共用方式為

Azure 安全性控件概觀 (v2)

Azure 安全性效能評定 (ASB) 提供規範性的最佳做法和建議,以協助改善 Azure 上的工作負載、數據和服務的安全性。

此基準檢驗是一組整體安全性指引的一部分,其中也包括:

Azure 安全性效能評定著重於以雲端為中心的控制區域。 這些控制措施與已知的安全性基準一致,例如因特網安全中心 (CIS) 控制 7.1 版和國家標準技術研究所 (NIST) SP 800-53 所描述的安全性基準。 Azure 安全性效能評定中包含下列控件:

ASB 控制領域 說明
網路安全性 (NS) 網路安全性涵蓋保護與防護 Azure 網路的控制措施,包括保護虛擬網路、建立私人連線、預防及減少外部攻擊,以及保護 DNS。
身分識別管理 (IM) 身分識別管理涵蓋使用 Azure Active Directory 建立安全身分識別和訪問控制的控件,包括針對應用程式使用單一登錄、強身份驗證、受控識別(和服務主體)、條件式存取和帳戶異常監視。
特殊權限存取 (PA) 特殊許可權存取涵蓋保護對 Azure 租使用者和資源的特殊許可權存取的控件,包括一系列控制措施,以保護系統管理模型、系統管理帳戶和特殊許可權存取工作站,以防止故意和無意的風險。
資料保護 (DP) 數據保護涵蓋靜止中、傳輸中,以及透過授權存取機制的數據保護控制,包括使用訪問控制、加密和記錄來探索、分類、保護及監控 Azure 中的敏感數據資產。
資產管理(AM) 資產管理涵蓋對 Azure 資源的控制措施,以確保安全性可見度和治理,包括對安全人員許可權的建議、對資產清查的安全存取,及管理對服務和資源的核准(清點、追蹤和修正)。
記錄與威脅偵測 (LT) 記錄和威脅偵測涵蓋在 Azure 上偵測威脅的控件,以及啟用、收集及儲存 Azure 服務的稽核記錄,包括啟用偵測、調查和補救程式,並透過控件在 Azure 服務中產生具有原生威脅偵測的高品質警示:它也包含使用 Azure 監視器收集記錄、使用 Azure Sentinel 集中處理安全性分析、時間同步處理和記錄保留。
事件回應(IR) 事件回應涵蓋事件回應生命週期中的控制措施 - 準備、偵測和分析、遏制和事後活動,包括使用 Azure 資訊安全中心和 Sentinel 等 Azure 服務來自動化事件回應過程。
姿態和弱點管理 (PV) 狀態和弱點管理著重於評估及改善 Azure 安全性狀態的控件,包括弱點掃描、滲透測試和補救,以及 Azure 資源中的安全性組態追蹤、報告和更正。
端點安全性 (ES) 端點安全性涵蓋端點偵測和回應的控制項,包括使用端點偵測和回應 (EDR) 和 Azure 環境中端點的反惡意代碼服務。
備份和復原 (BR) 備份和復原涵蓋控制,以確保在不同服務層級執行、驗證及保護的數據和組態備份。
治理和策略 (GS) 治理與策略提供指引,以確保一致的安全性策略和記錄的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略以及支援原則和標準。

Azure 安全性效能評定建議

每個建議頁面都包含下列資訊:

  • Azure 識別碼:對應至建議的 Azure 安全性效能評定標識符。
  • CIS 控制項 v7.1 識別符:對應至此建議的 CIS 控制項 v7.1。
  • NIST SP 800-53 r4 ID(s):對應至此建議的 NIST SP 800-53 r4 (中度) 控制措施。
  • 詳細數據:建議的理由,以及如何實作建議的指引連結。 如果 Azure 資訊安全中心支持建議,該資訊也會列出。
  • 責任:客戶、服務提供者或兩者都須負責實作此建議。 安全性責任在公用雲端中由各方共同分擔。 某些安全性控制僅適用於雲端服務提供者,因此提供者負責處理這些控制件。 這些是一般觀察 – 對於某些個別服務,責任會與 Azure 安全性效能評定中所列的內容不同。 這些差異會在個別服務的基準建議中說明。
  • 客戶安全性項目關係人:客戶組織中可能負責或被問責,或就相關控件諮詢 的安全性功能。 根據您公司的安全性組織結構,以及您設定的與 Azure 安全性相關的角色和責任,每個組織之間可能會有所不同。

備註

ASB 與產業基準之間的控件對應(例如 NIST 和 CIS)僅表示特定 Azure 功能可用來完整或部分解決 NIST 或 CIS 中定義的控件需求。 您應該注意,這類實作不一定會轉譯為 CIS 或 NIST 中對應控件的完整合規性。

歡迎您提供詳細的意見反應,並積极參與 Azure 安全性效能評定工作。 如果您想直接向 Azure 安全性基準小組提供意見,請填寫https://aka.ms/AzSecBenchmark表單。

下載

您可以使用 電子表格格式下載 Azure 安全性效能評定。

後續步驟