Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Test porównawczy zabezpieczeń platformy Azure (ASB) zawiera normatywne najlepsze rozwiązania i zalecenia, które ułatwiają poprawę bezpieczeństwa obciążeń, danych i usług na platformie Azure.
Ten test porównawczy jest częścią zestawu całościowych wskazówek dotyczących zabezpieczeń, które obejmują również:
- Cloud Adoption Framework — wskazówki dotyczące zabezpieczeń, w tym strategii, ról i obowiązków, najlepszych rozwiązań dotyczących zabezpieczeń platformy Azure 10 i implementacji referencyjnej.
- Azure Well-Architected Framework — wskazówki dotyczące zabezpieczania obciążeń na platformie Azure.
- Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft — zalecenia z przykładami na platformie Azure.
Test porównawczy zabezpieczeń platformy Azure koncentruje się na obszarach kontroli skoncentrowanych na chmurze. Te mechanizmy kontroli są zgodne z dobrze znanymi testami porównawczymi zabezpieczeń, takimi jak te opisane przez Centrum kontroli zabezpieczeń internetowych (CIS) w wersji 7.1 i National Institute of Standards and Technology (NIST) SP 800-53. Następujące kontrole są uwzględnione w Azure Security Benchmark:
| Domeny Kontroli ASB | Opis |
|---|---|
| Zabezpieczenia sieci (NS) | Zabezpieczenia sieciowe obejmują mechanizmy kontroli zabezpieczania i ochrony sieci platformy Azure, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania i ograniczania ataków zewnętrznych oraz zabezpieczania systemu DNS. |
| Zarządzanie tożsamościami (IM) | Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu usługi Azure Active Directory, w tym korzystanie z logowania jednokrotnego, silne uwierzytelniania, tożsamości zarządzanych (i jednostek usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont. |
| Dostęp uprzywilejowany (PA) | Dostęp uprzywilejowany obejmuje mechanizmy kontroli ochrony uprzywilejowanego dostępu do dzierżawy i zasobów platformy Azure, w tym szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i uprzywilejowanych stacji roboczych dostępu przed celowym i nieumyślnym ryzykiem. |
| Ochrona danych (DP) | Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania i rejestrowania na platformie Azure. |
| Zarządzanie zasobami (AM) | Usługa Asset Management obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami platformy Azure, w tym zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie). |
| Rejestrowanie i wykrywanie zagrożeń (LT) | Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń na platformie Azure oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług platformy Azure, w tym włączania wykrywania, badania i procesów korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach platformy Azure; Obejmuje również zbieranie dzienników za pomocą usługi Azure Monitor, scentralizowanie analizy zabezpieczeń za pomocą usługi Azure Sentinel, synchronizacji czasu i przechowywania dzienników. |
| Reagowanie na zdarzenia (IR) | Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure, takich jak Azure Security Center i Sentinel w celu zautomatyzowania procesu reagowania na zdarzenia. |
| Stan bezpieczeństwa i zarządzanie lukami w zabezpieczeniach (PV) | Postawa bezpieczeństwa i zarządzanie lukami w zabezpieczeniach koncentruje się na mechanizmach oceny i poprawy zabezpieczeń platformy Azure, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i ich korygowania, a także na śledzeniu, raportowaniu i poprawianiu konfiguracji zabezpieczeń w zasobach platformy Azure. |
| Zabezpieczenia punktu końcowego (ES) | Zabezpieczenia punktu końcowego obejmują mechanizmy wykrywania i reagowania punktów końcowych, w tym korzystanie z wykrywania i reagowania na punkty końcowe w środowiskach platformy Azure oraz usługi ochrony przed złośliwym oprogramowaniem. |
| Tworzenie kopii zapasowych i odzyskiwanie (BR) | Tworzenie kopii zapasowych i odzyskiwanie obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione. |
| Ład i strategia (GS) | Ład i strategia zawierają wskazówki dotyczące zapewnienia spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów. |
Zalecenia dotyczące testów porównawczych zabezpieczeń platformy Azure
Każde zalecenie zawiera następujące informacje:
- Identyfikator platformy Azure: identyfikator testu porównawczego zabezpieczeń platformy Azure, który odpowiada rekomendacji.
- Środki kontroli CIS w wersji 7.1: Środki kontroli CIS w wersji 7.1, które odpowiadają tej rekomendacji.
- Identyfikatory NIST SP 800-53 r4: NIST SP 800-53 r4 (umiarkowane) kontrole, które odpowiadają temu zaleceniu.
- Szczegóły: uzasadnienie zalecenia i linki do wskazówek dotyczących sposobu jej implementacji. Jeśli zalecenie jest obsługiwane przez usługę Azure Security Center, zostaną również wyświetlone te informacje.
- Odpowiedzialność: czy klient, dostawca usług, czy oba te elementy są odpowiedzialne za wdrożenie tego zalecenia. Obowiązki dotyczące zabezpieczeń są dzielone w chmurze publicznej. Niektóre mechanizmy kontroli zabezpieczeń są dostępne tylko dla dostawcy usług w chmurze, dlatego dostawca jest odpowiedzialny za ich adresowanie. Są to ogólne obserwacje — w przypadku niektórych usług odpowiedzialność będzie inna niż ta, która jest wymieniona w teściu porównawczym zabezpieczeń platformy Azure. Te różnice opisano w zaleceniach bazowych dotyczących poszczególnych usług.
- Interesariusze ds. bezpieczeństwa klienta: Funkcje bezpieczeństwa w organizacji klienta, które mogą być odpowiadające, odpowiedzialne lub konsultowane w związku z odpowiednimi kontrolami. Może się to różnić od organizacji w zależności od struktury organizacji zabezpieczeń firmy oraz ról i obowiązków związanych z zabezpieczeniami platformy Azure.
Uwaga / Notatka
Mapowania kontrolek między usługą ASB i branżowymi testami porównawczymi (takimi jak NIST i CIS) wskazują tylko, że określoną funkcję platformy Azure można użyć do pełnego lub częściowego rozwiązania wymagania dotyczącego kontroli zdefiniowanego w NIST lub CIS. Należy pamiętać, że taka implementacja nie musi oznaczać pełnej zgodności z odpowiednimi kontrolami CIS czy NIST.
Z zadowoleniem przyjmujemy twoją szczegółową opinię i aktywne uczestnictwo w wysiłkach dotyczących testów porównawczych zabezpieczeń platformy Azure. Jeśli chcesz podać bezpośrednie dane wejściowe zespołu ds. testów porównawczych zabezpieczeń platformy Azure, wypełnij formularz pod adresem https://aka.ms/AzSecBenchmark
Pobierz
Test porównawczy zabezpieczeń platformy Azure można pobrać w formacie arkusza kalkulacyjnego.
Dalsze kroki
- Zobacz pierwszą kontrolę zabezpieczeń: zabezpieczenia sieci
- Przeczytaj wprowadzenie do testu porównawczego zabezpieczeń platformy Azure
- Poznaj podstawy zabezpieczeń platformy Azure