Microsoft雲端安全性效能評定 (MCSB) 提供規範的最佳做法和建議,以協助改善 Azure 和多雲端環境中的工作負載、數據和服務的安全性。 此基準測試著重於以雲端為中心的控制區域,以及一組整體 Microsoft 和產業安全性指引的輸入,其中包含:
- 雲端採用架構:安全性指引,包括 策略、角色和責任、 Azure 前 10 個安全性最佳做法,以及 參考實作。
- Azure Well-Architected 架構: 保護 Azure 上工作負載的指引。
- 資訊安全長(CISO)研討會: 使用零信任原則加速安全性現代化的計劃指引和參考策略。
- 其他產業和雲端服務提供者的安全性最佳做法標準和架構:範例包括 Amazon Web Services(AWS)Well-Architected 架構、因特網安全中心(CIS)控制中心、國家標準與技術研究所(NIST),以及支付卡產業數據安全性標準(PCI-DSS)。
Microsoft雲端安全性效能評定 v1 的新功能
備註
Microsoft雲端安全性效能評定是 Azure 安全性效能評定(ASB)的繼任者,該基準基準於 2022 年 10 月重新命名。
MCSB 中的 Google Cloud Platform 支援現在可作為 MCSB 基準指引和 Microsoft Defender for Cloud 的預覽功能提供。
以下是 Microsoft 雲端安全性效能評定 v1 的新功能:
完整的多雲端安全性架構:組織通常必須建置內部安全性標準,以協調跨多個雲端平臺的安全性控制,以符合每個雲端平臺的安全性與合規性需求。 這通常需要安全性小組針對不同的雲端環境 (通常會針對不同的合規性標準) 重複相同的實作、監視和評量。 這會產生不必要的額外負荷、成本和投入量。 為了解決這個問題,我們已將 ASB 增強至 MCSB,以協助您透過下列方式快速處理不同的雲端:
- 提供單一控制架構,以輕鬆達成跨雲端的安全性控制
- 在適用於雲端的Defender中提供監視和強制執行多重雲端安全性基準的一致用戶體驗
- 與業界標準保持一致 (例如 CIS、NIST、PCI)
Microsoft Defender for Cloud 中的 AWS 自動化控制監視:您可以使用 Microsoft Defender for Cloud 法規合規性儀錶板來監視您的 AWS 環境,就像監視 Azure 環境一樣。 我們已在 MCSB 中開發大約 180 種 AWS 檢查,確認 MCSB 中是否有新的 AWS 安全性指引,以讓您監視適用於雲端的 Microsoft Defender 中的 AWS 環境和資源。
重新整理現有的 Azure 指引和安全性原則:我們也在此更新期間重新整理了一些現有的 Azure 安全性指導方針和安全性原則,讓您隨時掌握最新的 Azure 功能。
控制項
| 控制域 | 說明 |
|---|---|
| 網路安全性 (NS) | 網路安全性涵蓋保護及保護網路的控件,包括保護虛擬網路、建立私人連線、防止和減輕外部攻擊,以及保護 DNS。 |
| 身分識別管理 (IM) | 身分識別管理涵蓋使用身分識別和存取管理系統建立安全身分識別和訪問控制的控件,包括針對應用程式使用單一登錄、強身份驗證、受控識別(和服務主體)、條件式存取和帳戶異常監視。 |
| 特殊權限存取 (PA) | 特殊權限存取涵蓋保護租用戶和資源特殊權限存取的控制項,包括保護系統管理模型、系統管理帳戶和特殊權限存取工作站的一系列控制項,以防止故意和意外的風險。 |
| 資料保護 (DP) | 數據保護涵蓋靜止中的數據保護、數據傳輸,以及透過授權存取機制的控制,包括透過存取控制、加密、密鑰管理和憑證管理,來檢測、分類、保護及監視敏感數據資產。 |
| 資產管理(AM) | 資產管理涉及控制措施,以確保對您的資源進行安全性可見度和治理,包括針對安全性人員的許可權建議、資產清單的安全存取權,以及管理服務和資源(清查、追蹤和修正)的核准。 |
| 記錄與威脅偵測 (LT) | 記錄和威脅偵測涵蓋在雲端上偵測威脅的控件,以及啟用、收集及儲存雲端服務的稽核記錄,包括啟用偵測、調查和補救程式,並透過控件在雲端服務中產生具有原生威脅偵測的高品質警示:它也包含使用雲端監視服務收集記錄、使用 SIEM 集中處理安全性分析、時間同步處理和記錄保留。 |
| 事件回應(IR) | 事件回應涵蓋事件回應生命週期中的控制措施——準備、偵測和分析、控制,以及事件後活動,包括使用 Azure 服務(例如 Microsoft Defender for Cloud 和 Sentinel)和其他雲端服務來自動化事件回應流程。 |
| 狀態和弱點管理 (PV) | 狀態和弱點管理著重於評估及改善雲端安全性狀態的控件,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性組態追蹤、報告和修正。 |
| 端點安全性 (ES) | 端點安全性涵蓋端點偵測及回應的控制機制,包括針對雲端環境中的端點使用端點偵測及回應 (EDR) 與反惡意程式碼服務。 |
| 備份和復原 (BR) | 備份和復原涵蓋控制,以確保在不同服務層級執行、驗證及保護的數據和組態備份。 |
| DevOps Security (DS) | DevOps Security 涵蓋與 DevOps 流程中安全性工程和作業相關的控制,包括部署之前的重要安全性檢查(例如靜態應用程式安全性測試、弱點管理),以確保整個 DevOps 程式的安全性:它也包含威脅模型化和軟體供應安全性等常見主題。 |
| 治理和策略 (GS) | 治理與策略提供指引,以確保一致的安全性策略和記錄的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略以及支援原則和標準。 |
Microsoft雲端安全性效能評定中的建議
每個建議頁面都包含下列資訊:
- 標識碼:對應至建議的基準 ID。
- CIS 控制 v8 識別碼:對應至建議的 CIS 控制 v8 控制。
- CIS 控件 v7.1 識別碼:對應至建議的 CIS 控件 v7.1(因格式原因無法在網路上取得)。
- PCI-DSS v3.2.1 ID(s):對應至建議的 PCI-DSS v3.2.1 控件。
- NIST SP 800-53 r4 ID(s):NIST SP 800-53 r4 (中度和高) 控制措施(s) 對應至此建議。
- 安全性方針:建議著重於「什麼」,說明與技術無關的控制措施。
- Azure 指引:建議著重於「如何」,說明 Azure 技術功能和實作基本概念。
- AWS指引:建議著重於「如何」,說明 AWS 技術功能和實作基本概念。
- 實作和其他內容:實作詳細數據和連結至 Azure 和 AWS 服務供應專案檔文章的其他相關內容。
- 客戶安全性項目關係人:客戶組織中可能負責、承擔責任或就相關控制諮詢的安全性功能。 根據您公司的安全性組織結構,以及您設定的與 Azure 安全性相關的角色和責任,每個組織之間可能會有所不同。
MCSB 與產業基準之間的控件對應(例如 CIS、NIST 和 PCI)僅表示特定 Azure 功能可用來完整或部分解決這些產業基準中所定義的控制需求。 您應該注意,這類實作不一定會轉譯為這些產業基準中對應控件的完整合規性。
我們歡迎您詳細的意見反應,並積极參與Microsoft雲端安全性基準檢驗工作。 如果您想提供直接反饋,請透過 benchmarkfeedback@microsoft.com 傳送電子郵件給我們。
下載
您可以將基準和基線的離線副本以電子表格格式下載。
後續步驟
- 請參閱第一個安全性控制: 網路安全性
- 閱讀 Microsoft雲端安全性基準檢驗簡介
- 瞭解 Azure 安全性基本概念