Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Microsoft Cloud Security Benchmark (MCSB) biedt prescriptieve best practices en aanbevelingen om de beveiliging van workloads, gegevens en services in Azure en uw omgeving met meerdere clouds te verbeteren. Deze benchmark richt zich op cloudgerichte controlegebieden met input van een set holistische Microsoft- en branchebeveiligingsrichtlijnen die het volgende omvatten:
- Cloud Adoption Framework: Richtlijnen voor beveiliging, waaronder strategie, rollen en verantwoordelijkheden, best practices voor beveiliging van Azure Top 10 en referentie-implementatie.
- Azure Well-Architected Framework: richtlijnen voor het beveiligen van uw workloads in Azure.
- De Chief Information Security Officer (CISO) Workshop: Programmarichtlijnen en referentiestrategieën om de modernisering van beveiliging te versnellen met behulp van Zero Trust-principes.
- Andere best practicestandaarden en frameworks voor beveiliging van branche- en cloudserviceproviders: voorbeelden zijn de Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) en Payment Card Industry Data Security Standard (PCI-DSS).
Wat is er nieuw in Microsoft Cloud Security Benchmark v1
Opmerking
Microsoft Cloud Security Benchmark is de opvolger van Azure Security Benchmark (ASB), die in oktober 2022 is hernoemd.
Ondersteuning voor Google Cloud Platform in MCSB is nu beschikbaar als preview-functie, zowel in de MCSB-benchmarkrichtlijnen als Microsoft Defender voor Cloud.
Dit is nieuw in de Microsoft Cloud Security Benchmark v1:
Uitgebreid framework voor multicloudbeveiliging: organisaties moeten vaak een interne beveiligingsstandaard bouwen om beveiligingscontroles op meerdere cloudplatforms af te stemmen om te voldoen aan de beveiligings- en nalevingsvereisten op elk van deze platforms. Dit vereist vaak dat beveiligingsteams dezelfde implementatie, bewaking en evaluatie herhalen in de verschillende cloudomgevingen (vaak voor verschillende nalevingsstandaarden). Dit zorgt voor onnodige overhead, kosten en inspanning. Om dit probleem aan te pakken, hebben we de ASB uitgebreid naar MCSB, zodat u snel met verschillende clouds kunt werken door:
- Eén beheerframework bieden om eenvoudig te voldoen aan de beveiligingscontroles in clouds
- Biedt consistente gebruikerservaring voor het bewaken en afdwingen van de multi-cloudbeveiligingsbenchmark in Defender for Cloud
- Afgestemd blijven op industriestandaarden (bijvoorbeeld CIS, NIST, PCI)
Geautomatiseerde controlebewaking voor AWS in Microsoft Defender for Cloud: u kunt het Dashboard naleving van Microsoft Defender for Cloud-regelgeving gebruiken om uw AWS-omgeving te bewaken tegen MCSB, net zoals u uw Azure-omgeving bewaakt. We hebben ongeveer 180 AWS-controles ontwikkeld voor de nieuwe AWS-beveiligingsrichtlijnen in MCSB, zodat u uw AWS-omgeving en -resources in Microsoft Defender voor Cloud kunt bewaken.
Een vernieuwing van de bestaande Richtlijnen en beveiligingsprincipes van Azure: Tijdens deze update hebben we ook enkele van de bestaande Azure-beveiligingsrichtlijnen en -beveiligingsprincipes vernieuwd, zodat u op de hoogte kunt blijven van de nieuwste Azure-functies en -mogelijkheden.
Controles
| Beheerdomeinen | Description |
|---|---|
| Netwerkbeveiliging (NS) | Netwerkbeveiliging omvat besturingselementen voor het beveiligen en beveiligen van netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS. |
| Identiteitsbeheer (IM) | Identiteitsbeheer omvat besturingselementen voor het tot stand brengen van een veilige identiteit en toegangsbeheer met behulp van identiteits- en toegangsbeheersystemen, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en service-principals) voor toepassingen, voorwaardelijke toegang en bewaking van accountafwijkingen. |
| Bevoegde toegang (PA) | Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw tenant en resources, waaronder een reeks besturingselementen voor het beveiligen van uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations tegen opzettelijk en onbedoeld risico. |
| Gegevensbescherming (DP) | Gegevensbescherming omvat het beheer van gegevensbescherming tijdens opslag, tijdens doorgifte en via geautoriseerde toegangsmechanismen, waaronder het ontdekken, classificeren, beveiligen en bewaken van gevoelige gegevensbronnen met behulp van toegangsbeheer, versleuteling, sleutelbeheer en certificaatbeheer. |
| Vermogensbeheer (AM) | Asset Management omvat controles om de zichtbaarheid en governance van de beveiliging van uw resources te waarborgen, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, toegang tot assetinventarisatie en het beheren van goedkeuringen voor services en resources (inventarisatie, bijhouden en corrigeren). |
| Logboekregistratie en detectie van bedreigingen (LT) | Logboekregistratie en detectie van bedreigingen omvat controles voor het detecteren van bedreigingen in de cloud en het inschakelen, verzamelen en opslaan van auditlogboeken voor cloudservices, waaronder het inschakelen van detectie-, onderzoeks- en herstelprocessen met controles voor het genereren van waarschuwingen van hoge kwaliteit met systeemeigen detectie van bedreigingen in cloudservices; het omvat ook het verzamelen van logboeken met een cloudbewakingsservice, het centraliseren van beveiligingsanalyse met een SIEM, tijdsynchronisatie en logboekretentie. |
| Reactie op incidenten (IR) | Incidentrespons omvat controles in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en incidentactiviteiten, waaronder het gebruik van Azure-services (zoals Microsoft Defender voor Cloud en Sentinel) en/of andere cloudservices om het incidentresponsproces te automatiseren. |
| Postuur- en beveiligingsproblemenbeheer (HW) | Postuur- en beveiligingsproblemenbeheer richt zich op controles voor het beoordelen en verbeteren van de houding van cloudbeveiliging, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden van beveiligingsconfiguraties, rapportage en correctie in cloudresources. |
| Eindpuntbeveiliging (ES) | Endpoint Security omvat besturingselementen in eindpuntdetectie en -respons, waaronder het gebruik van eindpuntdetectie en -respons (EDR) en antimalwareservice voor eindpunten in cloudomgevingen. |
| Back-up en herstel (BR) | Back-up en herstel omvat besturingselementen om ervoor te zorgen dat gegevens- en configuratieback-ups op de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd. |
| DevOps-beveiliging (DS) | DevOps Security omvat de controles met betrekking tot de beveiligingstechniek en -bewerkingen in de DevOps-processen, waaronder de implementatie van kritieke beveiligingscontroles (zoals statische toepassingsbeveiligingstests, beveiligingsbeheer) voorafgaand aan de implementatiefase om de beveiliging tijdens het DevOps-proces te garanderen; het bevat ook algemene onderwerpen zoals threat modeling en beveiliging van softwarelevering. |
| Governance en strategie (GS) | Governance en strategie bieden richtlijnen voor het garanderen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiliging te begeleiden en te ondersteunen, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden. |
Aanbevelingen in Microsoft Cloud Security Benchmark
Elke aanbeveling bevat de volgende informatie:
- Id: de benchmark-id die overeenkomt met de aanbeveling.
- CIS Controls v8 ID(s): de CIS Controls v8 control(s) die overeenkomen met de aanbeveling.
- CIS-besturingselementen v7.1 ID's: de CIS-besturingselementen v7.1 die overeenkomen met de aanbeveling (niet beschikbaar op het web vanwege de opmaak).
- PCI-DSS v3.2.1 ID('s): de PCI-DSS v3.2.1-besturingselementen die overeenkomen met de aanbeveling.
- NIST SP 800-53 r4 ID('s): De NIST SP 800-53 r4 (gemiddelde en hoge) maatregelen corresponderen met deze aanbeveling.
- Beveiligingsprincipe: De aanbeveling is gericht op het 'wat', waarin de controle op technologieagnostisch niveau wordt uitgelegd.
- Azure-richtlijnen: de aanbeveling is gericht op de 'hoe', waarin de basisprincipes van technische functies en implementaties van Azure worden uitgelegd.
- AWS-richtlijnen: de aanbeveling is gericht op de "hoe", waarin de basisprincipes van de technische AWS-functies en implementaties worden uitgelegd.
- Implementatie en aanvullende context: de implementatiedetails en andere relevante context die is gekoppeld aan de documentatieartikelen voor de Azure- en AWS-service.
- Belanghebbenden voor klantbeveiliging: de beveiligingsfuncties van de klantorganisatie die verantwoordelijk, aansprakelijk of geraadpleegd kunnen zijn voor de respectieve controle. Het kan verschillen van organisatie tot organisatie, afhankelijk van de beveiligingsorganisatiestructuur van uw bedrijf en de rollen en verantwoordelijkheden die u hebt ingesteld met betrekking tot Azure-beveiliging.
De beheertoewijzingen tussen MCSB- en industriebenchmarks (zoals CIS, NIST en PCI) geven alleen aan dat een specifieke Azure-functie(s) kan worden gebruikt om volledig of gedeeltelijk te voldoen aan een controlevereiste die is gedefinieerd in deze benchmarks voor de branche. U moet er rekening mee houden dat deze implementatie niet noodzakelijkerwijs vertaalt in de volledige naleving van de bijbehorende controle(s) in deze industriebenchmarks.
We zijn verheugd over uw gedetailleerde feedback en actieve deelname aan de microsoft-cloudbeveiligingsbenchmark. Als u directe invoer wilt geven, stuurt u ons een e-mail naar benchmarkfeedback@microsoft.com.
Downloaden
U kunt de offlinekopie van de Baseline en Benchmark downloaden in spreadsheetindeling.
Volgende stappen
- Zie het eerste beveiligingsbeheer: Netwerkbeveiliging
- Lees de inleiding tot de Microsoft Cloud Security-benchmark
- Meer informatie over de basisprincipes van Azure-beveiliging