chmurach
- Zapewnianie spójnego środowiska użytkownika do monitorowania i wymuszania testu porównawczego zabezpieczeń w wielu chmurach w usłudze Defender for Cloud
- Zachowanie zgodności ze standardami branżowymi (np. CIS, NIST, PCI)
Automatyczne monitorowanie kontroli dla platformy AWS w usłudze Microsoft Defender for Cloud: pulpit zgodności z przepisami w usłudze Microsoft Defender for Cloud umożliwia monitorowanie środowiska AWS przeciwko MCSB tak samo jak monitorowanie środowiska Azure. Opracowaliśmy około 180 kontroli platformy AWS pod kątem nowych wskazówek dotyczących zabezpieczeń platformy AWS w usłudze MCSB, co pozwala monitorować środowisko i zasoby platformy AWS w Microsoft Defender dla Chmury.
Odświeżenie istniejących zasad dotyczących zabezpieczeń i wskazówek dotyczących platformy Azure: Odświeżyliśmy również niektóre istniejące wskazówki dotyczące zabezpieczeń i zasady zabezpieczeń platformy Azure podczas tej aktualizacji, aby móc być na bieżąco z najnowszymi funkcjami i możliwościami platformy Azure.
Sterowanie
| Domeny kontrolek | Opis |
|---|---|
| Zabezpieczenia sieci (NS) | Zabezpieczenia sieci obejmują mechanizmy kontroli zabezpieczania i ochrony sieci, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania i ograniczania ataków zewnętrznych oraz zabezpieczania systemu DNS. |
| Zarządzanie tożsamościami (IM) | Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu systemów zarządzania tożsamościami i dostępem, w tym korzystania z logowania jednokrotnego, silnych uwierzytelnień, tożsamości zarządzanych (i jednostek usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont. |
| Dostęp uprzywilejowany (PA) | Dostęp uprzywilejowany obejmuje mechanizmy kontroli ochrony uprzywilejowanego dostępu do dzierżawy i zasobów, w tym szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i uprzywilejowanych stacji roboczych dostępu przed celowym i nieumyślnym ryzykiem. |
| Ochrona danych (DP) | Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, zarządzania kluczami i zarządzania certyfikatami. |
| Zarządzanie zasobami (AM) | Zarządzanie zasobami obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami, w tym zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie). |
| Rejestrowanie i wykrywanie zagrożeń (LT) | Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń w chmurze oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług w chmurze, w tym włączania wykrywania, badania i procesów korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach w chmurze; Obejmuje również zbieranie dzienników za pomocą usługi monitorowania w chmurze, scentralizowanie analizy zabezpieczeń za pomocą rozwiązania SIEM, synchronizacji czasu i przechowywania dzienników. |
| Reagowanie na zdarzenia (IR) | Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure (takich jak Microsoft Defender for Cloud i Sentinel) i/lub innych usług w chmurze w celu zautomatyzowania procesu reagowania na zdarzenia. |
| Stan bezpieczeństwa i zarządzanie lukami w zabezpieczeniach (PV) | Stan i zarządzanie lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i poprawy stanu zabezpieczeń w chmurze, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i korygowania, a także śledzenia konfiguracji zabezpieczeń, raportowania i poprawiania zasobów w chmurze. |
| Zabezpieczenia punktu końcowego (ES) | Zabezpieczenia urządzeń końcowych obejmują mechanizmy kontroli wykrywania i reagowania na zagrożenia w urządzeniach końcowych, w tym korzystanie z mechanizmów EDR (Endpoint Detection and Response) oraz usługi antymalware dla urządzeń końcowych w środowiskach chmurowych. |
| Tworzenie kopii zapasowych i odzyskiwanie (BR) | Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione. |
| Zabezpieczenia DevOps (DS) | Usługa DevOps Security obejmuje mechanizmy kontroli związane z inżynierią zabezpieczeń i operacjami w procesach DevOps, w tym wdrażanie krytycznych kontroli zabezpieczeń (takich jak testowanie zabezpieczeń aplikacji statycznych, zarządzanie lukami w zabezpieczeniach) przed fazą wdrażania w celu zapewnienia bezpieczeństwa w całym procesie DevOps; Zawiera również typowe tematy, takie jak modelowanie zagrożeń i zabezpieczenia dostarczania oprogramowania. |
| Ład i strategia (GS) | Ład i strategia zawierają wskazówki dotyczące zapewnienia spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów. |
Rekomendacje w testach porównawczych zabezpieczeń w chmurze firmy Microsoft
Każde zalecenie zawiera następujące informacje:
- ID: Benchmark ID, który odpowiada rekomendacji.
- CIS Controls v8 ID(s): Kontrole CIS Controls v8, które odpowiadają zaleceniom.
- Kontrolki CIS w wersji 7.1: kontrolki CIS w wersji 7.1, które odpowiadają rekomendacji (niedostępne w sieci Web ze względu na przyczynę formatowania).
- PCI-DSS identyfikatory wersji 3.2.1: kontrolki PCI-DSS w wersji 3.2.1, które odpowiadają rekomendacji.
- Identyfikatory NIST SP 800-53 r4: Kontrole NIST SP 800-53 r4 (średni i wysoki poziom) odpowiadają temu zaleceniu.
- Zasada zabezpieczeń: Zalecenie koncentruje się na określaniu "co", wyjaśniając kontrolę na poziomie niezależnym od technologii.
- Wskazówki dotyczące platformy Azure: zalecenie koncentruje się na "sposobie", objaśniając funkcje techniczne i podstawy implementacji platformy Azure.
- Wskazówki dotyczące platformy AWS: zalecenie koncentruje się na "sposobie", objaśniając funkcje techniczne i podstawy implementacji platformy AWS.
- Implementacja i dodatkowy kontekst: szczegóły implementacji i inny odpowiedni kontekst, który łączy się z artykułami dokumentacji oferty usług Azure i AWS.
- Interesariusze ds. bezpieczeństwa klienta: funkcje zabezpieczeń w organizacji klienta, które mogą być odpowiedzialne, rozliczane lub konsultowane w zakresie odpowiedniej kontroli. Może się to różnić od organizacji w zależności od struktury organizacji zabezpieczeń firmy oraz ról i obowiązków związanych z zabezpieczeniami platformy Azure.
Mapowania kontrolek między mcSB i branżowymi testami porównawczymi (takimi jak CIS, NIST i PCI) wskazują tylko, że określone funkcje platformy Azure mogą być używane do pełnego lub częściowego spełnienia wymagań kontrolnych zdefiniowanych w tych branżowych testach porównawczych. Należy pamiętać, że taka implementacja nie musi przekładać się na pełną zgodność odpowiednich kontroli w tych branżowych testach porównawczych.
Z zadowoleniem przyjmujemy twoją szczegółową opinię i aktywne uczestnictwo w testach porównawczych zabezpieczeń w chmurze firmy Microsoft. Jeśli chcesz podać bezpośrednie dane wejściowe, wyślij nam wiadomość e-mail na adres benchmarkfeedback@microsoft.com.
Pobierz
Możesz pobrać kopię testu porównawczego i punktu odniesienia w trybie offline w formacie arkusza kalkulacyjnego.
Dalsze kroki
- Zobacz pierwszą kontrolę zabezpieczeń: zabezpieczenia sieci
- Przeczytaj wprowadzenie do testu porównawczego zabezpieczeń w chmurze firmy Microsoft
- Poznaj podstawy zabezpieczeń platformy Azure