Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Cloud Security Benchmark (MCSB) innehåller normativa metodtips och rekommendationer för att förbättra säkerheten för arbetsbelastningar, data och tjänster i Azure och din miljö med flera moln. Det här riktmärket fokuserar på molncentrerade kontrollområden med indata från en uppsättning holistiska säkerhetsriktlinjer för Microsoft och branschen som omfattar:
- Cloud Adoption Framework: Vägledning om säkerhet, inklusive strategi, roller och ansvarsområden, Azure Top 10 Security Best Practices och referensimplementering.
- Azure Well-Architected Framework: Vägledning för att skydda dina arbetsbelastningar i Azure.
- CISO-workshopen (Chief Information Security Officer):Programvägledning och referensstrategier för att påskynda säkerhetsmoderniseringen med hjälp av Zero Trust-principer.
- Andra standarder och ramverk för säkerhet för bransch- och molntjänstleverantörer: Exempel är Amazon Web Services (AWS) Well-Architected Framework, CIS-kontroller (Center for Internet Security), National Institute of Standards and Technology (NIST) och Payment Card Industry Data Security Standard (PCI-DSS).
Nyheter i Microsoft Cloud Security Benchmark v1
Anmärkning
Microsoft Cloud Security Benchmark är efterföljare till Azure Security Benchmark (ASB), som bytte namn i oktober 2022.
Google Cloud Platform-stöd i MCSB är nu tillgängligt som en förhandsversionsfunktion både i MCSB benchmark guidance och Microsoft Defender for Cloud.
Här är vad som är nytt i Microsoft Cloud Security Benchmark v1:
Omfattande säkerhetsramverk för flera moln: Organisationer måste ofta skapa en intern säkerhetsstandard för att stämma av säkerhetskontroller på flera molnplattformar för att uppfylla säkerhets- och efterlevnadskraven för var och en av dem. Detta kräver ofta att säkerhetsteam upprepar samma implementering, övervakning och utvärdering i de olika molnmiljöerna (ofta för olika efterlevnadsstandarder). Detta skapar onödiga omkostnader, kostnader och arbete. För att åtgärda problemet har vi förbättrat ASB till MCSB för att hjälpa dig att snabbt arbeta med olika moln genom att:
- Tillhandahålla ett enda kontrollramverk för att enkelt uppfylla säkerhetskontrollerna i moln
- Ge konsekvent användarupplevelse för övervakning och framtvingande av säkerhetsriktmärket för flera moln i Defender för molnet
- Håll dig i linje med branschstandarder (t.ex. CIS, NIST, PCI)
Automatiserad kontrollövervakning för AWS i Microsoft Defender för molnet: Du kan använda Instrumentpanel för regelefterlevnad i Microsoft Defender för att övervaka din AWS-miljö mot MCSB på samma sätt som du övervakar din Azure-miljö. Vi har utvecklat cirka 180 AWS-kontroller för den nya AWS-säkerhetsvägledningen i MCSB, så att du kan övervaka din AWS-miljö och dina resurser i Microsoft Defender för molnet.
En uppdatering av de befintliga azure-riktlinjerna och säkerhetsprinciperna: Vi har också uppdaterat några av de befintliga azure-säkerhetsriktlinjerna och säkerhetsprinciperna under den här uppdateringen så att du kan hålla dig uppdaterad med de senaste Funktionerna och funktionerna i Azure.
Kontroller
| Kontrollera domäner | Beskrivning |
|---|---|
| Nätverkssäkerhet (NS) | Nätverkssäkerhet omfattar kontroller för att skydda och skydda nätverk, inklusive skydd av virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS. |
| Identitetshantering (IM) | Identitetshantering omfattar kontroller för att upprätta en säker identitets- och åtkomstkontroll med hjälp av identitets- och åtkomsthanteringssystem, inklusive användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstens huvudnamn) för program, villkorlig åtkomst och övervakning av kontoavvikelser. |
| Privilegierad åtkomst (PA) | Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till klientorganisationen och resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktlig och oavsiktlig risk. |
| Dataskydd (DP) | Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckelhantering och certifikathantering. |
| Tillgångshantering (AM) | Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över dina resurser, inklusive rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt). |
| Loggning och hotidentifiering (LT) | Loggning och hotidentifiering omfattar kontroller för att identifiera hot i molnet och aktivera, samla in och lagra granskningsloggar för molntjänster, inklusive aktivering av identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera högkvalitativa aviseringar med inbyggd hotidentifiering i molntjänster. Det omfattar även insamling av loggar med en molnövervakningstjänst, centralisering av säkerhetsanalys med siem, tidssynkronisering och loggkvarhållning. |
| Incidenthantering (IR) | Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster (till exempel Microsoft Defender för molnet och Sentinel) och/eller andra molntjänster för att automatisera incidenthanteringsprocessen. |
| Hantering av hållning och sårbarhet (PV) | Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra molnsäkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i molnresurser. |
| Slutpunktssäkerhet (ES) | Endpoint Security omfattar kontroller i slutpunktsidentifiering och svar, inklusive användning av slutpunktsidentifiering och svar (EDR) och tjänst mot skadlig kod för slutpunkter i molnmiljöer. |
| Säkerhetskopiering och återställning (BR) | Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data och konfigurationssäkerhetskopior på de olika tjänstnivåerna utförs, verifieras och skyddas. |
| DevOps-säkerhet (DS) | DevOps Security omfattar de kontroller som rör säkerhetsteknik och åtgärder i DevOps-processerna, inklusive distribution av kritiska säkerhetskontroller (till exempel statisk programsäkerhetstestning, hantering av säkerhetsrisker) före distributionsfasen för att säkerställa säkerheten under hela DevOps-processen. Den innehåller även vanliga ämnen som hotmodellering och säkerhet för programvaruförsörjning. |
| Styrning och strategi (GS) | Styrning och strategi ger vägledning för att säkerställa en enhetlig säkerhetsstrategi och dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder. |
Rekommendationer i Microsoft Cloud Security Benchmark
Varje rekommendation innehåller följande information:
- ID: Det benchmark-ID som motsvarar rekommendationen.
- CIS Controls v8 ID(s): CIS Controls v8-kontroller som motsvarar rekommendationen.
- CIS Controls v7.1 ID(s): CIS Controls v7.1-kontroller som motsvarar rekommendationen (inte tillgängliga på webben på grund av formateringsorsaken).
- PCI-DSS v3.2.1 ID:er: de PCI-DSS v3.2.1-kontroller som motsvarar rekommendationen.
- NIST SP 800-53 r4 ID(er): Kontrollerna NIST SP 800-53 r4 (måttliga och höga) motsvarar denna rekommendation.
- Säkerhetsprincip: Rekommendationen fokuserade på "vad", som förklarar kontrollen på teknikagnostisk nivå.
- Azure-vägledning: Rekommendationen fokuserar på "hur", som förklarar grunderna för azure-tekniska funktioner och implementering.
- AWS-vägledning: Rekommendationen fokuserade på "hur", som förklarar de tekniska funktionerna och implementeringsgrunderna för AWS.
- Implementering och ytterligare kontext: Implementeringsinformation och annan relevant kontext som länkar till dokumentationsartiklarna för Azure- och AWS-tjänsten.
- Kundsäkerhetsintressenter: Säkerhetsfunktionerna i kundorganisationen som kan vara ansvariga, ansvariga eller konsulterade för respektive kontroll. Det kan skilja sig från organisation till organisation beroende på företagets säkerhetsorganisationsstruktur och de roller och ansvarsområden som du har konfigurerat relaterade till Azure-säkerhet.
Kontrollmappningarna mellan MCSB och branschmått (till exempel CIS, NIST och PCI) anger bara att en specifik Azure-funktion kan användas för att helt eller delvis hantera ett kontrollkrav som definieras i dessa branschmått. Du bör vara medveten om att en sådan implementering inte nödvändigtvis innebär fullständig efterlevnad av motsvarande kontroller i dessa branschriktmärken.
Vi välkomnar din detaljerade feedback och ditt aktiva deltagande i Microsofts benchmark-arbete för molnsäkerhet. Om du vill ange direkta indata kan du skicka ett e-postmeddelande till oss på benchmarkfeedback@microsoft.com.
Ladda ned
Du kan ladda ned benchmark- och baslinjekopian offline i kalkylbladsformat.
Nästa steg
- Se den första säkerhetskontrollen: Nätverkssäkerhet
- Läs introduktionen av Microsoft Cloud Security Benchmark
- Lär dig grunderna för Azure-säkerhet