Översikt över Microsoft Cloud Security Benchmark (v1)
Microsoft Cloud Security Benchmark (MCSB) innehåller normativa metodtips och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure och din miljö med flera moln. Det här riktmärket fokuserar på molncentrerade kontrollområden med indata från en uppsättning holistiska säkerhetsriktlinjer från Microsoft och branschen som omfattar:
- Cloud Adoption Framework: Vägledning om säkerhet, inklusive strategi, roller och ansvarsområden, Azure Top 10 Security Best Practices och referensimplementering.
- Azure Well-Architected Framework: Vägledning för att skydda dina arbetsbelastningar i Azure.
- CISO-workshopen (Chief Information Security Officer):Programvägledning och referensstrategier för att påskynda säkerhetsmoderniseringen med hjälp av Nolltillit principer.
- Andra standarder och ramverk för säkerhet för bransch- och molntjänster: Exempel är Amazon Web Services (AWS) Well-Architected Framework, CIS-kontroller (Center for Internet Security), National Institute of Standards and Technology (NIST) och Payment Card Industry Data Security Standard (PCI-DSS).
Nyheter i Microsoft Cloud Security Benchmark v1
Anteckning
Microsoft cloud security benchmark är efterföljare till Azure Security Benchmark (ASB), som omprofilerades i oktober 2022.
Google Cloud Platform-stöd i MCSB är nu tillgängligt som en förhandsversionsfunktion både i MCSB benchmark-vägledning och Microsoft Defender för molnet.
Här är vad som är nytt i Microsoft Cloud Security Benchmark v1:
Omfattande säkerhetsramverk för flera moln: Organisationer måste ofta skapa en intern säkerhetsstandard för att stämma av säkerhetskontroller på flera molnplattformar för att uppfylla säkerhets- och efterlevnadskraven för var och en av dem. Detta kräver ofta att säkerhetsteam upprepar samma implementering, övervakning och utvärdering i olika molnmiljöer (ofta för olika efterlevnadsstandarder). Detta skapar onödiga omkostnader, kostnader och arbete. För att åtgärda problemet har vi förbättrat ASB till MCSB så att du snabbt kan arbeta med olika moln genom att:
- Tillhandahålla ett enda kontrollramverk för att enkelt uppfylla säkerhetskontrollerna i moln
- Ge konsekvent användarupplevelse för övervakning och framtvingande av säkerhetsriktmärket för flera moln i Defender för molnet
- Hålla dig i linje med branschstandarder (t.ex. CIS, NIST, PCI)
Automatiserad kontrollövervakning för AWS i Microsoft Defender för molnet: Du kan använda Microsoft Defender för cloud regulatory compliance dashboard för att övervaka din AWS-miljö mot MCSB precis som du övervakar din Azure-miljö. Vi har utvecklat cirka 180 AWS-kontroller för den nya AWS-säkerhetsvägledningen i MCSB, så att du kan övervaka din AWS-miljö och dina resurser i Microsoft Defender för molnet.
En uppdatering av de befintliga azure-riktlinjerna och säkerhetsprinciperna: Vi uppdaterade även några av de befintliga säkerhetsriktlinjerna och säkerhetsprinciperna för Azure under den här uppdateringen så att du kan hålla dig uppdaterad med de senaste Funktionerna och funktionerna i Azure.
Kontroller
Kontrollera domäner | Description |
---|---|
Nätverkssäkerhet (NS) | Nätverkssäkerhet omfattar kontroller för att skydda och skydda nätverk, inklusive att skydda virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS. |
Identitetshantering (IM) | Identitetshantering omfattar kontroller för att upprätta säkra identitets- och åtkomstkontroller med hjälp av identitets- och åtkomsthanteringssystem, inklusive användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstens huvudnamn) för program, villkorlig åtkomst och övervakning av kontoavvikelser. |
Privilegierad åtkomst (PA) | Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till din klientorganisation och resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktliga och oavsiktliga risker. |
Dataskydd (DP) | Dataskydd omfattar kontroll av vilande dataskydd, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckelhantering och certifikathantering. |
Tillgångshantering (AM) | Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över dina resurser, inklusive rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt). |
Loggning och hotidentifiering (LT) | Loggning och hotidentifiering omfattar kontroller för att identifiera hot i molnet och aktivera, samla in och lagra granskningsloggar för molntjänster, inklusive aktivering av identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera högkvalitativa aviseringar med inbyggd hotidentifiering i molntjänster. Den omfattar även insamling av loggar med en molnövervakningstjänst, centralisering av säkerhetsanalys med SIEM, tidssynkronisering och loggkvarhållning. |
Incidenthantering (IR) | Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster (till exempel Microsoft Defender för molnet och Sentinel) och/eller andra molntjänster för att automatisera incidenthanteringsprocessen. |
Hållnings- och sårbarhetshantering (PV) | Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra molnsäkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i molnresurser. |
Endpoint Security (ES) | Slutpunktssäkerhet omfattar kontroller i slutpunktsidentifiering och svar, inklusive användning av slutpunktsidentifiering och svar (EDR) och tjänst för skydd mot skadlig kod för slutpunkter i molnmiljöer. |
Säkerhetskopiering och återställning (BR) | Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data och konfigurationssäkerhetskopior på olika tjänstnivåer utförs, valideras och skyddas. |
DevOps Security (DS) | DevOps Security omfattar de kontroller som rör säkerhetsteknik och åtgärder i DevOps-processerna, inklusive distribution av kritiska säkerhetskontroller (till exempel statisk programsäkerhetstestning, sårbarhetshantering) före distributionsfasen för att säkerställa säkerheten under hela DevOps-processen. Den innehåller även vanliga ämnen som hotmodellering och säkerhet för programvaruförsörjning. |
Styrning och strategi (GS) | Styrning och strategi ger vägledning för att säkerställa en sammanhängande säkerhetsstrategi och dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder. |
Rekommendationer i Microsoft cloud security benchmark
Varje rekommendation innehåller följande information:
- ID: Det benchmark-ID som motsvarar rekommendationen.
- CIS Controls v8 ID(s): CIS Controls v8-kontroller som motsvarar rekommendationen.
- CIS Controls v7.1 ID(s): CIS Controls v7.1-kontroller som motsvarar rekommendationen (inte tillgänglig på webben på grund av formateringsorsaken).
- PCI-DSS v3.2.1 ID(s): PCI-DSS v3.2.1-kontrollerna som motsvarar rekommendationen.
- NIST SP 800-53 r4 ID(er): NIST SP 800-53 r4 -kontrollerna (måttliga och höga) motsvarar denna rekommendation.
- Säkerhetsprincip: Rekommendationen fokuserade på "vad", som förklarar kontrollen på teknikagnostisk nivå.
- Azure-vägledning: Rekommendationen fokuserar på "hur", som förklarar de tekniska funktionerna i Azure och implementeringsgrunderna.
- AWS-vägledning: Rekommendationen fokuserade på "hur", som förklarar grunderna för AWS-tekniska funktioner och implementering.
- Implementering och ytterligare kontext: Implementeringsinformation och annan relevant kontext som länkar till dokumentationsartiklarna om Azure- och AWS-tjänstens erbjudande.
- Intressenter för kundsäkerhet: Säkerhetsfunktionerna i kundorganisationen som kan vara ansvariga, ansvariga eller konsulterade för respektive kontroll. Det kan skilja sig från organisation till organisation beroende på företagets säkerhetsorganisationsstruktur och de roller och ansvarsområden som du har konfigurerat för Azure-säkerhet.
Kontrollmappningarna mellan MCSB och branschmått (till exempel CIS, NIST och PCI) indikerar bara att en eller flera specifika Azure-funktioner kan användas för att helt eller delvis hantera ett kontrollkrav som definieras i dessa branschmått. Du bör vara medveten om att en sådan implementering inte nödvändigtvis innebär fullständig efterlevnad av motsvarande kontroller i dessa branschmått.
Vi välkomnar din detaljerade feedback och ditt aktiva deltagande i Microsofts benchmark-arbete för molnsäkerhet. Om du vill ange direkta indata kan du skicka ett e-postmeddelande till oss på benchmarkfeedback@microsoft.com.
Ladda ned
Du kan ladda ned benchmark- och baslinjekopian offline i kalkylbladsformat.
Nästa steg
- Se den första säkerhetskontrollen: Nätverkssäkerhet
- Läs introduktionen av Microsofts benchmark för molnsäkerhet
- Lär dig grunderna om Azure-säkerhet