A Microsoft felhőbiztonsági teljesítménytesztjének áttekintése (v1)

  • Cikk

A Microsoft felhőbiztonsági teljesítménytesztje (MCSB) előíró ajánlott eljárásokat és javaslatokat nyújt a számítási feladatok, adatok és szolgáltatások biztonságának javításához az Azure-ban és a többfelhős környezetben. Ez a teljesítményteszt a felhőközpontú szabályozási területekre összpontosít, a Microsoft és az iparág átfogó biztonsági útmutatóinak segítségével, amelyek a következőket tartalmazzák:

A Microsoft cloud security benchmark v1 újdonságai

Megjegyzés

A Microsoft felhőbiztonsági teljesítménytesztje az Azure Security Benchmark (ASB) utódja, amelyet 2022 októberében újjászerkesztettek.

A Google Cloud Platform támogatása az MCSB-ben mostantól előzetes verziójú funkcióként érhető el mind az MCSB benchmark útmutatójában, mind a felhőhöz készült Microsoft Defender.

A Microsoft cloud security benchmark v1 újdonságai:

  1. Átfogó többfelhős biztonsági keretrendszer: A szervezeteknek gyakran létre kell hozniuk egy belső biztonsági szabványt, amely összeegyezteti a biztonsági vezérlőket több felhőplatformon, hogy megfeleljenek a biztonsági és megfelelőségi követelményeknek. Ez gyakran megköveteli, hogy a biztonsági csapatok ugyanazt az implementációt, monitorozást és értékelést ismételjék meg a különböző felhőkörnyezetekben (gyakran különböző megfelelőségi szabványok esetén). Ez szükségtelen többletterhelést, költséget és erőfeszítést eredményez. A probléma megoldásához továbbfejlesztettük az ASB-t MCSB-re, hogy a különböző felhőkkel való gyors munkavégzéshez az alábbiakkal segítsük:

    • Egyetlen vezérlési keretrendszer biztosítása a felhők biztonsági vezérlőinek egyszerű kielégítéséhez
    • Egységes felhasználói élmény biztosítása a többfelhős biztonsági teljesítményteszt monitorozásához és kényszerítéséhez a Felhőhöz készült Defenderben
    • Igazodjon az iparági szabványokhoz (pl. CIS, NIST, PCI)

    Leképezés az ASB és a CIS-teljesítményteszt között

  2. Automatizált vezérlésfigyelés az AWS-hez a felhőhöz készült Microsoft Defender-ben: A felhőszabályozási megfelelőségi irányítópulthoz készült Microsoft Defender használatával ugyanúgy figyelheti az AWS-környezetet az MCSB-vel, mint ahogyan az Azure-környezetet figyeli. Körülbelül 180 AWS-ellenőrzést fejlesztettünk ki az ÚJ AWS biztonsági útmutatóhoz az MCSB-ben, amely lehetővé teszi az AWS-környezet és -erőforrások monitorozását a Microsoft Defender for Cloudban.

    Képernyőkép az MSCB felhőbeli Microsoft Defender-be való integrálásáról

  3. A meglévő Azure-útmutatók és biztonsági alapelvek frissítése: A frissítés során frissítettük az Azure néhány meglévő biztonsági útmutatóját és biztonsági alapelvét is, hogy naprakész maradjon az Azure legújabb funkcióival és képességeivel.

Vezérlők

Tartományok vezérlése Description
Hálózati biztonság (NS) A Hálózati biztonság magában foglalja a hálózatok védelmét és védelmét szolgáló vezérlőket, beleértve a virtuális hálózatok védelmét, a privát kapcsolatok létesítését, a külső támadások megelőzését és enyhítését, valamint a DNS védelmét.
Identitáskezelés (IM) Az Identity Management magában foglalja a biztonságos identitás- és hozzáférés-vezérlők identitás- és hozzáférés-kezelési rendszerek használatával történő létrehozását, beleértve az egyszeri bejelentkezés, az erős hitelesítések, a felügyelt identitások (és szolgáltatásnevek) alkalmazását, a feltételes hozzáférést és a fiókanomáliák monitorozását.
Emelt szintű hozzáférés (PA) A Privileged Access a bérlőhöz és az erőforrásokhoz való emelt szintű hozzáférés védelmét szolgáló vezérlőket tartalmazza, beleértve a felügyeleti modell, a rendszergazdai fiókok és a kiemelt hozzáférésű munkaállomások szándékos és véletlen kockázatokkal szembeni védelmét biztosító vezérlőket.
Adatvédelem (DP) Az Adatvédelem magában foglalja az inaktív, átvitel alatt álló és engedélyezett hozzáférési mechanizmusokon keresztül történő adatvédelmet, beleértve a bizalmas adategységek felderítését, besorolását, védelmét és monitorozását hozzáférés-vezérléssel, titkosítással, kulcskezeléssel és tanúsítványkezeléssel.
Eszközkezelés (AM) Az Eszközkezelés magában foglalja az erőforrások biztonsági láthatóságának és szabályozásának biztosítását szolgáló vezérlőket, beleértve a biztonsági személyzet engedélyeit, az eszközleltárhoz való biztonsági hozzáférést, valamint a szolgáltatások és erőforrások jóváhagyásának kezelését (leltározás, nyomon követés és javítás).
Naplózás és fenyegetésészlelés (LT) A naplózás és a fenyegetésészlelés magában foglalja a felhőbeli fenyegetések észlelésére szolgáló vezérlőket, valamint a felhőszolgáltatások auditnaplóinak engedélyezését, gyűjtését és tárolását, beleértve az észlelési, vizsgálati és szervizelési folyamatok engedélyezését vezérlőkkel, amelyek kiváló minőségű riasztásokat hoznak létre natív fenyegetésészleléssel a felhőszolgáltatásokban; Emellett naplókat gyűjt egy felhőmonitorozási szolgáltatással, központosítja a biztonsági elemzést SIEM-sel, időszinkronizálással és naplómegőrzéssel.
Incidenskezelés (IR) Az incidensmegoldás magában foglalja az incidensmegoldás életciklusának vezérlőit – az előkészítést, az észlelést és az elemzést, az elszigetelést és az incidens utáni tevékenységeket, beleértve az Azure-szolgáltatások (például a Microsoft Defender a Felhőhöz és a Sentinelhez) és/vagy más felhőszolgáltatások használatát az incidensmegoldási folyamat automatizálásához.
Testtartás- és biztonságirés-kezelés (PV) A Testure and Vulnerability Management a felhőbeli biztonsági helyzet felmérésére és javítására szolgáló vezérlőkkel foglalkozik, beleértve a sebezhetőségek vizsgálatát, a behatolástesztelést és a javítást, valamint a biztonsági konfigurációk nyomon követését, a jelentéskészítést és a javítást a felhőerőforrásokban.
Végpontbiztonság (ES) Az Endpoint Security magában foglalja a végpontészlelés és -reagálás vezérlőit, beleértve a végpontészlelés és -válasz (EDR) és a kártevőirtó szolgáltatás használatát a felhőkörnyezetekben lévő végpontokhoz.
Biztonsági mentés és helyreállítás (BR) A biztonsági mentés és helyreállítás a különböző szolgáltatási szinteken történő adat- és konfigurációs biztonsági mentések végrehajtásának, érvényesítésének és védelmének biztosítására vonatkozó vezérlőket foglalja magában.
DevOps Security (DS) A DevOps Security a DevOps-folyamatok biztonsági tervezéséhez és műveleteihez kapcsolódó vezérlőkre terjed ki, beleértve a kritikus biztonsági ellenőrzések (például statikus alkalmazások biztonsági tesztelése, biztonságirés-kezelés) üzembe helyezését az üzembe helyezési fázis előtt a devOps-folyamat biztonságának biztosítása érdekében; Olyan gyakori témákat is tartalmaz, mint a fenyegetésmodellezés és a szoftverellátás biztonsága.
Irányítás és stratégia (GS) A szabályozás és a stratégia útmutatást nyújt a koherens biztonsági stratégia és a dokumentált irányítási megközelítés biztosításához a biztonsági biztosítás irányításához és fenntartásához, beleértve a különböző felhőbiztonsági funkciók szerepköreinek és felelősségeinek megállapítását, az egységes technikai stratégiát, valamint a támogató szabályzatokat és szabványokat.

Javaslatok a Microsoft felhőbiztonsági teljesítménytesztjében

Minden javaslat a következő információkat tartalmazza:

  • ID: A javaslatnak megfelelő teljesítményteszt azonosítója.
  • CIS-vezérlők v8-azonosító(ka): A javaslatnak megfelelő CIS-vezérlők v8-vezérlő(k).
  • CIS-vezérlők v7.1 azonosító(k): A JAVASLATnak megfelelő CIS-vezérlők v7.1 vezérlő(k) (a formázási ok miatt nem érhető el az interneten).
  • PCI-DSS v3.2.1 AZONOSÍTÓ(k):A PCI-DSS v3.2.1 vezérlő(k), amelyek megfelelnek a javaslatnak.
  • NIST SP 800-53 r4 ID(k): Az NIST SP 800-53 r4 (közepes és magas) vezérlő(k) megfelel ennek a javaslatnak.
  • Biztonsági elv: Az ajánlás a "mire" összpontosított, és a technológia-agnosztikus szinten magyarázta el az ellenőrzést.
  • Azure-útmutató: A javaslat az "útmutatóra" összpontosított, amely az Azure technikai funkcióit és implementálási alapjait ismerteti.
  • AWS-útmutató: A javaslat az AWS technikai funkcióinak és implementálási alapjainak ismertetésére összpontosított.
  • Implementáció és további környezet: Az implementáció részletei és egyéb releváns környezetek, amelyek az Azure és az AWS szolgáltatás dokumentációs cikkeihez kapcsolódnak.
  • Ügyfélbiztonsági érdekelt felek: Az ügyfél szervezetének biztonsági funkciói , akik elszámoltathatók, felelősek vagy konzultáltak a megfelelő ellenőrzéssel kapcsolatban. A vállalat biztonsági szervezeti struktúrájától, valamint az Azure-biztonsághoz beállított szerepköröktől és felelősségektől függően a szervezet és a szervezet között eltérő lehet.

Az MCSB és az iparági teljesítménytesztek (például CIS, NIST és PCI) közötti vezérlőleképezések csak azt jelzik, hogy egy adott Azure-funkció(ok) az ezekben az iparági referenciamutatókban meghatározott szabályozási követelmények teljes vagy részleges kezelésére használható. Tisztában kell lennie azzal, hogy az ilyen implementáció nem feltétlenül jelenti azt, hogy az iparági referenciamutatók megfelelő ellenőrzése(ke)t teljes mértékben megfelelteti.

Örömmel vesszük részletes visszajelzését és aktív részvételét a Microsoft felhőbiztonsági teljesítménytesztjében. Ha közvetlen bemenetet szeretne megadni, kérjük, küldjön nekünk e-mailt a következő címen: benchmarkfeedback@microsoft.com.

Letöltés

A teljesítményteszt és az alapkonfiguráció offline másolatát letöltheti számolótábla formátumban.

Következő lépések