Microsoft云安全基准(MCSB)提供了规范性的最佳做法和建议,以帮助提高 Azure 和多云环境中的工作负载、数据和服务的安全性。 此基准侧重于以云为中心的控制区域,其中包含一组整体Microsoft和行业安全指南的输入,其中包括:
- 云采用框架:安全指南,包括 策略、角色和职责、 Azure 前 10 大安全最佳做法和 参考实现。
- Azure Well-Architected 框架:关于 确保 Azure 上的工作负荷安全的指导性建议。
- 首席信息安全官(CISO)研讨会: 使用零信任原则加速安全现代化的计划指导和参考策略。
- 其他行业和云服务提供商安全最佳做法标准和框架:示例包括 Amazon Web Services(AWS)Well-Architected 框架、Internet 安全中心(CIS)控制中心、国家标准与技术研究所(NIST)和支付卡行业数据安全标准(PCI-DSS)。
Microsoft云安全基准 v1 中的新增功能
注释
Microsoft云安全基准是 Azure 安全基准(ASB)的继任者,该基准于 2022 年 10 月重新命名。
MCSB 中的 Google Cloud Platform 支持现已作为预览版功能提供,同时在 MCSB 基准指南和 Microsoft Defender for Cloud 中提供。
下面是 Microsoft 云安全基准 v1 中的新增功能:
全面的多云安全框架:组织通常需要构建内部安全标准,以协调跨多个云平台的安全控制,以满足每个云平台的安全和合规性要求。 这通常需要安全团队跨不同的云环境重复相同的实现、监视和评估(通常针对不同的合规性标准)。 这会产生不必要的开销、成本和工作量。 为了解决这一问题,我们将 ASB 升级为 MCSB,以帮助您通过以下方法快速处理不同的云服务:
- 提供单个控制框架,以轻松满足跨云的安全控制
- 在 Defender for Cloud 中提供一致的用户体验,用于监视和强制实施多云安全基准
- 与行业标准保持一致(例如 CIS、NIST、PCI)
Microsoft Defender for Cloud 中 AWS 的自动化控制监测:可以使用 Microsoft Defender for Cloud 法规合规性仪表板 监控 AWS 环境,就像监控 Azure 环境一样。 我们为 MCSB 中的新 AWS 安全指南开发了大约 180 项 AWS 检查,允许您在 Microsoft Defender for Cloud 中监视您的 AWS 环境和资源。
刷新现有的 Azure 指南和安全原则:我们还在此更新期间刷新了一些现有的 Azure 安全指南和安全原则,以便随时了解最新的 Azure 特性和安全原则。
控件
| 控制领域 | Description |
|---|---|
| 网络安全 (NS) | 网络安全涵盖保护网络的控制措施,包括保护虚拟网络、建立专用连接、防止和缓解外部攻击以及保护 DNS。 |
| 标识管理(IM) | 标识管理包括用于使用身份和访问管理系统建立安全身份验证和访问控制的控制措施,其中包括使用单一登录、强身份验证、用于应用程序的托管标识(和服务主体)、条件访问和帐户异常监视。 |
| 特权访问 (PA) | 特权访问涵盖保护对租户和资源特权访问的控制,包括一系列控制措施,以保护管理模型、管理帐户和特权访问工作站免受故意和无意的风险。 |
| 数据保护 (DP) | 数据保护涵盖对静态数据保护、传输中和授权访问机制的控制,包括使用访问控制、加密、密钥管理和证书管理发现、分类、保护和监视敏感数据资产。 |
| 资产管理(AM) | 资产管理涵盖确保资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问以及管理对服务和资源的审批(清单、跟踪和更正)。 |
| 日志记录和威胁检测 (LT) | 日志记录和威胁检测包括用于检测云威胁的控制措施,以及启用、收集和存储云服务的审核日志,包括启用检测、调查和修正流程,并控制在云服务中生成具有本机威胁检测的高质量警报:它还包括使用云监视服务收集日志、使用 SIEM 集中安全分析、时间同步和日志保留。 |
| 事件响应(IR) | 事件响应涵盖事件响应生命周期的控制 - 准备、检测和分析、遏制和事件后活动,包括使用 Azure 服务(如 Microsoft Defender for Cloud 和 Sentinel)和其他云服务自动执行事件响应过程。 |
| 态势和漏洞管理 (PV) | 状况和漏洞管理侧重于用于评估和改进云安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及云资源中的安全配置跟踪、报告和更正。 |
| 终结点安全性 (ES) | 终结点安全性涵盖终结点检测和响应中的控制措施,包括对云环境中终结点使用终结点检测和响应(EDR)和反恶意软件服务。 |
| 备份和恢复 (BR) | 备份和恢复涵盖确保执行、验证和保护不同服务层级的数据和配置备份的控制措施。 |
| DevOps Security (DS) | DevOps Security 涵盖与 DevOps 流程中安全工程和作相关的控制措施,包括部署阶段之前的关键安全检查(例如静态应用程序安全测试、漏洞管理)的部署,以确保整个 DevOps 流程的安全性:它还包括威胁建模和软件供应安全性等常见主题。 |
| 治理和策略 (GS) | 治理和策略为确保一致的安全策略和文档化的治理方法提供指导,以引导和维持安全保障。这包括为不同的云安全功能、统一的技术战略及其支持的政策和标准建立明确的角色和责任。 |
Microsoft云安全基准中的建议
每项建议都包含以下信息:
- ID:与建议对应的基准 ID。
- CIS 控件 v8 ID:与建议对应的 CIS 控件 v8 控制项。
- CIS 控制 v7.1 ID(s):与该建议对应的 CIS 控制 v7.1 控件(由于格式设置原因在 Web 中不可用)。
- PCI-DSS v3.2.1 ID(s):与建议对应的 PCI-DSS v3.2.1 控件。
- NIST SP 800-53 r4 标识符: NIST SP 800-53 r4 中等、高控制措施与此建议相符。
- 安全原则:建议侧重于“什么”,解释与技术无关的层级控制。
- Azure 指南:建议重点介绍“作方法”,介绍 Azure 技术功能和实现基础知识。
- AWS 指南:建议重点介绍“作方法”,介绍 AWS 技术功能和实现基础知识。
- 实现和其他上下文:实现的详细信息和其他相关上下文,这些上下文链接到 Azure 和 AWS 服务产品文档文章。
- 客户安全利益相关者:客户组织中可能对相应控制负责、承担责任或被咨询的安全职能。 它可能在不同的组织之间有所不同,这取决于你公司的安全组织结构,以及你为 Azure 安全设定的角色和职责。
MCSB 与行业基准(如 CIS、NIST 和 PCI)之间的控制映射仅指示特定的 Azure 功能可用于完全或部分解决这些行业基准中定义的控制要求。 应注意,这样的实现并不必然意味着完全符合这些行业基准中的相应控制。
欢迎你提供详细的反馈和积极参与Microsoft云安全基准工作。 如果要提供直接输入,请通过电子邮件 benchmarkfeedback@microsoft.com向我们发送电子邮件。
下载
可以下载 电子表格格式的基准和基线脱机副本。
后续步骤
- 请参阅第一个安全控制: 网络安全
- 阅读 Microsoft云安全基准简介
- 了解 Azure 安全基础知识