(v2) 的 Azure 安全性控制概觀
Azure 安全性效能評定 (ASB) 提供規範性的最佳做法和建議,以協助改善 Azure 上的工作負載、資料和服務的安全性。
此基準測試是一組整體安全性指引的一部分,其中也包括:
- 雲端採用架構– 安全性指引,包括策略、角色和責任、Azure 前 10 名安全性最佳做法,以及參考實作。
- Azure Well-Architected Framework – 保護 Azure 上 工作負載的 指引。
- Microsoft 安全性最佳做法 – Azure 上範例 的建議 。
Azure 安全性效能評定著重于以雲端為中心的控制區域。 這些控制項與已知的安全性基準一致,例如 Internet Security center for Internet Security (CIS) Controls Version 7.1 和 National Institute of Standards and Technology (NIST) SP 800-53 中所述。 下列控制項包含在 Azure 安全性效能評定中:
| ASB 控制項定義域 | Description |
|---|---|
| 網路安全性 (NS) | 網路安全性涵蓋保護與防護 Azure 網路的控制措施,包括保護虛擬網路、建立私人連線、預防及減少外部攻擊,以及保護 DNS。 |
| 身分識別管理 (IM) | 身分識別管理涵蓋使用 Azure Active Directory 建立安全身分識別和存取控制的控制項,包括使用單一登入、增強式驗證、受控識別 (和服務主體,) 應用程式、條件式存取和帳戶異常監視。 |
| 特殊權限存取 (PA) | Privileged Access 涵蓋可保護 Azure 租使用者和資源的特殊許可權存取的控制項,包括一系列控制措施,可保護您的系統管理模型、系統管理帳戶和特殊許可權存取工作站,以防止刻意且不小心的風險。 |
| 資料保護 (DP) | 資料保護涵蓋待用資料保護、傳輸中,以及透過授權的存取機制來控制,包括使用存取控制、加密和記錄在 Azure 中探索、分類、保護及監視敏感性資料資產。 |
| 資產管理 (AM) | 資產管理涵蓋控制項,以確保 Azure 資源的安全性可見度和控管,包括安全性人員的許可權建議、資產清查的安全性存取,以及管理服務和資源核准, (清查、追蹤和更正) 。 |
| 記錄與威脅偵測 (LT) | 記錄和威脅偵測涵蓋在 Azure 上偵測威脅以及啟用、收集和儲存 Azure 服務稽核記錄的控制項,包括啟用偵測、調查和補救程式,以在 Azure 服務中產生具有原生威脅偵測的高品質警示;它也包括使用 Azure 監視器收集記錄、使用 Azure Sentinel 集中處理安全性分析、時間同步處理和記錄保留。 |
| 事件回應 (IR) | 事件回應涵蓋事件回應生命週期中的控制項 - 準備、偵測和分析、內含專案和事件後活動,包括使用 azure 服務,例如Azure 資訊安全中心和 Sentinel 來自動化事件回應程式。 |
| 態勢與弱點管理 (PV) | 狀態和弱點管理著重于評估及改善 Azure 安全性狀態的控制項,包括弱點掃描、滲透測試和補救,以及 Azure 資源中的安全性設定追蹤、報告和更正。 |
| 端點安全性 (ES) | 端點安全性涵蓋端點偵測和回應的控制,包括針對 Azure 環境中的端點使用端點偵測和回應 (EDR) 和反惡意程式碼服務。 |
| 備份與復原 (BR) | 備份和復原涵蓋控制項,以確保在不同服務層級執行、驗證及保護的資料和組態備份。 |
| 治理與策略 (GS) | 治理和策略提供指引,以確保一致的安全性策略和記載的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略和支援原則和標準。 |
Azure 安全性效能評定建議
每個建議頁面都包含下列資訊:
- AZURE 識別碼:對應至建議的 Azure 安全性基準識別碼。
- CIS 控制項 v7.1 識別碼 () :CIS 控制項 v7.1 控制項 (對應至此建議的) 。
- NIST SP 800-53 r4 識別碼 (s) :NIST SP 800-53 r4 (中等) 控制 (對應至此建議的) 。
- 詳細資料:建議的原理,以及有關如何實作建議的指引連結。 如果Azure 資訊安全中心支援建議,也會列出該資訊。
- 責任:客戶、服務提供者或兩者都負責實作這項建議。 安全性責任會在公用雲端中共用。 某些安全性控制僅適用于雲端服務提供者,因此提供者負責處理這些控制措施。 這些是一般觀察 – 對於某些個別服務,責任會與 Azure 安全性基準中所列的內容不同。 這些差異會在個別服務的基準建議中說明。
- 客戶安全性專案關係人:客戶組織中可能負責、負責或諮詢個別控制 措施的安全性功能 。 根據您公司的安全性組織結構,以及您設定與 Azure 安全性相關的角色和責任,可能會與組織不同。
注意
ASB 與產業基準之間的控制項對應 (,例如 NIST 和 CIS) 只會指出特定 Azure 功能可用來完整或部分解決 NIST 或 CIS 中定義的控制需求。 您應該注意,這類實作不一定會轉譯為 CIS 或 NIST 中對應控制項的完整合規性。
歡迎您詳細意見反應,並參與 Azure 安全性基準測試工作。 如果您想要提供 Azure 安全性效能評定小組直接輸入,請在 填寫表單 https://aka.ms/AzSecBenchmark
下載
您可以下載 試算表格式的 Azure 安全性效能評定。
下一步
- 請參閱第一個安全性控制: 網路安全性
- 閱讀 Azure 安全性效能評定簡介
- 瞭解 Azure 安全性基本概念