Führungslinie zur Risikobewertung für Microsoft Cloud
Das Ziel einer Cloudrisikobewertung besteht darin, sicherzustellen, dass das System und die Daten, die für die Migration in die Cloud berücksichtigt werden, keine neuen oder nicht identifizierten Risiken für die Organisation darstellen. Der Schwerpunkt liegt auf der Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit und Datenschutz der Informationsverarbeitung und darauf, identifizierte Risiken unterhalb des akzeptierten internen Risikoschwellenwerts zu halten.
In einem Modell mit gemeinsamer Verantwortung ist der Clouddienstanbieter (Cloud Service Provider, CSP) als Anbieter für die Verwaltung der Sicherheit und Compliance der Cloud verantwortlich. Der Kunde bleibt für die Verwaltung und Konfiguration von Sicherheit und Compliance in der Cloud gemäß seinen Anforderungen und seiner Risikotoleranz verantwortlich.
In diesem Leitfaden werden bewährte Methoden zum effizienten Bewerten von Lieferantenrisiken und zur Verwendung der von Microsoft zur Verfügung gestellten Ressourcen und Tools erläutert.
Grundlegendes zur gemeinsamen Verantwortung in der Cloud
Cloudbereitstellungen können als Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) oder Software-as-a-Service (SaaS) kategorisiert werden. Je nach anwendbarem Clouddienstmodell wechselt die Zuständigkeitsebene für die Sicherheitskontrollen der Lösungen zwischen dem CSP und dem Kunden. In einem herkömmlichen lokalen Modell ist der Kunde für den gesamten Stapel verantwortlich. Beim Wechsel in die Cloud werden alle physischen Sicherheitsaufgaben an den CSP übertragen. Abhängig vom Clouddienstmodell für Ihre Organisation werden zusätzliche Zuständigkeiten auf den CSP übertragen. In den meisten Dienstmodellen bleibt Ihre Organisation jedoch für die Geräte verantwortlich, die für den Zugriff auf die Cloud, die Netzwerkkonnektivität, Ihre Konten und Identitäten sowie Ihre Daten verwendet werden. Microsoft investiert stark in die Entwicklung von Diensten, mit denen Kunden während des gesamten Lebenszyklus die Kontrolle über ihre Daten behalten können.
Microsoft Cloud arbeitet auf einer Hyperskalierung und basiert auf einer Kombination aus DevSecOps und Automatisierung, um Betriebsmodelle zu standardisieren. Das Microsoft-Betriebsmodell ändert die Art und Weise, wie Risiken im Vergleich zu herkömmlichen lokalen Betriebsmodellen angegangen werden, was zur Implementierung verschiedener und manchmal unbekannter Kontrollen zum Verwalten von Risiken führt. Beachten Sie bei der Durchführung Ihrer Cloudrisikobewertung, dass das Ziel von Microsoft darin besteht, sicherzustellen, dass alle Risiken angegangen werden, aber nicht unbedingt die gleichen Kontrollen wie Ihre Organisation implementiert. Microsoft kann die gleichen Risiken mit einem anderen Satz von Kontrollen behandeln, die sich in der Cloudrisikobewertung widerspiegeln sollten. Das Entwerfen und Implementieren von starken vorbeugenden Kontrollen kann einen Großteil des Aufwands reduzieren, der für die Detektiv- und Korrekturkontrollen erforderlich ist. Ein Beispiel hierfür ist die Implementierung von Zero Standing Access (ZSA) durch Microsoft.
Einführung eines Frameworks
Microsoft empfiehlt Kunden, ihr internes Risiko- und Kontrollframework einem unabhängigen Framework zuzuordnen, das Cloudrisiken auf standardisierte Weise behandelt. Wenn Ihre vorhandenen internen Risikobewertungsmodelle die spezifischen Herausforderungen, die mit Cloud Computing verbunden sind, nicht bewältigen, profitieren Sie von diesen weit verbreiteten und standardisierten Frameworks. Ein sekundärer Vorteil besteht darin, dass Microsoft Zuordnungen zu diesen Frameworks in Dokumentation und Tools bereitstellt, die Ihre Risikobewertungen beschleunigen. Beispiele für diese Frameworks sind der Informationssicherheitsstandard ISO 27001, CIS Benchmark und NIST SP 800-53. Microsoft bietet die umfassendsten Compliance-Angebote aller CSP. Weitere Informationen finden Sie unter Microsoft-Complianceangebote.
Verwenden Sie Microsoft Purview Compliance Manager , um eigene Bewertungen zu erstellen, die die Einhaltung der branchenspezifischen und regionalen Vorschriften bewerten, die für Ihre Organisation gelten. Bewertungen basieren auf dem Framework von Bewertungsvorlagen, die die erforderlichen Kontrollen, Verbesserungsaktionen und ggf. Microsoft-Aktionen zum Abschließen der Bewertung enthalten. Für Microsoft-Aktionen werden detaillierte Implementierungspläne und aktuelle Überwachungsergebnisse bereitgestellt. Auf diese Weise kann Zeit für das Auffinden von Fakten, die Zuordnung und die Untersuchung der Implementierung bestimmter Steuerelemente durch Microsoft eingespart werden. Weitere Informationen finden Sie im Artikel Microsoft Purview Compliance Manager.
Verstehen, wie Microsoft ihre Daten schützt
Während der Kunde für die Verwaltung und Konfiguration von Sicherheit und Compliance in der Cloud verantwortlich ist, ist der CSP für die Verwaltung der Sicherheit und Compliance der Cloud verantwortlich. Eine Möglichkeit, zu überprüfen, ob der CSP seine Verantwortung effektiv erfüllt und seine Zusagen einhält, besteht darin, seine externen Auditberichte wie ISO und SOC zu überprüfen. Microsoft stellt externe Überwachungsberichte für authentifizierte Zielgruppen im Service Trust Portal (STP) zur Verfügung.
Zusätzlich zu externen Überwachungsberichten empfiehlt Microsoft Kunden dringend, die folgenden Ressourcen zu nutzen, um zu verstehen, wie Microsoft im Detail arbeitet:
On-Demand-Lernpfad: Microsoft Learn bietet Hunderte von Lernpfaden und Modulen zu verschiedenen Themen. Unter anderem erfahren Sie, wie Microsoft Kundendaten schützt , um die grundlegenden Sicherheits- und Datenschutzpraktiken von Microsoft zu verstehen.
Service Assurance für Microsoft Compliance: Artikel zu Microsoft-Methoden werden zur einfacheren Überprüfung in 16 Domänen kategorisiert. Jede Domäne enthält eine Übersicht, die erfasst, wie Microsoft risiken im Zusammenhang mit den einzelnen Bereichen verwaltet. Überwachungstabellen enthalten Links zu den neuesten Berichten, die im STP gespeichert sind, verwandten Abschnitten und dem Datum, an dem der Überwachungsbericht für Microsoft Onlinedienste durchgeführt wurde. Falls verfügbar, werden Links zu Artefakten bereitgestellt, die die Steuerungsimplementierung veranschaulich machen, z. B. Sicherheitsrisikobewertungen von Drittanbietern und Berichte zur Überprüfung des Geschäftskontinuitätsplans. Wie Überwachungsberichte werden diese Artefakte auf STP gehostet und erfordern eine Authentifizierung für den Zugriff.
| Domäne | Beschreibung |
|---|---|
| Architektur | Das Design von Microsoft Onlinedienste und die Sicherheitsprinzipien, die als Grundlage dienen. |
| Überwachungsprotokollierung und Überwachung | Wie Microsoft Protokolle erfasst, verarbeitet, speichert, schützt und analysiert, um nicht autorisierte Aktivitäten zu erkennen und die Leistung zu überwachen. ermöglichen die Sicherheits- und Leistungsüberwachung. |
| Sicherheit von Rechenzentren | Wie Microsoft die Rechenzentren sicher betreibt, die die Möglichkeit bieten, Microsoft Onlinedienste weltweit zu betreiben. |
| Verschlüsselung und Schlüsselverwaltung | Der kryptografische Schutz der Kundenkommunikation und der in der Cloud gespeicherten und verarbeiteten Daten. |
| Governance, Risiko und Compliance | Wie Microsoft die sicherheitspolitischen Richtlinien erzwingt und risiken verwaltet, um Kundenzusagen und Complianceanforderungen zu erfüllen. |
| Identitäts- und Zugriffsverwaltung | Schutz von Microsoft Onlinedienste und Kundendaten vor unbefugtem oder böswilligem Zugriff. |
| Verwaltung von Sicherheitsvorfällen | Die Prozesse, die Microsoft verwendet, um alle Sicherheitsvorfälle vorzubereiten, zu erkennen, zu reagieren und zu kommunizieren. |
| Netzwerksicherheit | Wie Microsoft seine Netzwerkgrenzen vor externen Angriffen schützt und das interne Netzwerk verwaltet, um deren Weitergabe einzuschränken. |
| Personalmanagement | Die Überprüfungsprozesse, Schulungen und die sichere Verwaltung des Personals während seiner gesamten Zeit bei Microsoft. |
| Datenschutz und Datenverwaltung | Wie Microsoft Kundendaten verarbeitet und schützt, um ihre Datenrechte zu wahren. |
| Ausfallsicherheit und Kontinuität | Prozesse und Technologien, die verwendet werden, um die Dienstverfügbarkeit zu gewährleisten und Geschäftskontinuität und Wiederherstellung sicherzustellen. |
| Entwicklung und Verfahren im Sicherheitsbereich | Wie Microsoft sicherstellt, dass seine Dienste während des gesamten Lebenszyklus sicher entworfen, ausgeführt und verwaltet werden. |
| Lieferantenmanagement | Wie Microsoft Drittanbieterunternehmen, die microsoft Onlinedienste unterstützen, kontrolliert und verwaltet. |
| Bedrohungs- und Sicherheitsrisikomanagement | Die Prozesse, die Microsoft verwendet, um nach Sicherheitsrisiken und Schadsoftware zu suchen, zu erkennen und zu beheben. |
Compliance Program for Microsoft Cloud (CPMC)
Organisationen teilen sich die Verantwortung mit ihrem CSP, um die Daten und Systeme zu schützen, die in der Cloud vorhanden sind. Kunden müssen die Risiken bewerten und anforderungen an die Einhaltung gesetzlicher Bestimmungen effizient und wiederholbar erfüllen. Es kann jedoch schwierig sein, in der globalen Regulierungslandschaft zu navigieren und genügend Einblicke in die Praktiken eines CSP zu erhalten, um ein akzeptables Maß an Sicherheit zu erreichen. Um diese Herausforderungen zu meistern, hat Microsoft die Compliance Program for Microsoft Cloud (CPMC) eingeführt. Der CPMC ist ein kostenpflichtiges Premium-Programm, das personalisierte gesetzliche und branchenspezifische Compliance-Support-, Schulungs- und Netzwerkmöglichkeiten bietet. Weitere Informationen zu CPMC-spezifischen Angeboten finden Sie auf der CPMC-Website.
Ressourcen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für