將產業與法規標準新增至適用於雲端的 Microsoft Defender
Microsoft 雲端安全性基準 (MCSB) 提供一套規範性最佳做法與建議,以協助提升 Azure 以及多雲端環境中工作負載、資料與服務的安全性。此基準專注於以雲端為核心的控制區域,並整合了來自 Microsoft 與業界的一系列全方位安全性指引,包括:
- 雲端採用架構: 安全性指引,包括策略、角色和責任、Azure 前 10 名安全性最佳做法,以及參考實作。
- Azure Well-Architected Framework:在 Azure 上保護工作負載的指導方針。
- 資訊安全長 (CISO) 研討會:使用零信任原則加速安全性現代化的計畫指引和參考策略。
- 其他產業和雲端服務提供者的安全性最佳做法標準和架構:範例包括 Amazon Web Services (AWS) Well-Architected 架構、Center for Internet Security (CIS) 控制項、國家標準暨技術研究院 (NIST),以及支付卡產業資料安全性標準 (PCI-DSS)。
Microsoft 雲端安全性基準功能
完整的多雲端安全性架構:組織通常必須建置內部安全性標準,協調跨多個雲端平台的安全性控制,以符合每個雲端平台的安全性與合規性需求。 建立安全控管需要安全團隊在不同雲端環境(通常針對不同合規標準)重複相同的實施、監控與評估。 為了解決此問題,我們已將 Azure 安全性基準 (ASB) 增強為 Microsoft 雲端安全性基準 (MCSB),以協助您透過下列方式快速處理不同的雲端:
- 提供單一控制架構,以輕鬆達成跨雲端的安全性控制
- 在適用於雲端的 Defender 中提供監視和強制執行多雲端安全性基準的一致使用者體驗
- 保持與產業標準一致(例如,網際網路安全中心、國家標準與技術研究院、支付卡產業)
適用於雲端的 Microsoft Defender 中 AWS 的自動化控制監視: 您可以使用適用於雲端的 Microsoft Defender 法規合規性儀表板,針對 Microsoft 雲端安全性基準 (MCSB) 監視 AWS 環境,如同監視 Azure 環境的方式一樣。 我們為 MCSB 新的 AWS 安全指南開發了大約 180 種 AWS 檢查,以讓您監視適用於雲端的 Microsoft Defender 中的 AWS 環境和資源。
範例:適用於雲端的 Microsoft Defender - 法規合規性儀表板
Azure 指引和安全性準則:Azure 安全性指引、安全性準則、特性和功能。
控制項
| 控制網域 | 描述 |
|---|---|
| 網路安全性 (NS) | 網路安全性涵蓋保護與防護網路的控制項,包括保護虛擬網路、建立私人連線、預防及減少外部攻擊,以及保護網域名稱系統 (DNS)。 |
| 身分識別管理 (IM) | 身分識別管理涵蓋使用身分識別和存取管理系統建立安全身分識別和存取控制的控制項,包括使用單一登入、強式驗證、應用程式的受控識別 (和服務主體)、條件式存取和帳戶異常監視。 |
| 特殊權限存取 (PA) | 特殊權限存取涵蓋保護租用戶和資源特殊權限存取的控制項,包括保護系統管理模型、系統管理帳戶和特殊權限存取工作站的一系列控制項,以防止故意和意外的風險。 |
| 資料保護 (DP) | 資料保護涵蓋待用、傳輸中,以移透過授權存取機制的資料保護控制項,包括使用存取控制、加密、金鑰管理和憑證管理來探索、分類、保護及監視敏感性資料資產。 |
| 資產管理 (AM) | 資產管理涵蓋確保資源的安全性可見度和控管的控制項,包括安全性人員的權限、資產詳細目錄的安全性存取,以及管理服務和資源核准的建議 (清查、追蹤 和 更正)。 |
| 記錄和威脅偵測 (LT) | 記錄和威脅偵測涵蓋在雲端上偵測威脅以及啟用、收集及儲存雲端服務稽核記錄的控制項,包括使用控制項啟動偵測、調查和補救流程,以在雲端服務中使用原生威脅偵測產生高品質的警示;其也包括使用雲端監視服務收集記錄、使用安全性事件管理 (SEM)、時間同步處理和記錄保留來集中化安全性分析。 |
| 事件回應 (IR) | 事件回應涵蓋事件回應生命週期中的控制措施——準備、偵測與分析、遏制及事件後的活動,包括使用 Azure 服務(如 Microsoft Defender for Cloud 和 Microsoft Sentinel)及/或其他雲端服務來自動化事件回應流程。 |
| 態勢與弱點管理 (PV) | 態勢與弱點管理專注在評估及改善雲端安全性狀態的控制項,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性設定追蹤、報告和修正。 |
| 端點安全性 (ES) | 端點安全性涵蓋端點偵測和回應的控制項,包括針對雲端環境中的端點使用端點偵測及回應 (EDR) 與反惡意程式碼服務。 |
| 備份與復原 (BR) | 備份與復原涵蓋控制措施,確保不同服務層級的資料與設定備份得以執行、驗證並受到保護。 |
| DevOps 安全性 (DS) | DevOps Security 涵蓋與 DevOps 流程中安全工程與作業相關的控制,包括在部署階段前部署關鍵安全檢查(如靜態應用安全測試與漏洞管理),以確保整個 DevOps 流程的安全;同時也包含常見文章,如威脅建模與軟體供應安全。 |
| 治理與策略 (GS) | 治理與策略提供指引,以確保一致的安全性策略和記錄的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略以及支援原則和標準。 |
符合法規的高階設定指南
按步就班
- 啟用雲端防禦者(如果還沒啟用)
- Azure portal → Microsoft Defender for Cloud
- 確保在訂閱或管理群組中啟用 Defender for Cloud。
- 前往法規遵循
- Azure portal → Microsoft Defender for Cloud
- 選擇法規遵循
- 啟用監管標準
- 選擇管理合規政策
- 從內建標準中選擇(範例):
- ISO 27001 認證
- NIST SP 800 53
- PCI DSS 和 CIS 基準測試
- SOC 2
- 選擇新增
- 將標準指派到範圍
- 啟用標準時,你會在一個或多個範疇指定它:
- 管理小組(企業最佳實務)
- Subscription
- 啟用標準時,你會在一個或多個範疇指定它:
- 審核控制措施與評估
- 每個標準都細分為控制項
- 範例:「安全網路配置」
- 每個控制項對應至:
- Azure 原則評估
- Defender for Cloud 推薦
- 你可以深入:
- 控制狀態
- 資源通過/失敗
- 導致不合規的建議
- 每個標準都細分為控制項
- 修正不合規的發現
- 你透過以下方式解決不合規問題:
- 修復設定問題
- 啟用 Defender 計畫(例如 Defender for SQL、儲存)
- 政策補救任務的應用
- 在合理情況下使用豁免
- 你透過以下方式解決不合規問題:
- 新增自訂需求(可選)
- 如果你的組織有:
- 內部控制
- 區域法規
- 產業專屬規則
- 如果你的組織有:
- 使用豁免(因為考量到對稽核的友善性)
- 針對已核可的不合規情況 (有記錄的風險接受)
- 維持稽核透明度,避免漏報