Udostępnij przez

Omówienie testu porównawczego zabezpieczeń w chmurze firmy Microsoft (wersja 1)

Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) zawiera normatywne najlepsze rozwiązania i zalecenia, które pomagają zwiększyć bezpieczeństwo obciążeń, danych i usług na platformie Azure i w środowisku z wieloma chmurami. Ten test porównawczy koncentruje się na obszarach kontroli skoncentrowanych na chmurze z danymi wejściowymi z zestawu całościowych wskazówek dotyczących zabezpieczeń firmy Microsoft i branży, które obejmują:

Co nowego w testach porównawczych zabezpieczeń w chmurze firmy Microsoft w wersji 1

Uwaga / Notatka

Test porównawczy zabezpieczeń w chmurze firmy Microsoft jest następcą testu porównawczego zabezpieczeń platformy Azure (ASB), który został przemianowany w październiku 2022 roku.

Obsługa platformy Google Cloud Platform w mcSB jest teraz dostępna jako funkcja w wersji zapoznawczej zarówno w wytycznych dotyczących testów porównawczych MCSB, jak i w usłudze Microsoft Defender for Cloud.

Oto co nowego w testach porównawczych zabezpieczeń w chmurze firmy Microsoft w wersji 1:

  1. Kompleksowa struktura zabezpieczeń w wielu chmurach: Organizacje często muszą utworzyć standard zabezpieczeń wewnętrznych w celu uzgodnienia mechanizmów kontroli zabezpieczeń na wielu platformach w chmurze w celu spełnienia wymagań dotyczących zabezpieczeń i zgodności dla każdego z nich. Często wymaga to od zespołów ds. zabezpieczeń powtórzeń tej samej implementacji, monitorowania i oceny w różnych środowiskach chmury (często w przypadku różnych standardów zgodności). Spowoduje to niepotrzebne obciążenie, koszty i nakład pracy. Aby rozwiązać ten problem, ulepszyliśmy ASB do MCSB, aby ułatwić szybką pracę z różnymi chmurami przez:

    • Zapewnienie jednej struktury kontroli w celu łatwego spełnienia mechanizmów kontroli zabezpieczeń w chmurach
    • Zapewnianie spójnego środowiska użytkownika do monitorowania i wymuszania testu porównawczego zabezpieczeń w wielu chmurach w usłudze Defender for Cloud
    • Zachowanie zgodności ze standardami branżowymi (np. CIS, NIST, PCI)

    Mapowanie między ASB a CIS Benchmark

  2. Automatyczne monitorowanie kontroli dla platformy AWS w usłudze Microsoft Defender for Cloud: pulpit zgodności z przepisami w usłudze Microsoft Defender for Cloud umożliwia monitorowanie środowiska platformy AWS zgodnie z MCSB, podobnie jak monitorowanie środowiska Azure. Opracowaliśmy około 180 kontroli platformy AWS pod kątem nowych wskazówek dotyczących zabezpieczeń platformy AWS w usłudze MCSB, co umożliwia monitorowanie środowiska i zasobów platformy AWS w usłudze Microsoft Defender for Cloud.

    Zrzut ekranu przedstawiający integrację programu MSCB z usługą Microsoft Defender for Cloud

  3. Odświeżenie istniejących zasad dotyczących zabezpieczeń i wskazówek dotyczących platformy Azure: Odświeżyliśmy również niektóre istniejące wskazówki dotyczące zabezpieczeń i zasady zabezpieczeń platformy Azure podczas tej aktualizacji, aby móc być na bieżąco z najnowszymi funkcjami i możliwościami platformy Azure.

Sterowanie

Domeny kontrolek Description
Zabezpieczenia sieci (NS) Zabezpieczenia sieci obejmują mechanizmy kontroli zabezpieczania i ochrony sieci, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania i ograniczania ataków zewnętrznych oraz zabezpieczania systemu DNS.
Zarządzanie tożsamościami (IM) Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu systemów zarządzania tożsamościami i dostępem, w tym korzystania z logowania jednokrotnego, silnych uwierzytelnień, tożsamości zarządzanych (i jednostek usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont.
Dostęp uprzywilejowany (PA) Dostęp uprzywilejowany obejmuje mechanizmy kontrolne ochrony dostępu uprzywilejowanego do dzierżawcy i zasobów, w tym szereg mechanizmów kontrolnych w celu ochrony modelu administracyjnego, kont administracyjnych oraz uprzywilejowanych stacji roboczych przed ryzykiem celowym i nieumyślnym.
Ochrona danych (DP) Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania, zarządzania kluczami i zarządzania certyfikatami.
Zarządzanie zasobami (AM) Zarządzanie zasobami obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami, w tym zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie).
Rejestrowanie i wykrywanie zagrożeń (LT) Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń w chmurze oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług w chmurze, w tym włączania wykrywania, badania i procesów korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach w chmurze; Obejmuje również zbieranie dzienników za pomocą usługi monitorowania w chmurze, scentralizowanie analizy zabezpieczeń za pomocą rozwiązania SIEM, synchronizacji czasu i przechowywania dzienników.
Reagowanie na zdarzenia (IR) Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure (takich jak Microsoft Defender for Cloud i Sentinel) i/lub innych usług w chmurze w celu zautomatyzowania procesu reagowania na zdarzenia.
Zarządzanie postawą i lukami w zabezpieczeniach (PV) Zarządzanie postawą i lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i poprawy bezpieczeństwa w chmurze, obejmując skanowanie luk w zabezpieczeniach, testy penetracyjne i ich usuwanie, a także śledzenie, raportowanie i korygowanie konfiguracji zabezpieczeń w zasobach chmury.
Zabezpieczenia punktu końcowego (ES) Zabezpieczenia punktu końcowego obejmują mechanizmy kontroli wykrywania i reagowania na punkty końcowe, w tym korzystanie z wykrywania i reagowania na punkty końcowe w środowiskach w chmurze oraz usługi ochrony przed złośliwym oprogramowaniem.
Tworzenie kopii zapasowych i odzyskiwanie (BR) Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione.
Zabezpieczenia DevOps (DS) Usługa DevOps Security obejmuje mechanizmy kontroli związane z inżynierią zabezpieczeń i operacjami w procesach DevOps, w tym wdrażanie krytycznych kontroli zabezpieczeń (takich jak testowanie zabezpieczeń aplikacji statycznych, zarządzanie lukami w zabezpieczeniach) przed fazą wdrażania w celu zapewnienia bezpieczeństwa w całym procesie DevOps; Zawiera również typowe tematy, takie jak modelowanie zagrożeń i zabezpieczenia dostarczania oprogramowania.
Ład i strategia (GS) Ład i strategia zawierają wskazówki dotyczące zapewnienia spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów.

Rekomendacje w testach porównawczych zabezpieczeń w chmurze firmy Microsoft

Każde zalecenie zawiera następujące informacje:

  • ID: ID testu porównawczego, który odpowiada rekomendacji.
  • CIS Controls v8 ID(s): Kontrola(e) CIS Controls v8, które odpowiadają rekomendacji.
  • Kontrolki CIS w wersji 7.1: kontrolki CIS w wersji 7.1, które odpowiadają rekomendacji (niedostępne w sieci Web ze względu na przyczynę formatowania).
  • PCI-DSS identyfikatory wersji 3.2.1: kontrolki PCI-DSS w wersji 3.2.1, które odpowiadają rekomendacji.
  • Identyfikatory NIST SP 800-53 r4: Kontrole NIST SP 800-53 r4 (umiarkowane i wysokie) odpowiadają tym zaleceniom.
  • Zasada zabezpieczeń: Zalecenie koncentruje się na "co", wyjaśniając mechanizm na poziomie niezależnym od technologii.
  • Wskazówki dotyczące platformy Azure: zalecenie koncentruje się na "sposobie", objaśniając funkcje techniczne i podstawy implementacji platformy Azure.
  • Wskazówki dotyczące platformy AWS: zalecenie koncentruje się na "sposobie", objaśniając funkcje techniczne i podstawy implementacji platformy AWS.
  • Implementacja i dodatkowy kontekst: szczegóły implementacji i inny odpowiedni kontekst, który łączy się z artykułami dokumentacji oferty usług Azure i AWS.
  • Interesariusze bezpieczeństwa klienta: funkcje zabezpieczeń w organizacji klienta, które mogą być odpowiedzialne, rozliczane lub konsultowane za odpowiednią kontrolę. Może się to różnić od organizacji w zależności od struktury organizacji zabezpieczeń firmy oraz ról i obowiązków związanych z zabezpieczeniami platformy Azure.

Mapowania kontrolek między mcSB i branżowymi testami porównawczymi (takimi jak CIS, NIST i PCI) wskazują tylko, że określone funkcje platformy Azure mogą być używane do pełnego lub częściowego spełnienia wymagań kontrolnych zdefiniowanych w tych branżowych testach porównawczych. Należy pamiętać, że taka implementacja nie musi przekładać się na pełną zgodność odpowiednich kontroli w tych branżowych testach porównawczych.

Z zadowoleniem przyjmujemy twoją szczegółową opinię i aktywne uczestnictwo w testach porównawczych zabezpieczeń w chmurze firmy Microsoft. Jeśli chcesz podać bezpośrednie dane wejściowe, wyślij nam wiadomość e-mail na adres benchmarkfeedback@microsoft.com.

Pobierz

Możesz pobrać kopię testu porównawczego i punktu odniesienia w trybie offline w formacie arkusza kalkulacyjnego.

Dalsze kroki

  • Last updated on