通过

Azure 安全控制 (v2) 概述

Azure 安全基准(ASB)提供了规范性的最佳做法和建议,以帮助提高 Azure 上的工作负载、数据和服务的安全性。

此基准是一组整体安全指南的一部分,其中包括:

Azure 安全基准侧重于以云为中心的控制区域。 这些控制措施与已知的安全基准一致,例如 Internet 安全中心(CIS)控制版本 7.1 和国家标准与技术研究所 (NIST) SP 800-53 中所述的安全基准。 Azure 安全基准中包括以下控制措施:

ASB 控制域 DESCRIPTION
网络安全 (NS) 网络安全包含用于保护 Azure 网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。
标识管理(IM) 标识管理涵盖使用 Azure Active Directory 建立安全标识和访问控制的控制措施,包括使用单一登录、强身份验证、托管标识(和服务主体)进行应用程序、条件访问和帐户异常监视。
特权访问 (PA) 特权访问涵盖保护对 Azure 租户和资源的特权访问的控制,包括一系列控制措施,以保护管理模型、管理帐户和特权访问工作站免受故意和无意的风险。
数据保护 (DP) 数据保护涵盖对静态数据保护、传输中和授权访问机制的控制,包括使用访问控制、加密和登录在 Azure 中发现、分类、保护和监视敏感数据资产。
资产管理(AM) 资产管理涵盖确保对 Azure 资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问以及管理对服务和资源的审批(清单、跟踪和更正)。
日志记录和威胁检测 (LT) 日志记录和威胁检测包括用于检测 Azure 上的威胁以及启用、收集和存储 Azure 服务的审核日志的控制措施,包括启用检测、调查和修正流程,以及控制以在 Azure 服务中生成具有本机威胁检测的高质量警报:它还包括使用 Azure Monitor 收集日志、使用 Azure Sentinel 集中安全分析、时间同步和日志保留。
事件响应(IR) 事件响应涵盖事件响应生命周期的控制 - 准备、检测和分析、遏制和事件后活动,包括使用 Azure 安全中心和 Sentinel 等 Azure 服务自动执行事件响应过程。
态势和漏洞管理(PV) 状况和漏洞管理侧重于用于评估和改进 Azure 安全状况的控制,包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。
终结点安全性 (ES) 终结点安全性涵盖终结点检测和响应中的控制措施,包括对 Azure 环境中的终结点使用终结点检测和响应(EDR)和反恶意软件服务。
备份和恢复 (BR) 备份和恢复涵盖确保执行、验证和保护不同服务层级的数据和配置备份的控制措施。
治理和策略 (GS) 治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。

Azure 安全基准建议

每项建议都包含以下信息:

  • Azure ID:与建议对应的 Azure 安全基准 ID。
  • CIS 控件 v7.1 标识:对应于此建议的 CIS 控件 v7.1 控制项。
  • NIST SP 800-53 r4 ID(s):与此建议相对应的 NIST SP 800-53 r4(中等)控制。
  • 详细信息:建议的理由以及有关如何实现建议的指导的链接。 如果 Azure 安全中心支持该建议,也会列出该信息。
  • 责任:无论是客户、服务提供商还是两者都负责实施此建议。 安全责任在公有云中共享。 某些安全控制仅适用于云服务提供商,因此提供商负责解决这些问题。 这些是一般观察 - 对于某些单独的服务,责任将不同于 Azure 安全基准中列出的内容。 这些差异在单个服务的基线建议中介绍。
  • 客户安全利益干系人:客户组织中可能负责、负责或咨询相应控制措施的 安全功能 。 根据公司的安全组织结构,以及您为 Azure 安全设置的角色和职责,安全措施可能因组织而异。

注释

ASB 与行业基准(如 NIST 和 CIS)之间的控制映射仅指示特定的 Azure 功能可用于完全或部分解决 NIST 或 CIS 中定义的控制要求。 应注意,此类实施不一定等同于 CIS 或 NIST 中相应控制措施的完全符合。

欢迎你提供详细的反馈和积极参与 Azure 安全基准工作。 若要提供 Azure 安全基准团队直接输入,请在以下位置填写表单 https://aka.ms/AzSecBenchmark

下载

可以下载 Azure 安全基准的 电子表格格式

后续步骤