Общие сведения о microsoft cloud security benchmark (версия 1)
Платформа "Управление безопасностью в облаке Майкрософт" (MCSB) предоставляет рекомендации и практические методики, помогающие повысить безопасность рабочих нагрузок, данных и служб в Azure или многооблачной среде. В этом тесте производительности основное внимание уделяется областям управления, ориентированным на облако, с помощью набора комплексных рекомендаций майкрософт и отраслевых рекомендаций по безопасности, которые включают в себя:
- Cloud Adoption Framework: руководство по безопасности, включая стратегию, роли и обязанности, 10 лучших рекомендаций по безопасности Azure и эталонную реализацию.
- Azure Well-Architected Framework — рекомендации по защите рабочих нагрузок в Azure.
- Семинар главного специалиста по информационной безопасности (CISO):руководство по программе и справочные стратегии для ускорения модернизации безопасности с использованием принципов "Никому не доверяй".
- Другие отраслевые и облачные стандарты безопасности и платформа для поставщиков облачных услуг. Примеры: Amazon Web Services (AWS) Well-Architected Framework, Центр управления интернет-безопасности (CIS), Национальный институт стандартов и технологий (NIST) и стандарт безопасности данных индустрии платежных карт (PCI-DSS).
Новые возможности microsoft cloud security benchmark версии 1
Примечание
Microsoft Cloud Security Benchmark является преемником Azure Security Benchmark (ASB), который был переименован в октябре 2022 г.
Поддержка Google Cloud Platform в MCSB теперь доступна в качестве предварительной версии функции как в руководстве по производительности MCSB, так и в Microsoft Defender для облака.
Ниже приведены новые возможности microsoft cloud security benchmark версии 1.
Комплексная платформа безопасности в нескольких облаках. Организациям часто приходится создавать внутренние стандарты безопасности для согласования средств управления безопасностью на нескольких облачных платформах в соответствии с требованиями к безопасности и соответствию на каждой из них. Для этого часто требуется, чтобы команды безопасности повторяли одну и ту же реализацию, мониторинг и оценку в разных облачных средах (часто для разных стандартов соответствия). Это создает ненужные издержки, затраты и усилия. Чтобы решить эту проблему, мы улучшили ASB до MCSB, чтобы помочь вам быстро работать с различными облаками:
- Предоставление единой платформы управления для легкого соответствия элементам управления безопасностью в облаках
- Обеспечение согласованного взаимодействия с пользователем для мониторинга и применения теста производительности безопасности в нескольких облаках в Defender для облака
- Соответствие отраслевым стандартам (например, CIS, NIST, PCI)
Автоматизированный мониторинг управления для AWS в Microsoft Defender для облака. Вы можете использовать панель мониторинга соответствия нормативным требованиям Microsoft Defender для облака для мониторинга среды AWS на основе MCSB так же, как и мониторинг среды Azure. Мы разработали около 180 проверок AWS для новых рекомендаций по безопасности AWS в MCSB, что позволяет отслеживать среду и ресурсы AWS в Microsoft Defender для облака.
Обновление существующих рекомендаций и принципов безопасности Azure. Во время этого обновления мы также обновили некоторые из существующих рекомендаций по безопасности и принципов безопасности Azure, чтобы вы могли оставаться в курсе последних функций и возможностей Azure.
Элементы управления
| Домены управления | Описание |
|---|---|
| Безопасность сети (NS) | Безопасность сети охватывает средства защиты и защиты сетей, включая защиту виртуальных сетей, установление частных подключений, предотвращение и устранение внешних атак, а также защиту DNS. |
| Управление идентификацией (IM) | Управление удостоверениями охватывает элементы управления для создания безопасных удостоверений и управления доступом с помощью систем управления удостоверениями и доступом, включая использование единого входа, строгой проверки подлинности, управляемых удостоверений (и субъектов-служб) для приложений, условного доступа и мониторинга аномалий учетных записей. |
| Привилегированный доступ (PA) | Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций с привилегированным доступом от преднамеренных и непреднамеренных рисков. |
| Защита данных (DP) | Защита данных охватывает управление защитой неактивных, передаваемых и авторизованных механизмов доступа, включая обнаружение, классификацию, защиту и мониторинг конфиденциальных данных с помощью управления доступом, шифрования, управления ключами и управления сертификатами. |
| Управление ресурсами (AM) | Управление активами охватывает элементы управления, обеспечивающие видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для сотрудников службы безопасности, доступ к инвентаризации активов и управление утверждениями служб и ресурсов (инвентаризация, отслеживание и исправление). |
| Ведение журнала и обнаружение угроз (LT) | Ведение журнала и обнаружение угроз охватывает элементы управления для обнаружения угроз в облаке, а также включение, сбор и хранение журналов аудита для облачных служб, включая включение процессов обнаружения, исследования и исправления с элементами управления для создания высококачественных оповещений с помощью собственных средств обнаружения угроз в облачных службах; она также включает сбор журналов с помощью облачной службы мониторинга, централизацию анализа безопасности с помощью SIEM, синхронизацию времени и хранение журналов. |
| Реагирование на инциденты (IR) | Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовку, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure (таких как Microsoft Defender для облака и Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты. |
| Управление состоянием безопасности и уязвимостями (PV) | Управление состоянием и уязвимостями фокусируется на элементах управления для оценки и улучшения состояния безопасности в облаке, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, создание отчетов и исправление в облачных ресурсах. |
| Безопасность конечных точек (ES) | Endpoint Security охватывает элементы управления в области обнаружения и реагирования на конечные точки, включая использование обнаружения и реагирования на конечные точки (EDR) и службы защиты от вредоносных программ для конечных точек в облачных средах. |
| Резервное копирование и восстановление (BR) | Резервное копирование и восстановление охватывает аспекты управления, касающиеся обеспечения выполнения, проверки и защиты резервных копий данных и конфигураций на разных уровнях служб. |
| Безопасность DevOps (DS) | Безопасность DevOps охватывает аспекты управления, относящиеся к технике обеспечения безопасности и соответствующим операциям во всех процедурах DevOps, включая развертывание критически важных проверок безопасности (например, статического тестирования приложений и управления уязвимостями) до этапа развертывания продукта. Сюда также входят такие общие разделы, как моделирование угроз и защита поставки ПО. |
| Система управления и стратегия (GS) | Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов. |
Рекомендации по производительности облачной безопасности Майкрософт
Каждая рекомендация содержит следующие данные:
- Идентификатор: идентификатор теста производительности, соответствующий рекомендации.
- Идентификаторы CIS Controls v8: элементы управления CIS Controls v8, соответствующие данной рекомендации.
- Идентификаторы CIS Controls v7.1: элементы управления CIS Controls v7.1, соответствующие данной рекомендации (недоступны в Интернете по причинам форматирования).
- Идентификаторы PCI-DSS v3.2.1: элементы управления PCI-DSS v3.2.1, соответствующие данной рекомендации.
- NIST SP 800-53 r4 ID (идентификаторы) NIST SP 800-53 r4 (средний и высокий) соответствуют этой рекомендации.
- Принцип безопасности: рекомендации, поясняющие элемент управления ("что") безотносительно технологий.
- Руководство для Azure: рекомендации, которые поясняют технические аспекты Azure и основы реализации ("как").
- Руководство по AWS. В этой рекомендации основное внимание уделяется описанию технических возможностей AWS и основам реализации.
- Реализация и дополнительный контекст. Сведения о реализации и другой соответствующий контекст, который ссылается на статьи документации по предложениям служб Azure и AWS.
- Заинтересованные лица по безопасности клиентов: специалисты по безопасности в организации клиента, которые могут быть ответственными лицами, исполнителями или консультантами по данному элементу управления. Конкретные лица в разных организациях могут быть разными в зависимости от структуры безопасности в организации, установленных ролей и обязанностей в отношении безопасности в Azure.
Сопоставления элементов управления между MCSB и отраслевыми тестами производительности (например, CIS, NIST и PCI) указывают только на то, что определенные функции Azure можно использовать для полного или частичного удовлетворения требований к управлению, определенных в этих отраслевых тестах производительности. Следует иметь в виду, что такая реализация не обязательно гарантирует полное соответствие соответствующим аспектам отраслевых эталонов.
Мы приветствуем ваши подробные отзывы и активное участие в работе microsoft cloud security benchmark. Если вы хотите предоставить прямые входные данные, напишите нам по адресу benchmarkfeedback@microsoft.com.
Скачать
Вы можете скачать тестовую и базовую автономную копию в формате электронной таблицы.
Дальнейшие действия
- Ознакомьтесь с первым аспектом: сетевой безопасностью.
- Ознакомьтесь с общими сведениями о производительности облачной безопасности Майкрософт.
- Изучите основы обеспечения безопасности в Azure.