Обзор средств управления безопасностью Azure версии 2
Тест производительности системы безопасности Azure предоставляет рекомендации и практические методики, помогающие повысить безопасность рабочих нагрузок, данных и служб в Azure.
Этот тест входит в набор рекомендаций по комплексной безопасности вместе со следующими средствами.
- Cloud Adoption Framework — рекомендации по безопасности, где описаны стратегии, роли и обязанности, лучшие 10 рекомендаций по безопасности в Azure и эталонная реализация.
- Azure Well-Architected Framework — рекомендации по защите рабочих нагрузок в Azure.
- Рекомендации Майкрософт по обеспечению безопасности — рекомендации с примерами их применения в Azure.
Решение Azure Security Benchmark ориентировано на аспекты управления, связанные с облачной платформой. Эти аспекты управления согласуются с хорошо известными рекомендациями по обеспечению безопасности, в том числе представленными Центром Интернет-безопасности (CIS) для элементов управления версии 7.1 и Национальным институтом стандартов и технологий США (NIST) SP 800-53. Azure Security Benchmark охватывает перечисленные ниже аспекты управления.
| Домены управления Azure Security Benchmark | Описание |
|---|---|
| Безопасность сети (NS) | Безопасность сети охватывает элементы управления для защиты сетей Azure, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак, а также защиту DNS. |
| Управление идентификацией (IM) | Управление удостоверениями охватывает элементы управления для создания безопасных удостоверений и управления доступом с помощью Azure Active Directory, включая использование единого входа, строго аутентификации, управляемых удостоверений (и субъектов-служб) для приложений, условный доступ и мониторинг аномалий учетных записей. |
| Привилегированный доступ (PA) | Привилегированный доступ охватывает аспекты управления, касающиеся защиты привилегированного доступа к клиенту и ресурсам Azure, включая ряд мер для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от риска умышленных и случайных вредоносных действий. |
| Защита данных (DP) | Защита данных охватывает аспекты управления, касающиеся защиты данных при хранении, при передаче и при доступе через полномочные механизмы, включая обнаружение, классификацию, защиту и мониторинг ресурсов конфиденциальных данных с использованием управление доступом, шифрования и ведения журналов в Azure. |
| Управление ресурсами (AM) | Управление активами охватывает аспекты управления, касающиеся обеспечения видимости и контроля над ресурсами Azure, включая рекомендации по разрешениям для сотрудников служб безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление). |
| Ведение журнала и обнаружение угроз (LT) | Ведение журналов и обнаружение угроз охватывает аспекты управления, касающиеся выявления угроз в Azure, а также настройки, сбора и хранения журналов аудита для служб Azure, в том числе настройки процессов обнаружения, исследования и исправления с помощью средств контроля для создания высококачественных оповещений со встроенным обнаружением угроз для служб Azure. Кроме того, поддерживаются сбор журналов в Azure Monitor, централизованный анализ безопасности в Azure Sentinel, синхронизации времени и длительное хранение журнала. |
| Реагирование на инциденты (IR) | Реагирование на инциденты охватывает аспекты управления в жизненном цикле реагирования на инциденты, к которым относятся подготовка, обнаружение и анализ, локализация и действия после инцидента, в том числе с автоматизацией процесса реагирования с помощью Центра безопасности Azure, Azure Sentinel и других служб Azure. |
| Управление состоянием безопасности и уязвимостями (PV) | Управление состоянием безопасности и уязвимостями охватывает аспекты управления, касающиеся оценки и улучшения состояния безопасности в Azure, в том числе сканирование уязвимостей, тестирование и исправление уязвимостей, а также отслеживание конфигурации безопасности для ресурсов Azure, отчеты по ним и рекомендации по исправлению. |
| Безопасность конечных точек (ES) | Безопасность конечных точек охватывает аспекты управления, касающиеся обнаружения и нейтрализация атак на конечные точки, в том числе с использованием службы "Обнаружение и нейтрализация атак на конечные точки" (EDR) и службы защиты от вредоносных программ для конечных точек в средах Azure. |
| Резервное копирование и восстановление (BR) | Резервное копирование и восстановление охватывает аспекты управления, касающиеся обеспечения выполнения, проверки и защиты резервных копий данных и конфигураций на разных уровнях служб. |
| Система управления и стратегия (GS) | Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов. |
Рекомендации Azure Security Benchmark
Каждая рекомендация содержит следующие данные:
- Идентификатор Azure: идентификатор теста производительности системы безопасности Azure, соответствующий рекомендации.
- Идентификаторы элементов управления CIS версии 7.1: элементы управления CIS версии 7.1, которые соответствуют этой рекомендации.
- Идентификаторы NIST SP 800-53 R4: средства контроля NIST SP 800-53 r4 (умеренный уровень), соответствующие этой рекомендации.
- Подробные сведения: обоснование для рекомендации и ссылки на инструкции по ее внедрению. Если рекомендация поддерживается Центром безопасности Azure, это также будет указано.
- Ответственность: кто именно (клиент, поставщик услуг или оба) отвечает за реализацию этой рекомендации. Ответственность за безопасность решений на базе общедоступного облака является совместной. Некоторые средства управления безопасностью доступны только поставщику облачных служб, и именно он отвечает за их использование. Таковы общие принципы: для отдельных служб сфера ответственности отличается от того, что заявлено в Azure Security Benchmark. Соответствующие различия описаны в разделе рекомендаций по базовым показателям для конкретных служб.
- Заинтересованные лица по безопасности клиентов.Специалисты по безопасности в организации клиента, которые могут выполнять для определенной меры роль ответственного, исполнителя или консультанта. Конкретные лица в разных организациях могут быть разными в зависимости от структуры безопасности в организации, установленных ролей и обязанностей в отношении безопасности в Azure.
Примечание
Сопоставления аспектов управления между ASB и отраслевыми тестами (например, NIST и CIS) можно использовать лишь для понимания того, что конкретная возможность Azure потенциально позволяет полностью или частично удовлетворить требования к управлению, определенные в NIST или CIS. Следует иметь в виду, что такая реализация не обязательно гарантирует полное соответствие определенному аспекту управления в CIS или NIST.
Мы будем рады вашим отзывам и активному участию в улучшении Azure Security Benchmark. Если вы хотите сообщить что-то непосредственно команде разработчиков Azure Security Benchmark, воспользуйтесь формой на странице https://aka.ms/AzSecBenchmark.
Скачивание
Вы можете скачать результаты Azure Security Benchmark в формате электронной таблицы.
Дальнейшие действия
- Ознакомьтесь с первым аспектом: сетевой безопасностью.
- Ознакомьтесь с вводными сведениями об Azure Security Benchmark.
- Изучите основы обеспечения безопасности в Azure.