Panoramica di Azure Security Benchmark (v3)

Azure Security Benchmark (ASB) fornisce procedure consigliate e raccomandazioni prescrittive per migliorare la sicurezza dei carichi di lavoro, dei dati e dei servizi in Azure. Questo benchmark fa parte di un set di linee guida olistiche sulla sicurezza che include anche:

Azure Security Benchmark è incentrato sulle aree di controllo incentrate sul cloud. Questi controlli sono coerenti con i benchmark di sicurezza noti, ad esempio quelli descritti da Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) e Payment Card Industry Data Security Standard (PCI-DSS).

Novità di ASB v3

Ecco le novità di Azure Security Benchmark v3:

  • I mapping ai framework di settore PCI-DSS v3.2.1 e CIS Controls v8 vengono aggiunti oltre ai mapping esistenti a CIS Controls v7.1 e NIST SP800-53 Rev4.
  • Perfezionando le linee guida per il controllo in modo che siano più granulari e utilizzabili, ad esempio, le linee guida per la sicurezza sono ora suddivise in due parti separate, Principio di sicurezza e Linee guida di Azure. Il principio di sicurezza è il "cosa" che spiega il controllo a livello indipendente dalla tecnologia; Le linee guida di Azure sono incentrate sul "come", elaborando le funzionalità tecniche pertinenti e i modi per implementare i controlli in Azure.
  • L'aggiunta di nuovi controlli, ad esempio DevOps Security come nuova famiglia di controlli che include anche argomenti come la modellazione delle minacce e la sicurezza della supply chain del software. La gestione delle chiavi e dei certificati è stata introdotta per consigliare le procedure consigliate per la gestione delle chiavi e dei certificati in Azure.

Controlli

I controlli seguenti sono inclusi in Azure Security Benchmark v3:

Domini di controllo ASB Descrizione
Sicurezza di rete (NS) Sicurezza di rete copre i controlli per proteggere e proteggere le reti di Azure, tra cui la protezione delle reti virtuali, la creazione di connessioni private, la prevenzione e la mitigazione degli attacchi esterni e la protezione del DNS.
Identity Management (IM) Identity Management include controlli per stabilire un'identità sicura e controlli di accesso tramite Azure Active Directory, tra cui l'uso di Single Sign-On, autenticazioni sicure, identità gestite (e principi di servizio) per le applicazioni, accesso condizionale e monitoraggio delle anomalie degli account.
Accesso con privilegi L'accesso con privilegi copre i controlli per proteggere l'accesso con privilegi al tenant e alle risorse di Azure, tra cui una gamma di controlli per proteggere il modello amministrativo, gli account amministrativi e le workstation con accesso con privilegi da rischi intenzionali e accidentali.
Protezione dei dati La protezione dei dati copre il controllo della protezione dei dati in stato di inquieto, in transito e tramite meccanismi di accesso autorizzati, tra cui l'individuazione, la classificazione, la protezione e il monitoraggio di asset di dati sensibili tramite il controllo di accesso, la crittografia, la gestione delle chiavi e dei certificati in Azure.
Gestione asset (AM) Asset Management copre i controlli per garantire la visibilità e la governance della sicurezza sulle risorse di Azure, incluse le raccomandazioni sulle autorizzazioni per il personale addetto alla sicurezza, l'accesso di sicurezza all'inventario delle risorse e la gestione delle approvazioni per i servizi e le risorse (inventario, traccia e correttezza).
Registrazione e rilevamento delle minacce (LT) La registrazione e il rilevamento delle minacce riguardano i controlli per il rilevamento delle minacce in Azure e l'abilitazione, la raccolta e l'archiviazione dei log di controllo per i servizi di Azure, tra cui l'abilitazione dei processi di rilevamento, analisi e correzione con controlli per generare avvisi di alta qualità con rilevamento delle minacce nativo nei servizi di Azure; include anche la raccolta di log con Monitoraggio di Azure, la centralizzazione dell'analisi della sicurezza Azure Sentinel, la sincronizzazione dell'ora e la conservazione dei log.
Risposta agli eventi imprevisti La risposta agli eventi imprevisti include controlli nel ciclo di vita della risposta agli eventi imprevisti: attività di preparazione, rilevamento e analisi, contenimento e post-evento imprevisto, incluso l'uso di servizi di Azure come Microsoft Defender per cloud e Sentinel per automatizzare il processo di risposta agli eventi imprevisti.
Posture and Vulnerability Management (PV) Posture and Vulnerability Management è incentrata sui controlli per la valutazione e il miglioramento delle condizioni di sicurezza di Azure, tra cui l'analisi delle vulnerabilità, i test di penetrazione e la correzione, nonché il rilevamento, la creazione di report e la correzione della configurazione della sicurezza nelle risorse di Azure.
Sicurezza degli endpoint (ES) Endpoint Security copre i controlli nel rilevamento e nella risposta degli endpoint, incluso l'uso del rilevamento e della risposta degli endpoint (EDR) e del servizio antimalware per gli endpoint negli ambienti Azure.
Backup e ripristino (BR) Backup e ripristino illustra i controlli per garantire che i backup dei dati e della configurazione nei diversi livelli di servizio siano eseguiti, convalidati e protetti.
sicurezza DevOps (DS) DevOps Security illustra i controlli correlati alla progettazione della sicurezza e alle operazioni nei processi di DevOps, inclusa la distribuzione di controlli di sicurezza critici (ad esempio test di sicurezza statici delle applicazioni, gestione delle vulnerabilità) prima della fase di distribuzione per garantire la sicurezza in tutto il DevOps processo; include anche argomenti comuni, ad esempio la modellazione delle minacce e la sicurezza dell'offerta di software.
Governance e strategia (GS) Governance e strategia fornisce indicazioni per garantire una strategia di sicurezza coerente e un approccio di governance documentato per guidare e sostenere la garanzia di sicurezza, tra cui la definizione di ruoli e responsabilità per le diverse funzioni di sicurezza cloud, una strategia tecnica unificata e criteri e standard di supporto.

Azure Security Benchmark Consigli

Ogni raccomandazione include le informazioni seguenti:

  • ID ASB:ID di Azure Security Benchmark corrispondente alla raccomandazione.
  • CIS Controls v8 ID(s):controlli CIS v8 che corrispondono alla raccomandazione.
  • CIS Controls v7.1 ID(s):i controlli CIS v7.1 che corrispondono alla raccomandazione (non disponibile nel Web a causa del motivo della formattazione).
  • ID PCI-DSS v3.2.1:i controlli PCI-DSS v3.2.1 che corrispondono alla raccomandazione.
  • ID NIST SP 800-53 r4:i controlli NIST SP 800-53 r4 (Moderate e High) che corrispondono a questa raccomandazione.
  • Principio disicurezza: la raccomandazione è incentrata sul "cosa", spiegando il controllo a livello indipendente dalla tecnologia.
  • Indicazioni di Azure:la raccomandazione è incentrata sul "come" e illustra le funzionalità tecniche di Azure e le nozioni di base sull'implementazione.
  • Contesto di implementazione e aggiunta:i dettagli dell'implementazione e altri contesti rilevanti che si collegano agli articoli della documentazione sull'offerta di servizi di Azure.
  • Stakeholder della sicurezzadei clienti: funzioni di sicurezza nell'organizzazione del cliente che possono essere responsabili, responsabili o consultati per il rispettivo controllo. Può essere diverso dall'organizzazione all'organizzazione a seconda della struttura dell'organizzazione di sicurezza dell'azienda e dei ruoli e delle responsabilità impostati in relazione alla sicurezza di Azure.

Nota

I mapping dei controlli tra ASB e i benchmark del settore (ad esempio CIS, NIST e PCI) indicano solo che una o più funzionalità di Azure specifiche possono essere usate per risolvere completamente o parzialmente un requisito di controllo definito in questi benchmark del settore. È necessario tenere presente che tale implementazione non si traduce necessariamente nella conformità completa dei controlli corrispondenti in questi benchmark del settore.

Il feedback dettagliato e la partecipazione attiva all'impegno di Azure Security Benchmark sono molto graditi. Se si vuole fornire l'input diretto al team di Azure Security Benchmark, compilare il modulo all'indirizzo https://aka.ms/AzSecBenchmark

Scarica

È possibile scaricare Azure Security Benchmark in formato foglio di calcolo.

Passaggi successivi