Общие сведения об элементах управления безопасностью Azure (версия 3)

Тест производительности системы безопасности Azure предоставляет рекомендации и практические методики, помогающие повысить безопасность рабочих нагрузок, данных и служб в Azure. Этот тест входит в набор рекомендаций по комплексной безопасности вместе со следующими средствами.

Решение Azure Security Benchmark ориентировано на аспекты управления, связанные с облачной платформой. Эти аспекты соответствуют широко известным эталонам безопасности, в том числе от Центра интернет-безопасности (CIS) и Национального института стандартов и технологий США (NIST), а также стандарту безопасности данных индустрии платежных карт (PCI-DSS).

Новые возможности в ASB v3

В Azure Security Benchmark v3 появились следующие новые возможности:

  • Внесены элементы для соответствия отраслевым платформам PCI-DSS v3.2.1 и CIS Controls v8 в дополнение к уже существующим элементам для CIS Controls v7.1 и NIST SP800-53 Rev4.
  • Руководство по элементам управления сделано более детализированным и готовым к применению. Например, рекомендации по безопасности теперь разделены на две части: Принцип безопасности и Руководство для Azure. "Принцип безопасности" поясняет элемент управления ("что") безотносительно технологий, а "Руководство для Azure" — соответствующие технические аспекты и способы реализации ("как") элементов управления в Azure.
  • Добавлены новые элементы управления, например семейство DevOps Security, которое включает моделирование угроз, защиту цепочки поставок ПО и другие разделы. Представлены рекомендации по управлению в Azure ключами и сертификатами.

Элементы управления

Azure Security Benchmark v3 охватывает перечисленные ниже аспекты управления.

Домены управления Azure Security Benchmark Описание
Безопасность сети (NS) Безопасность сети охватывает аспекты управления, касающиеся защиты сетей Azure, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак, а также безопасность DNS.
Управление идентификацией (IM) Управление удостоверениями охватывает аспекты управления, касающиеся обеспечения безопасного управления удостоверениями и доступом с помощью Azure Active Directory, включая использование единого входа, строгие проверки подлинности, управляемые удостоверения (и субъекты-служб) для мониторинга приложений, условного доступа и аномалий учетных записей.
Привилегированный доступ (PA) Привилегированный доступ охватывает аспекты управления, касающиеся защиты привилегированного доступа к клиенту и ресурсам Azure, включая ряд мер для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от риска умышленных и случайных вредоносных действий.
Защита данных (DP) Защита данных охватывает аспекты управления, касающиеся защиты данных при хранении, передаче и доступе через разрешенные механизмы, в том числе обнаружение, классификацию, защиту и мониторинг ресурсов с конфиденциальными данными при помощи контроля доступа, шифрования и управления ключами и сертификатами в Azure.
Управление ресурсами (AM) Управление ресурсами охватывает аспекты управления, касающиеся обеспечения видимости и контроля над ресурсами Azure. Сюда входят рекомендации по разрешениям для сотрудников служб безопасности, доступу к инвентаризации ресурсов и по управлению утверждениями для ресурсов и служб (инвентаризация, отслеживание и исправление).
Ведение журнала и обнаружение угроз (LT) Ведение журналов и обнаружение угроз охватывает аспекты управления, касающиеся выявления угроз в Azure, а также настройки, сбора и хранения журналов аудита для служб Azure, в том числе настройки процессов обнаружения, исследования и исправления с помощью средств контроля для создания высококачественных оповещений со встроенным обнаружением угроз для служб Azure. Кроме того, поддерживаются сбор журналов в Azure Monitor, централизованный анализ безопасности в Azure Sentinel, синхронизации времени и длительное хранение журнала.
Реагирование на инциденты (IR) Эта область охватывает аспекты управления в жизненном цикле реагирования на инциденты, к которому относятся подготовка, обнаружение и анализ, локализация и действия после инцидента. Она также включает автоматизацию процесса реагирования с помощью Microsoft Defender для облака, Sentinel и других служб Azure.
Управление состоянием безопасности и уязвимостями (PV) Управление состоянием безопасности и уязвимостями охватывает аспекты управления, касающиеся оценки и улучшения состояния безопасности в Azure, в том числе сканирование уязвимостей, тестирование и исправление уязвимостей, а также отслеживание конфигурации безопасности для ресурсов Azure, отчеты по ним и рекомендации по исправлению.
Безопасность конечных точек (ES) Безопасность конечных точек охватывает аспекты управления, касающиеся обнаружения и нейтрализация атак на конечные точки, в том числе с использованием службы "Обнаружение и нейтрализация атак на конечные точки" (EDR) и службы защиты от вредоносных программ для конечных точек в средах Azure.
Резервное копирование и восстановление (BR) Резервное копирование и восстановление охватывает аспекты управления, касающиеся обеспечения выполнения, проверки и защиты резервных копий данных и конфигураций на разных уровнях служб.
Безопасность DevOps (DS) Безопасность DevOps охватывает аспекты управления, относящиеся к технике обеспечения безопасности и соответствующим операциям во всех процедурах DevOps, включая развертывание критически важных проверок безопасности (например, статического тестирования приложений и управления уязвимостями) до этапа развертывания продукта. Сюда также входят такие общие разделы, как моделирование угроз и защита поставки ПО.
Система управления и стратегия (GS) Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.

Рекомендации Azure Security Benchmark

Каждая рекомендация содержит следующие данные:

  • ASB ID: идентификатор Azure Security Benchmark, соответствующий данной рекомендации.
  • Идентификаторы CIS Controls v8: элементы управления CIS Controls v8, соответствующие данной рекомендации.
  • Идентификаторы CIS Controls v7.1: элементы управления CIS Controls v7.1, соответствующие данной рекомендации (недоступны в Интернете по причинам форматирования).
  • Идентификаторы PCI-DSS v3.2.1: элементы управления PCI-DSS v3.2.1, соответствующие данной рекомендации.
  • Идентификаторы NIST SP 800-53 r4: элементы управления NIST SP 800-53 r4 (умеренный и высокий уровни), соответствующие данной рекомендации.
  • Принцип безопасности: рекомендации, поясняющие элемент управления ("что") безотносительно технологий.
  • Руководство для Azure: рекомендации, которые поясняют технические аспекты Azure и основы реализации ("как").
  • Реализация и дополнительный контекст: сведения о реализации и другой важный контекст со ссылками на статьи документации о предложении услуг Azure.
  • Заинтересованные лица по безопасности клиентов: специалисты по безопасности в организации клиента, которые могут быть ответственными лицами, исполнителями или консультантами по данному элементу управления. Конкретные лица в разных организациях могут быть разными в зависимости от структуры безопасности в организации, установленных ролей и обязанностей в отношении безопасности в Azure.

Примечание

Сопоставление элементов управления между ASB и отраслевыми эталонами (такими как CIS, NIST и PCI) показывает лишь то, что определенные компоненты Azure можно использовать для полного или частичного выполнения требований по управлению, определенного этими эталонами. Следует иметь в виду, что такая реализация не обязательно гарантирует полное соответствие соответствующим аспектам отраслевых эталонов.

Мы будем рады вашим отзывам и активному участию в улучшении Azure Security Benchmark. Если вы хотите сообщить что-то непосредственно команде разработчиков Azure Security Benchmark, воспользуйтесь формой на странице https://aka.ms/AzSecBenchmark.

Скачивание

Вы можете скачать результаты Azure Security Benchmark в формате электронной таблицы.

Дальнейшие действия