Introduktion till Microsoft Cloud Security Benchmark
Anteckning
Microsoft Cloud Security Benchmark är efterföljare till Azure Security Benchmark (ASB), som bytte namn i oktober 2022.
Nya tjänster och funktioner släpps dagligen på Plattformar för Azure- och molntjänstleverantörer, utvecklare publicerar snabbt nya molnprogram som bygger på dessa tjänster och angripare söker ständigt nya sätt att utnyttja felkonfigurerade resurser. Molnet rör sig snabbt, utvecklare rör sig snabbt och angripare rör sig också snabbt. Hur håller du dig uppdaterad och ser till att dina molndistributioner är säkra? Hur skiljer sig säkerhetsmetoderna för molnsystem från lokala system och skiljer sig mellan molntjänstleverantörer? Hur övervakar du din arbetsbelastning för konsekvens på flera molnplattformar?
Microsoft har upptäckt att användning av säkerhetsmått kan hjälpa dig att snabbt skydda molndistributioner. Ett omfattande ramverk för bästa praxis för säkerhet från molntjänstleverantörer kan ge dig en startpunkt för att välja specifika säkerhetskonfigurationsinställningar i din molnmiljö, för flera tjänstleverantörer och gör att du kan övervaka dessa konfigurationer med hjälp av en enda fönsterruta.
Microsoft Cloud Security Benchmark (MCSB) innehåller en samling säkerhetsrekommendationer med hög påverkan som du kan använda för att skydda dina molntjänster i en enda miljö eller i en miljö med flera moln. MCSB-rekommendationer innehåller två viktiga aspekter:
- Säkerhetskontroller: De här rekommendationerna gäller vanligtvis för dina molnarbetsbelastningar. Varje rekommendation identifierar en lista över intressenter som vanligtvis deltar i planering, godkännande eller implementering av riktmärket.
- Tjänstbaslinjer: Dessa tillämpar kontrollerna på enskilda molntjänster för att ge rekommendationer om den specifika tjänstens säkerhetskonfiguration. Vi har för närvarande endast tjänstbaslinjer tillgängliga för Azure.
Implementera Microsoft Cloud Security Benchmark
- Planera DIN MCSB-implementering genom att läsa dokumentationen för företagskontroller och tjänstspecifika baslinjer för att planera ditt kontrollramverk och hur det mappar till vägledning som Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) och Ramverket Payment Card Industry Data Security Standard (PCI-DSS).
- Övervaka din kompatibilitet med MCSB-status (och andra kontrolluppsättningar) med hjälp av instrumentpanelen Microsoft Defender för moln – regelefterlevnad för din miljö med flera moln. .
- Upprätta skyddsmekanismer för att automatisera säkra konfigurationer och framtvinga efterlevnad med MCSB (och andra krav i din organisation) med hjälp av funktioner som Azure Blueprints, Azure Policy eller motsvarande tekniker från andra molnplattformar.
Vanliga användningsfall
Microsofts prestandamått för molnsäkerhet kan ofta användas för att hantera vanliga utmaningar för kunder eller tjänstpartner som är:
- Ny i Azure (och andra större molnplattformar, till exempel AWS) och letar efter rekommenderade säkerhetsmetoder för att säkerställa en säker distribution av molntjänster och din egen programarbetsbelastning.
- Vill förbättra säkerhetsstatusen för befintliga molndistributioner för att prioritera de främsta riskerna och riskreduceringarna.
- Att använda miljöer med flera moln (till exempel Azure och AWS) och möta utmaningar när det gäller att justera övervakning och utvärdering av säkerhetskontroll med hjälp av en enda fönsterruta.
- Utvärdera säkerhetsfunktionerna i Azure (och andra större molnplattformar, till exempel AWS) innan du registrerar/godkänner en eller flera tjänster i molntjänstkatalogen.
- Uppfylla efterlevnadskrav i strikt reglerade branscher, till exempel myndigheter, finanser och hälso- och sjukvård. Dessa kunder måste se till att deras tjänstkonfigurationer i Azure och andra moln uppfyller säkerhetsspecifikationen som definieras i ramverket, till exempel CIS, NIST eller PCI. MCSB tillhandahåller en effektiv metod med de kontroller som redan är förmappade till dessa branschmått.
Terminologi
Termerna "kontroll" och "baslinje" används ofta i Microsofts benchmark-dokumentation för molnsäkerhet. Det är viktigt att förstå hur MCSB använder dessa termer.
| Period | Beskrivning | Exempel |
|---|---|---|
| Kontroll | En kontroll är en övergripande beskrivning av en funktion eller aktivitet som behöver åtgärdas och som inte är specifik för en teknik eller implementering. | Dataskydd är en av säkerhetskontrollfamiljerna. Dataskyddet innehåller specifika åtgärder som måste åtgärdas för att säkerställa att data skyddas. |
| Baslinje | En baslinje är implementeringen av kontrollen för de enskilda Azure-tjänsterna. Varje organisation dikterar en benchmark-rekommendation och motsvarande konfigurationer behövs i Azure. Obs! I dag har vi endast tjänstbaslinjer tillgängliga för Azure. | Contoso-företaget vill aktivera Azure SQL säkerhetsfunktioner genom att följa konfigurationen som rekommenderas i Azure SQL säkerhetsbaslinje. |
Vi välkomnar din feedback om Microsofts benchmark för molnsäkerhet! Vi rekommenderar att du ger kommentarer i feedbackområdet nedan. Om du föredrar att dela dina indata mer privat med Microsofts molnsäkerhetsteam kan du skicka ett e-postmeddelande till oss på benchmarkfeedback@microsoft.com.