Översikt över Azure-säkerhetskontroller (v2)

Azure Security Benchmark (ASB) ger normativa metodtips och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure.

Det här riktmärket är en del av en uppsättning holistiska säkerhetsriktlinjer som även omfattar:

Azure Security Benchmark fokuserar på molncentrerade kontrollområden. Dessa kontroller är konsekventa med välkända säkerhetsmått, till exempel de som beskrivs av Center for Internet Security (CIS) Controls Version 7.1 och National Institute of Standards and Technology (NIST) SP 800-53. Följande kontroller ingår i Azure Security Benchmark:

ASB-kontrolldomäner Beskrivning
Nätverkssäkerhet (NS) Nätverkssäkerhet omfattar kontroller för att skydda Azure-nätverk, inklusive skydd av virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS.
Identitetshantering (IM) Identitetshantering omfattar kontroller för att upprätta säkra identitets- och åtkomstkontroller med hjälp av Azure Active Directory, inklusive användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstprinciper) för program, villkorlig åtkomst och kontoavvikelser.
Privilegierad åtkomst (PA) Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till din Azure-klientorganisation och resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och arbetsstationer med privilegierad åtkomst mot avsiktlig och oavsiktlig risk.
Dataskydd (DP) Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering och loggning i Azure.
Tillgångshantering (AM) Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över Azure-resurser, inklusive rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt).
Loggning och hotidentifiering (LT) Loggning och hotidentifiering omfattar kontroller för att identifiera hot i Azure och aktivera, samla in och lagra granskningsloggar för Azure-tjänster, inklusive aktivera identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera aviseringar av hög kvalitet med inbyggd hotidentifiering i Azure-tjänster. Den omfattar även insamling av loggar med Azure Monitor, centralisering av säkerhetsanalys med Azure Sentinel, tidssynkronisering och loggkvarhållning.
Incidenthantering (IR) Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster som Azure Security Center och Sentinel för att automatisera incidenthanteringsprocessen.
Status- och sårbarhetshantering (PV) Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra Azures säkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i Azure-resurser.
Slutpunktssäkerhet (ES) Endpoint Security omfattar kontroller i slutpunktsidentifiering och svar, inklusive användning av slutpunktsidentifiering och svar (EDR) och tjänsten för skydd mot skadlig kod för slutpunkter i Azure-miljöer.
Säkerhetskopiering och återställning (BR) Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data och konfigurationssäkerhetskopior på olika tjänstnivåer utförs, verifieras och skyddas.
Styrning och strategi (GS) Styrning och strategi ger vägledning för att säkerställa en sammanhängande säkerhetsstrategi och dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder.

Benchmark-rekommendationer för Azure-säkerhet

Varje rekommendation innehåller följande information:

  • Azure-ID: Det Benchmark-ID för Azure Security som motsvarar rekommendationen.
  • CIS Controls v7.1 ID(s): CIS Controls v7.1-kontroller som motsvarar den här rekommendationen.
  • NIST SP 800-53 r4 ID:n: NIST SP 800-53 r4(måttliga) kontroller som motsvarar den här rekommendationen.
  • Information: Anledningen till rekommendationen och länkar till vägledning om hur du implementerar den. Om rekommendationen stöds av Azure Security Center visas även den informationen.
  • Ansvar: Oavsett om kunden, tjänsteleverantören eller båda ansvarar för att implementera den här rekommendationen. Säkerhetsansvar delas i det offentliga molnet. Vissa säkerhetskontroller är endast tillgängliga för molntjänstleverantören och därför ansvarar leverantören för att hantera dessa. Det här är allmänna observationer – för vissa enskilda tjänster kommer ansvaret att skilja sig från det som anges i Azure Security Benchmark. Dessa skillnader beskrivs i baslinjerekommendationerna för den enskilda tjänsten.
  • Intressenter för kundsäkerhet: Säkerhetsfunktionerna i kundorganisationen som kan vara ansvariga, ansvariga eller konsulterade för respektive kontroll. Det kan skilja sig från organisation till organisation beroende på företagets säkerhetsorganisationsstruktur och de roller och ansvarsområden som du har konfigurerat för Azure-säkerhet.

Anteckning

Kontrollmappningarna mellan ASB och branschmått (till exempel NIST och CIS) anger bara att en specifik Azure-funktion kan användas för att helt eller delvis hantera ett kontrollkrav som definierats i NIST eller CIS. Du bör vara medveten om att en sådan implementering inte nödvändigtvis innebär fullständig efterlevnad av motsvarande kontroll i CIS eller NIST.

Vi välkomnar din detaljerade feedback och ditt aktiva deltagande i Arbetet med Azure Security Benchmark. Om du vill tillhandahålla direktindata från Azure Security Benchmark-teamet fyller du i formuläret på https://aka.ms/AzSecBenchmark

Ladda ned

Du kan ladda ned Azure Security Benchmark i kalkylbladsformat.

Nästa steg