Microsoft 云安全基准概述 (v1)

Microsoft 云安全基准 (MCSB) 提供了说明性的最佳做法和建议,以帮助提高 Azure 和多云环境中工作负载、数据和服务的安全性。 此基准侧重于以云为中心的控制领域,其中包含一组全面的 Microsoft 和行业安全指南:

Microsoft 云安全基准 v1 中的新增功能

注意

Microsoft 云安全基准承接在 Azure 安全基准 (ASB) 之后,我们在 2022 年 10 月对 Azure 安全基准 (ASB) 进行了重命名。 它目前为公共预览版。

下面是 Microsoft 云安全基准 v1 中的最新更新:

  1. 全面的多云安全框架:组织通常需要构建内部安全标准,以协调跨多个云平台的安全控制,以满足每个云平台的安全和合规性要求。 这通常需要安全团队在不同的云环境中重复相同的实现、监视和评估(通常针对不同的合规性标准)。 这会产生不必要的开销、成本和工作量。 为了解决这一问题,我们将 ASB 增强为 MCSB,以通过以下方式帮助你快速处理不同的云:

    • 提供单个控制框架,以轻松满足跨云的安全控制
    • 在 Defender for Cloud 中为监视和强制实施多云安全基准提供一致的用户体验
    • 与行业标准(例如 CIS、NIST、PCI)保持一致

    在 ASB 和 CIS 基准之间映射

  2. Microsoft Defender for Cloud 中 AWS 的自动控制监视:可以使用 Microsoft Defender for Cloud 法规合规性仪表板来监视 MCSB 的 AWS 环境,就像监视 Azure 环境一样。 我们为 MCSB 中的新 AWS 安全指南开发了大约 180 项 AWS 检查,使你能够在 Microsoft Defender for Cloud 中监视 AWS 环境和资源。

    MSCB 集成到 Microsoft Defender for Cloud 的屏幕截图

  3. 更新现有的 Azure 指南和安全原则:在此更新期间,我们还刷新了一些现有的 Azure 安全指南和安全原则,以便你可以随时了解最新的 Azure 特性和功能。

控制

控制域 说明
网络安全性 (NS) 网络安全涵盖保护网络的安全控制,包括保护虚拟网络、建立专用连接、防止和缓解外部攻击以及保护 DNS。
标识管理 (IM) 标识管理涵盖使用标识和访问管理系统建立安全标识和访问控制的控制,包括使用单一登录、强身份验证、托管标识 (和服务主体) 的应用程序、条件访问和帐户异常监视。
特权访问 (PA) 特权访问涵盖用于保护对租户和资源进行特权访问的控制,包括一系列控制措施,以保护管理模型、管理帐户和特权访问工作站免受故意和无意的风险。
数据保护 (DP) 数据保护包括对静态、传输中和通过授权访问机制进行数据保护的控制,包括使用访问控制、加密、密钥管理和证书管理发现、分类、保护和监视敏感数据资产。
资产管理 (AM) 资产管理涵盖确保资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问,以及管理服务和资源审批 (清单、跟踪和更正) 。
日志记录和威胁检测 (LT) 日志记录和威胁检测包括用于检测云威胁以及为云服务启用、收集和存储审核日志的控制措施,包括启用检测、调查和修正过程,以在云服务中使用本机威胁检测生成高质量警报;它还包括使用云监视服务收集日志、使用 SIEM 集中安全分析、时间同步和日志保留。
事件响应 (IR) 事件响应涵盖事件响应生命周期中的控制 - 准备、检测和分析、遏制和事件后活动,包括使用 Azure 服务 ((如 Microsoft Defender for Cloud 和 Sentinel) 和/或其他云服务)自动执行事件响应过程。
态势和漏洞管理 (PV) 状态和漏洞管理侧重于用于评估和改进云安全状况的控制,包括漏洞扫描、渗透测试和修正,以及云资源中的安全配置跟踪、报告和更正。
终结点安全性 (ES) 终结点安全性涵盖终结点检测和响应方面的控制,包括对云环境中的终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。
备份和恢复 (BR) 备份和恢复包括用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。
DevOps 安全性 (DS) DevOps 安全性涵盖 DevOps 过程中与安全工程和操作相关的控制措施,包括在部署阶段之前部署关键安全性检查(如静态应用程序安全性测试、漏洞管理),以确保整个 DevOps 过程的安全;它还包括常见主题,例如威胁建模和软件供应安全。
治理和策略 (GS) 治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。

Microsoft 云安全基准中的建议

每项建议都包含以下信息:

  • ID:与建议对应的基准 ID。
  • CIS 控制 v8 ID:与建议对应的 CIS 控制 v8 控件。
  • CIS 控制 v7.1 ID:与建议对应的 CIS 控制 v7.1 控件(由于格式原因,它在 Web 中不可用)。
  • PCI-DSS v3.2.1 ID:与建议对应的 PCI-DSS v3.2.1 控件。
  • NIST SP 800-53 r4 ID (s) :NIST SP 800-53 r4 (中等和高) 控制 () 对应于此建议。
  • 安全原则:此建议侧重于“内容”,解释了与技术无关的控制措施。
  • Azure 指导:此建议侧重于“操作”,解释了 Azure 技术特性和实现基础知识。
  • AWS 指南:建议侧重于“操作方法”,介绍 AWS 技术功能和实现基础知识。
  • 实现和其他上下文:实现详细信息和其他相关上下文,链接到 Azure 和 AWS 服务产品/服务文档文章。
  • 客户安全利益干系人:可就相应控制措施进行追究、问责、或咨询的客户组织的安全功能。 它在各组织中可能有所不同,具体取决于公司的安全组织结构,以及你设置的与 Azure 安全性相关的角色和职责。

MCSB 与行业基准 ((如 CIS、NIST 和 PCI) )之间的控制映射仅表明, () 的特定 Azure 功能可用于完全或部分满足这些行业基准中定义的控制要求。 应注意,此类实现不一定意味着完全符合这些行业基准中的相应控制措施。

我们欢迎你提供详细反馈,并积极参与 Microsoft 云安全基准测试工作。 若要提供直接输入,请发送电子邮件 benchmarkfeedback@microsoft.com至 。

下载

可以下载 电子表格格式的基准和基线脱机副本。

后续步骤