Introduktion till Referensarkitektur för Microsoft Cybersecurity och benchmark för molnsäkerhet
Den här modulen beskriver metodtips för cybersäkerhetsfunktioner och kontroller, vilket är viktigt för att minska risken för att angripare lyckas.
Utbildningsmål
I den här modulen lär du dig att:
- Använd Microsoft Cybersecurity Reference Architecture (MCRA) för att utforma säkrare lösningar.
- Använd Microsoft Cloud Security Benchmark (MCSB) för att utforma säkrare lösningar.
Innehållet i modulen hjälper dig att förbereda dig för certifieringsprovet SC-100: Microsoft Cybersecurity Architect.
Förutsättningar
- Konceptuell kunskap om säkerhetsprinciper, krav, noll förtroendearkitektur och hantering av hybridmiljöer
- Arbetslivserfarenhet med noll förtroendestrategier, tillämpning av säkerhetsprinciper och utveckling av säkerhetskrav baserat på affärsmål
Översikt över MCRA
Microsoft Cybersecurity Reference Architectures (MCRA) är en uppsättning tekniska diagram som beskriver Microsofts cybersäkerhetsfunktioner. Diagrammen beskriver hur Microsofts säkerhetsfunktioner integreras med följande:
- Microsoft-plattformar som Microsoft 365 och Microsoft Azure
- Appar från tredje part som ServiceNow och salesforce
- Plattformar från tredje part som Amazon Web Services (AWS) och Google Cloud Platform (GCP)
MCRA innehåller diagram över följande ämnen:
- Microsofts cybersäkerhetsfunktioner
- Nolltillit och en Nolltillit snabb moderniseringsplan (RaMP)
- Användaråtkomst utan förtroende
- Säkerhetsåtgärder
- Driftteknik (OT)
- Funktioner för flera moln och plattformar
- Täckning för attackkedja
- Inbyggda säkerhetskontroller i Azure
- Säkerhetsorganisationsfunktioner
Översikt över MCSB
Nya tjänster och funktioner släpps dagligen i Azure och andra molnplattformar. Utvecklare publicerar snabbt nya molnprogram som bygger på dessa tjänster, och angripare söker ständigt nya sätt att utnyttja felkonfigurerade resurser. Molnet rör sig snabbt, utvecklarna rör sig snabbt och angripare rör sig också snabbt. Hur hänger du med och ser till att dina molndistributioner är säkra? Hur skiljer sig säkerhetsrutinerna för molnsystem från lokala system och skiljer sig mellan molntjänstleverantörer? Hur övervakar du din arbetsbelastning för konsekvens på flera molnplattformar?
Microsoft har upptäckt att användning av säkerhetsmått kan hjälpa dig att snabbt skydda molndistributioner. Ett omfattande ramverk för bästa praxis för säkerhet från molntjänstleverantörer kan ge dig en startpunkt för att välja specifika säkerhetskonfigurationsinställningar i din molnmiljö, över flera tjänstleverantörer och låta dig övervaka dessa konfigurationer med hjälp av en enda fönsterruta.
Säkerhetskontroller
En kontroll är en beskrivning på hög nivå av en rekommenderad funktion eller aktivitet som måste åtgärdas. Kontroller är inte specifika för en teknik eller implementering. Rekommendationer för säkerhetskontroll gäller för flera molnarbetsbelastningar. Varje kontroll är numrerad och kontrollens rekommendationer identifierar en lista över intressenter som vanligtvis deltar i planering, godkännande eller implementering av riktmärket.
MCSB-kontrolldomäner/kontrollfamiljer
I MCSB-kontrollerna grupperas de i "familjer" eller "domäner". I följande tabell sammanfattas säkerhetskontrolldomänerna i MCSB:
| Kontrollera domäner | beskrivning |
|---|---|
| Nätverkssäkerhet (NS) | Nätverkssäkerhet omfattar kontroller för att skydda och skydda nätverk, inklusive skydd av virtuella nätverk, upprätta privata anslutningar, förhindra och minimera externa attacker och skydda DNS. |
| Identitetshantering (IM) | Identitetshantering omfattar kontroller för att upprätta en säker identitets- och åtkomstkontroll med hjälp av identitets- och åtkomsthanteringssystem, inklusive användning av enkel inloggning, starka autentiseringar, hanterade identiteter (och tjänstens huvudnamn) för program, villkorlig åtkomst och övervakning av kontoavvikelser. |
| Privilegierad åtkomst (PA) | Privilegierad åtkomst omfattar kontroller för att skydda privilegierad åtkomst till klientorganisationen och resurser, inklusive en rad kontroller för att skydda din administrativa modell, administrativa konton och privilegierade arbetsstationer mot avsiktlig och oavsiktlig risk. |
| Dataskydd (DP) | Dataskydd omfattar kontroll av dataskydd i vila, under överföring och via auktoriserade åtkomstmekanismer, inklusive identifiering, klassificering, skydd och övervakning av känsliga datatillgångar med hjälp av åtkomstkontroll, kryptering, nyckelhantering och certifikathantering. |
| Tillgångshantering (AM) | Tillgångshantering omfattar kontroller för att säkerställa säkerhetssynlighet och styrning över dina resurser. Det inkluderar rekommendationer om behörigheter för säkerhetspersonal, säkerhetsåtkomst till tillgångsinventering och hantering av godkännanden för tjänster och resurser (inventering, spårning och korrekt). |
| Loggning och hotidentifiering (LT) | Loggning och hotidentifiering omfattar kontroller för att identifiera hot i molnet och aktivera, samla in och lagra granskningsloggar för molntjänster, inklusive aktivering av identifierings-, undersöknings- och reparationsprocesser med kontroller för att generera högkvalitativa aviseringar med inbyggd hotidentifiering i molntjänster. Det omfattar även insamling av loggar med en molnövervakningstjänst, centralisering av säkerhetsanalys med siem, tidssynkronisering och loggkvarhållning. |
| Incidenthantering (IR) | Incidenthantering omfattar kontroller i livscykeln för incidenthantering – förberedelse, identifiering och analys, inneslutning och aktiviteter efter incident, inklusive användning av Azure-tjänster (till exempel Microsoft Defender för molnet och Sentinel) och/eller andra molntjänster för att automatisera incidenthanteringsprocessen. |
| Hantering av hållning och sårbarhet (PV) | Hållnings- och sårbarhetshantering fokuserar på kontroller för att utvärdera och förbättra molnsäkerhetsstatus, inklusive sårbarhetsgenomsökning, intrångstestning och reparation, samt spårning, rapportering och korrigering av säkerhetskonfigurationer i molnresurser. |
| Slutpunktssäkerhet (ES) | Endpoint Security omfattar kontroller i identifiering och åtgärd på slutpunkt, inklusive användning av identifiering och åtgärd på slutpunkt (Identifiering och åtgärd på slutpunkt) och tjänst mot skadlig kod för slutpunkter i molnmiljöer. |
| Säkerhetskopiering och återställning (BR) | Säkerhetskopiering och återställning omfattar kontroller för att säkerställa att data och konfigurationssäkerhetskopior på de olika tjänstnivåerna utförs, verifieras och skyddas. |
| DevOps Security (DS) | DevOps Security omfattar de kontroller som rör säkerhetsteknik och åtgärder i DevOps-processerna, inklusive distribution av kritiska säkerhetskontroller (till exempel statisk programsäkerhetstestning, hantering av säkerhetsrisker) före distributionsfasen för att säkerställa säkerheten under hela DevOps-processen. Den innehåller även vanliga ämnen som hotmodellering och säkerhet för programvaruförsörjning. |
| Styrning och strategi (GS) | Styrning och strategi ger vägledning för att säkerställa en enhetlig säkerhetsstrategi och en dokumenterad styrningsmetod för att vägleda och upprätthålla säkerhetsgarantier, inklusive att fastställa roller och ansvarsområden för de olika molnsäkerhetsfunktionerna, enhetlig teknisk strategi och stödjande principer och standarder. |
Tjänstbaslinjer
Säkerhetsbaslinjer är standardiserade dokument för Azure-produkterbjudanden som beskriver de tillgängliga säkerhetsfunktionerna och de optimala säkerhetskonfigurationerna som hjälper dig att stärka säkerheten genom förbättrade verktyg, spårning och säkerhetsfunktioner. Vi har för närvarande endast tjänstbaslinjer tillgängliga för Azure.
Säkerhetsbaslinjer för Azure fokuserar på molncentrerade kontrollområden i Azure-miljöer. Dessa kontroller överensstämmer med välkända branschstandarder som: Center for Internet Security (CIS) eller National Institute for Standards in Technology (NIST). Våra baslinjer ger vägledning för de kontrollområden som anges i Microsoft Cloud Security Benchmark v1.
Varje baslinje består av följande komponenter:
- Hur fungerar en tjänst?
- Vilka säkerhetsfunktioner är tillgängliga?
- Vilka konfigurationer rekommenderas för att skydda tjänsten?
Implementera Microsoft cloud security benchmark
- Planera MCSB-implementeringen genom att granska dokumentationen för företagskontroller och tjänstspecifika baslinjer för att planera ditt kontrollramverk och hur det mappar till vägledning som CIS-kontroller (Center for Internet Security), National Institute of Standards and Technology (NIST) och ramverket Payment Card Industry Data Security Standard (PCI-DSS).
- Övervaka din kompatibilitet med MCSB-status (och andra kontrolluppsättningar) med hjälp av instrumentpanelen Microsoft Defender för molnet – Regelefterlevnad för din multimolnmiljö.
- Upprätta skyddsräcken för att automatisera säkra konfigurationer och framtvinga efterlevnad med MCSB (och andra krav i din organisation) med hjälp av funktioner som Azure Blueprints, Azure Policy eller motsvarande tekniker från andra molnplattformar.
Vanliga användningsfall
Microsofts prestandamått för molnsäkerhet kan ofta användas för att hantera vanliga utmaningar för kunder eller tjänstpartner som:
- Ny i Azure (och andra större molnplattformar, till exempel AWS) och letar efter metodtips för säkerhet för att säkerställa en säker distribution av molntjänster och din egen programarbetsbelastning.
- Vill du förbättra säkerhetsstatusen för befintliga molndistributioner för att prioritera de största riskerna och minskningarna.
- Använda miljöer med flera moln (till exempel Azure och AWS) och möta utmaningar när det gäller att justera övervakning och utvärdering av säkerhetskontroll med hjälp av en enda glasruta.
- Utvärdera säkerhetsfunktionerna/funktionerna i Azure (och andra större molnplattformar, till exempel AWS) innan du registrerar/godkänner en tjänst i molntjänstkatalogen.
- Uppfylla efterlevnadskraven i strikt reglerade branscher, till exempel myndigheter, finanser och sjukvård. Dessa kunder måste se till att deras tjänstkonfigurationer för Azure och andra moln uppfyller säkerhetsspecifikationen som definieras i ramverk som CIS, NIST eller PCI. MCSB tillhandahåller en effektiv metod med de kontroller som redan är förmappade till dessa branschmått.
Terminologi
Termerna "kontroll" och "baslinje" används ofta i Microsofts dokumentation om prestandamått för molnsäkerhet. Det är viktigt att förstå hur MCSB använder dessa termer.
| Period | beskrivning | Exempel |
|---|---|---|
| Ctrl | En kontroll är en beskrivning på hög nivå av en funktion eller aktivitet som måste åtgärdas och som inte är specifik för en teknik eller implementering. | Dataskydd är en av säkerhetskontrollfamiljerna. Dataskydd innehåller specifika åtgärder som måste åtgärdas för att säkerställa att data skyddas. |
| Baslinje | En baslinje är implementeringen av kontrollen för de enskilda Azure-tjänsterna. Varje organisation dikterar en benchmark-rekommendation och motsvarande konfigurationer behövs i Azure. Obs! I dag har vi endast tjänstbaslinjer tillgängliga för Azure. | Contoso-företaget ser ut att aktivera Azure SQL-säkerhetsfunktioner genom att följa konfigurationen som rekommenderas i Säkerhetsbaslinjen för Azure SQL. |