Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Azure Security Benchmark (ASB) предоставляет предписывающие лучшие практики и рекомендации по повышению безопасности нагрузок, данных и служб в Azure. Этот тест является частью набора комплексных рекомендаций по безопасности, которые также включают в себя:
- Cloud Adoption Framework: руководство по безопасности, включая стратегию, роли и обязанности, рекомендации по безопасности Azure Top 10 и эталонную реализацию.
- Azure Well-Architected Framework: руководство по защите рабочих нагрузок в Azure.
- Рекомендации по безопасности Майкрософт: рекомендации с примерами в Azure.
- Эталонные архитектуры Microsoft Cybersecurity (MCRA): визуальные схемы и рекомендации по компонентам безопасности и связям
Azure Security Benchmark фокусируется на областях управления, ориентированных на облако. Контролы согласованы с хорошо известными бенчмарками безопасности, такими как описанные Центром интернет-безопасности (CIS), Национальным институтом стандартов и технологий (NIST), а также стандартом безопасности данных индустрии платежных карт (PCI-DSS).
Новые возможности ASB версии 3
Вот что нового в Azure Security Benchmark версии 3:
- В дополнение к существующим сопоставлениям с управлениями CIS версии 7.1 и NIST SP800-53 ред4 добавляются сопоставления с отраслевыми платформами PCI-DSS версии 3.2.1 и управлениями CIS версии 8.
- Уточнение руководства по управлению для более детализированного и практического применения, например, руководство по безопасности теперь разделено на две отдельные части, принцип безопасности и руководство Azure. Принцип безопасности — это "что", объясняющий контроль на уровне, не зависящем от конкретных технологий; Руководство по Azure посвящено тому, "как", чтобы рассказать о соответствующих технических функциях и способах реализации контролей в Azure.
- Добавление новых элементов управления, например DevOps Security в качестве нового семейства элементов управления, которое также включает такие темы, как моделирование угроз и безопасность цепочки поставок программного обеспечения. Управление ключами и сертификатами было введено для рекомендаций по лучшим практикам управления ключами и сертификатами в Azure.
Элементы управления
Следующие элементы управления включены в Azure Security Benchmark версии 3:
| Домены элементов управления ASB | Описание |
|---|---|
| Безопасность сети (NS) | Сетевая безопасность охватывает элементы управления для защиты и защиты сетей Azure, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак и защиту DNS. |
| Управление идентификацией (УИ) | Управление удостоверениями охватывает меры контроля для установления защищенного удостоверения и контроля доступа с помощью Azure Active Directory, включая использование единого входа, многофакторных аутентификаций, управляемых удостоверений (и сервисных сущностей) для приложений, условного доступа и мониторинга аномалий учетных записей. |
| Привилегированный доступ (PA) | Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам Azure, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска. |
| Защита данных (DP) | Защита данных охватывает контроль безопасности данных в состоянии покоя, в процессе передачи и через авторизованные механизмы доступа, включая защиту, обнаружение, классификацию и мониторинг активов конфиденциальных данных с помощью управления доступом, шифрования и управления ключами и сертификатами в Azure. |
| Управление ресурсами (AM) | Управление активами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами Azure, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление). |
| Ведение журнала и обнаружение угроз (LT) | Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения угроз в Azure и включения, сбора и хранения журналов аудита для служб Azure, включая включение процессов обнаружения, исследования и исправления с помощью средств управления для создания высококачественных оповещений с помощью машинного обнаружения угроз в службах Azure; он также включает сбор журналов с помощью Azure Monitor, централизованного анализа безопасности с помощью Azure Sentinel, синхронизации времени и хранения журналов. |
| Реагирование на инциденты (IR) | Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure, таких как Microsoft Defender для облака и Sentinel для автоматизации процесса реагирования на инциденты. |
| Управление состоянием и уязвимостью (PV) | Управление положением безопасности и уязвимостями сосредоточено на элементах управления для оценки и улучшения безопасности Azure, включая сканирование на уязвимости, тестирование на проникновение и коррекцию, а также отслеживание, отчетность и коррекцию конфигурации безопасности в ресурсах Azure. |
| Безопасность конечных точек (ES) | Безопасность конечных точек охватывает элементы управления в области обнаружения и реагирования на конечные точки, включая использование обнаружения конечных точек и реагирования (EDR) и службы защиты от вредоносных программ для конечных точек в средах Azure. |
| Резервное копирование и восстановление (BR) | Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб. |
| Безопасность DevOps (DS) | DevOps Security охватывает элементы управления, связанные с проектированием безопасности и операциями в процессах DevOps, включая развертывание критически важных проверок безопасности (таких как статическое тестирование безопасности приложений, управление уязвимостями) до этапа развертывания, чтобы обеспечить безопасность в процессе DevOps; она также содержит общие темы, такие как моделирование угроз и безопасность поставок программного обеспечения. |
| Управление и стратегия (GS) | Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов. |
Рекомендации по тесту безопасности Azure
Каждая рекомендация содержит следующие данные:
- Идентификатор ASB: идентификатор Теста безопасности Azure, соответствующий рекомендации.
- Идентификаторы элементов управления CIS версии 8: Элементы управления CIS версии 8, соответствующие рекомендациям.
- Элементы управления CIS версии 7.1: элементы управления CIS версии 7.1, которые соответствуют рекомендации (не доступны в Интернете по причине форматирования).
- PCI-DSS идентификатор(-ы) версии 3.2.1: контролей PCI-DSS версии 3.2.1, соответствующих рекомендации.
- ID(ы) NIST SP 800-53 r4: Контроли NIST SP 800-53 r4 (умеренный и высокий), соответствующие этой рекомендации.
- Принцип безопасности: рекомендация сосредоточена на сути вопроса, объясняя контроль на уровне, независимом от конкретной технологии.
- Руководство по Azure. Рекомендация посвящена "как", объясняя технические функции и основы реализации Azure.
- Контекст реализации и добавления: Детали реализации и другой соответствующий контекст, которые ссылаются на статьи документации предложения службы Azure.
- Заинтересованные лица по безопасности клиентов: функции безопасности в организации клиента, которые могут быть подотчетными, ответственными или консультированы по соответствующему контролю. Это может отличаться от организации к организации в зависимости от структуры организации безопасности вашей компании, а также ролей и обязанностей, связанных с безопасностью Azure.
Замечание
Сопоставления элементов управления между ASB и отраслевыми бенчмарками (например, CIS, NIST и PCI) указывают, что определенные функции Azure можно использовать для полного или частичного выполнения требования контроля безопасности, определенного в этих отраслевых бенчмарках. Следует учитывать, что такая реализация не обязательно преобразуется в полное соответствие соответствующих контрольных показателей в этих отраслевых тестах.
Мы приветствуем подробные отзывы и активное участие в усилиях Azure Security Benchmark. Если вы хотите предоставить команде Azure Security Benchmark прямые входные данные, заполните форму по адресу https://aka.ms/AzSecBenchmark
Загрузка
Вы можете скачать Azure Security Benchmark в формате электронной таблицы.
Дальнейшие шаги
- См. первый элемент управления безопасностью: безопасность сети
- Ознакомьтесь с введением в Azure Security Benchmark
- Сведения об основах безопасности Azure