Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о проекте microsoft cloud security benchmark, включая основные понятия, рекомендации по реализации и терминологию, см. в руководстве по эталону безопасности облака Майкрософт.
Microsoft Cloud Security Benchmark версии 2 (предварительная версия) предоставляет расширенные рекомендации по безопасности Azure с расширенными доменами безопасности и комплексными техническими сведениями о реализации. Эта версия основана на основе эталона облачной безопасности Майкрософт с усовершенствованными элементами управления безопасностью, рекомендациями по безопасности ИИ и расширенными сопоставлениями политик Azure.
Ключевые особенности
Замечание
Microsoft Cloud Security Benchmark версии 2 в настоящее время находится в предварительной версии. Эта версия заменяет microsoft cloud security benchmark версии 1. Мы приветствуем ваши отзывы, чтобы помочь улучшить его. Для любых вопросов или комментариев пишите нам на адрес электронной почты benchmarkfeedback@microsoft.com.
Microsoft Cloud Security Benchmark версии 2 (предварительная версия) включает:
Безопасность искусственного интеллекта — новый домен безопасности с семи рекомендациями, охватывающими безопасность платформы ИИ, безопасность приложений ИИ и мониторинг безопасности искусственного интеллекта для решения угроз и рисков в развертываниях искусственного интеллекта.
Комплексные сопоставления политик Azure — более 420 встроенных определений политики Azure, которые помогают измерять и отслеживать состояние безопасности в Azure с помощью политики Azure и Defender для облака.
Руководство по рискам и угрозам. Комплексные рекомендации с подробными примерами технической реализации и подробными ссылками, которые помогут вам понять риски безопасности и угрозы, которые устраняет каждый элемент управления безопасностью, и как реализовать элементы управления безопасностью в вашей среде Azure.
Домены безопасности
| Домен безопасности | Описание |
|---|---|
| Безопасность сети (NS) | Безопасность сети охватывает элементы управления для защиты и защиты сетей, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак и защиту DNS. |
| Управление идентификацией (УИ) | Управление удостоверениями охватывает элементы управления безопасностью и доступом с помощью систем управления удостоверениями и доступом, включая использование единого входа, надежных аутентификаций, управляемых удостоверений (и субъектов-служб) для приложений, условного доступа и мониторинга аномалий учетных записей. |
| Привилегированный доступ (PA) | Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска. |
| Защита данных (DP) | Защита данных охватывает управление защитой неактивных данных, транзитом и через авторизованные механизмы доступа, включая обнаружение, классификацию, защиту и мониторинг ресурсов конфиденциальных данных с помощью управления доступом, шифрования, управления ключами и управления сертификатами. |
| Управление ресурсами (AM) | Управление ресурсами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление). |
| Ведение журнала и обнаружение угроз (LT) | Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения угроз в облаке, а также для включения, сбора и хранения журналов аудита для облачных служб. Это включает в себя обнаружение, исследование и исправление угроз с помощью элементов управления для создания высококачественных оповещений с использованием встроенного обнаружения угроз в облачных службах. Он также включает сбор журналов с помощью облачной службы мониторинга, централизованного анализа безопасности с помощью SIEM, синхронизации времени и хранения журналов. |
| Реагирование на инциденты (IR) | Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, размещение и действия после инцидента, включая использование служб Azure (например, Microsoft Defender для облака и Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты. |
| Управление состоянием и уязвимостью (PV) | Функция "Управление уязвимостями" ориентирована на средства управления для оценки и улучшения состояния облачной безопасности, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, отчеты и исправление в облачных ресурсах. |
| Безопасность конечных точек (ES) | Endpoint Security охватывает элементы управления в обнаружении и реагировании на конечных точках, включая использование средств EDR и служб защиты от вредоносных программ для конечных точек в облачных средах. |
| Резервное копирование и восстановление (BR) | Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб. |
| Безопасность DevOps (DS) | DevOps Security охватывает элементы управления, связанные с проектированием безопасности и операциями в процессах DevOps, включая развертывание критически важных проверок безопасности (таких как статическое тестирование безопасности приложений, управление уязвимостями) до этапа развертывания, чтобы обеспечить безопасность в процессе DevOps. Она также содержит распространенные темы, такие как моделирование угроз и безопасность программного обеспечения. |
| Безопасность искусственного интеллекта (ИИ) | Безопасность искусственного интеллекта охватывает элементы управления, обеспечивающие безопасную разработку, развертывание и эксплуатацию моделей и служб ИИ, включая безопасность платформы ИИ, безопасность приложений ИИ и мониторинг безопасности ИИ. |
Структура управления безопасностью в Microsoft Cloud Security Benchmark версии 2 (предварительная версия)
Каждый элемент управления безопасностью в тесте включает следующие разделы:
- Идентификатор: уникальный идентификатор для каждого элемента управления безопасностью, состоящий из аббревиации домена и номера (например, AI-1 для элемента управления искусственного интеллекта 1, DP-1 для элемента управления защиты данных 1, NS-2 для управления безопасностью сети 2). Этот идентификатор используется во всей документации для ссылки на определенные элементы управления безопасностью.
- Политика Azure. Ссылки на встроенные определения политик Azure, которые можно использовать для измерения и применения элемента управления безопасностью. Обратите внимание, что не все элементы управления безопасностью включают ссылку политики Azure, так как некоторые элементы управления безопасностью предоставляют рекомендации по сценариям или конфигурациям, которые служба автоматизации политик Azure не может применить.
- Принцип безопасности: высокоуровневое описание меры управления безопасностью на технологически независимом уровне, объясняющее "что" и "почему" этой меры.
- Риски для устранения: конкретные риски безопасности и угрозы, которые должен устранить контроль безопасности.
- MITRE ATT&CK: тактика, методы и процедуры MITRE ATT&CK, относящиеся к рискам безопасности. Узнайте больше по адресу https://attack.mitre.org/.
- Руководство по реализации. Подробное техническое руководство по Azure, организованное в нумерованных подразделах (например, NS-1.1, NS-1.2), объясняющее, как реализовать управление безопасностью с помощью функций и служб Azure.
- Пример реализации: практический сценарий реального мира, демонстрирующий реализацию элемента управления безопасностью, включая вызов, подход к решению и результат.
- Уровень критичности: указывает относительную важность меры управления безопасностью для общей безопасности. Возможные значения: "Обязательно" (необходимо для базовой безопасности), "Должно быть" (важно для повышения безопасности), или "Желательно иметь" (полезно для продвинутых сценариев безопасности).
-
Сопоставление элементов управления: сопоставления с отраслевыми стандартами и платформами безопасности, в том числе:
- NIST SP 800-53 Ред. 5: Идентификаторы средств управления безопасностью NIST SP 800-53 Ред. 5
- PCI-DSS версии 4: идентификаторы требований PCI-DSS версии 4
- Элементы управления CIS версии 8.1: идентификаторы элементов управления CIS версии 8.1
- NIST CSF версии 2.0: Рамочная Программа Кибербезопасности NIST версии 2.0 и идентификаторы функций и категорий
- ISO 27001:2022: идентификаторы управления безопасностью ISO/IEC 27001:2022
- SOC 2. Критерии служб доверия SOC 2
Сопоставления элементов управления безопасностью между MCSB и отраслевыми тестами (например, CIS, NIST, PCI, ISO и т. д.) указывают только на то, что вы можете использовать определенные функции Azure для полного или частичного решения требования к контролю безопасности, определенного в этих отраслевых тестах. Такая реализация не обязательно преобразуется в полное соответствие соответствующим элементам управления безопасностью в этих отраслевых тестах.
Мы приветствуем ваши подробные отзывы и активное участие в работе microsoft cloud security benchmark. Если вы хотите предоставить прямые входные данные, отправьте нам сообщение по benchmarkfeedback@microsoft.comэлектронной почте.
Дальнейшие шаги
- Ознакомьтесь с введением в Microsoft Cloud Security Benchmark, чтобы получить представление об общих концепциях MCSB и рекомендациях по внедрению.
- Изучение доменов безопасности, начиная с сетевой безопасности
- Сведения об основах безопасности Azure