Přehled kontrolních mechanismů zabezpečení Azure (v2)

(ASB) poskytuje doporučené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure.

Tento srovnávací test je součástí sady ucelených pokynů k zabezpečení, které zahrnují:

Srovnávací test zabezpečení Azure se zaměřuje na oblasti řízení zaměřené na cloud. Tyto kontroly jsou konzistentní s dobře známými srovnávacími testy zabezpečení, jako jsou ty, které popisuje Centrum pro kontrolu internetu (CIS) verze 7.1 a National Institute of Standards and Technology (NIST) SP 800-53. Do srovnávacího testu zabezpečení Azure jsou zahrnuty následující ovládací prvky:

Domény ovládacího prvku ASB Description
Zabezpečení sítě (NS) Zabezpečení sítě zahrnuje kontrolní mechanismy pro zabezpečení a ochranu sítí Azure, včetně zabezpečení virtuálních sítí, navazování privátních připojení, prevence a zmírnění externích útoků a zabezpečení DNS.
Správa identit (IM) Správa identit se zabývá ovládacími prvky pro vytvoření zabezpečeného řízení identit a přístupu pomocí Azure Active Directory, včetně použití jednotného přihlašování, silného ověřování, spravovaných identit (a principů služeb) pro aplikace, podmíněný přístup a monitorování anomálií účtů.
Privilegovaný přístup (PA) Privileged Access pokrývá ovládací prvky pro ochranu privilegovaného přístupu k vašemu tenantovi a prostředkům Azure, včetně řady ovládacích prvků pro ochranu modelu správy, účtů pro správu a pracovních stanic s privilegovaným přístupem před úmyslným a neúmyslným rizikem.
Ochrana dat (DP) Ochrana dat zahrnuje kontrolu neaktivních uložených dat, přenášených dat a prostřednictvím autorizovaných přístupových mechanismů, včetně zjišťování, klasifikace, ochrany a monitorování citlivých datových prostředků pomocí řízení přístupu, šifrování a protokolování v Azure.
Správa prostředků (AM) Správa prostředků se zabývá ovládacími prvky, které zajišťují viditelnost zabezpečení a zásady správného řízení u prostředků Azure, včetně doporučení pro oprávnění pro pracovníky zabezpečení, přístupu zabezpečení k inventáři prostředků a správy schválení pro služby a prostředky (inventář, sledování a správnost).
Protokolování a detekce hrozeb (LT) Protokolování a detekce hrozeb zahrnuje kontroly pro detekci hrozeb v Azure a povolení, shromažďování a ukládání protokolů auditu pro služby Azure, včetně povolení detekce, vyšetřování a nápravných procesů s ovládacími prvky pro generování vysoce kvalitních výstrah s nativní detekcí hrozeb ve službách Azure; Zahrnuje také shromažďování protokolů pomocí služby Azure Monitor, centralizaci analýzy zabezpečení pomocí služby Azure Sentinel, synchronizace času a uchovávání protokolů.
Reakce na incidenty (IR) Reakce na incidenty se zabývá kontrolami životního cyklu reakce na incidenty – příprava, detekce a analýza, zahrnutí a aktivity po incidentu, včetně použití služeb Azure, jako jsou Azure Security Center a Sentinel k automatizaci procesu reakce na incidenty.
Stav a správa ohrožení zabezpečení (PV) Stav a správa ohrožení zabezpečení se zaměřuje na kontroly pro posouzení a zlepšení stavu zabezpečení Azure, včetně kontroly ohrožení zabezpečení, testování průniku a nápravy, jakož i sledování konfigurace zabezpečení, vytváření sestav a oprav v prostředcích Azure.
Zabezpečení koncových bodů (ES) Endpoint Security pokrývá kontroly při detekci a odezvě koncových bodů, včetně použití detekce koncových bodů a odezvy (EDR) a antimalwarové služby pro koncové body v prostředích Azure.
Zálohování a obnovení (BR) Zálohování a obnovení pokrývá ovládací prvky, které zajišťují provádění, ověření a ochranu záloh dat a konfigurace na různých úrovních služby.
Zásady správného řízení a strategie (GS) Zásady správného řízení a strategie poskytují pokyny k zajištění ucelené strategie zabezpečení a zdokumentovaného přístupu k zásadám správného řízení, včetně stanovení rolí a odpovědností za různé funkce zabezpečení cloudu, jednotné technické strategie a podpory zásad a standardů.

Doporučení srovnávacích testů zabezpečení Azure

Každé doporučení obsahuje následující informace:

  • ID Azure: ID srovnávacího testu zabezpečení Azure, které odpovídá doporučení.
  • OVLÁDACÍ PRVKY CIS v7.1 ID: Ovládací prvky CIS v7.1 ovládací prvky, které odpovídají tomuto doporučení.
  • NIST SP 800-53 r4 ID: NIST SP 800-53 r4 (střední) kontroly, které odpovídají tomuto doporučení.
  • Podrobnosti: Odůvodnění doporučení a odkazy na pokyny k jeho implementaci. Pokud je doporučení podporováno Azure Security Center, budou uvedené také tyto informace.
  • Odpovědnost: Za implementaci tohoto doporučení zodpovídá zákazník, poskytovatel služeb nebo obojí. Odpovědnost za zabezpečení se sdílí ve veřejném cloudu. Některé kontrolní mechanismy zabezpečení jsou k dispozici pouze poskytovateli cloudových služeb, a proto je poskytovatel zodpovědný za jejich řešení. Toto jsou obecná pozorování – u některých jednotlivých služeb se odpovědnost bude lišit od toho, co je uvedeno ve srovnávacím testu zabezpečení Azure. Tyto rozdíly jsou popsány v základních doporučeních pro jednotlivé služby.
  • Zúčastněné strany zabezpečení zákazníků: Funkce zabezpečení v organizaci zákazníka, která může být zodpovědná, zodpovědná nebo konzultovaná s příslušnou kontrolou. Může se lišit od organizace po organizaci v závislosti na struktuře organizace zabezpečení vaší společnosti a na rolích a zodpovědnostech, které jste nastavili v souvislosti se zabezpečením Azure.

Poznámka

Mapování kontrol mezi ASB a oborovými srovnávacími testy (například NIST a CIS) značí pouze to, že konkrétní funkci Azure je možné použít k úplnému nebo částečnému řešení kontrolního požadavku definovaného v NIST nebo CIS. Měli byste mít na paměti, že taková implementace nemusí nutně překládat na úplné dodržování příslušných kontrol v CIS nebo NIST.

Vítáme vaši podrobnou zpětnou vazbu a aktivní účast v úsilí srovnávacího testu zabezpečení Azure. Pokud chcete týmu srovnávacích testů zabezpečení Azure poskytnout přímý vstup, vyplňte formulář na adrese https://aka.ms/AzSecBenchmark

Stáhnout

Srovnávací test zabezpečení Azure si můžete stáhnout ve formátu tabulky.

Další kroky