Overzicht van Azure-beveiligingsmaatregelen (v3)

De Azure Security Benchmark (ASB) biedt prescriptieve best practices en aanbevelingen om de beveiliging van workloads, gegevens en services in Azure te verbeteren. Deze benchmark maakt deel uit van een reeks holistische beveiligingsrichtlijnen die ook het volgende omvatten:

De Azure Security Benchmark richt zich op cloudgerichte controlegebieden. Deze controles zijn consistent met bekende beveiligingsbenchmarks, zoals die worden beschreven door het Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) en Payment Card Industry Data Security Standard (PCI-DSS).

Nieuw in ASB v3

Dit is wat er nieuw is in de Azure Security Benchmark v3:

  • Toewijzingen aan de brancheframeworks PCI-DSS v3.2.1 en CIS Controls v8 worden toegevoegd naast de bestaande toewijzingen aan CIS Controls v7.1 en NIST SP800-53 Rev4.
  • Het verfijnen van de controlerichtlijnen om gedetailleerder en uitvoerbaar te zijn, bijvoorbeeld beveiligingsrichtlijnen, zijn nu onderverdeeld in twee afzonderlijke onderdelen, Beveiligingsprincipe en Azure-richtlijnen. Beveiligingsprincipe is het "wat", waarin de controle op technologieagnostisch niveau wordt uitgelegd; Azure Guidance is gericht op het 'hoe', waarbij de relevante technische functies en manieren worden besproken om de besturingselementen in Azure te implementeren.
  • De toevoeging van nieuwe controle(s), bijvoorbeeld DevOps Security als een nieuwe controlefamilie, die ook onderwerpen bevat zoals threat modeling en beveiliging van softwarelevering. Sleutel- en certificaatbeheer is geïntroduceerd om aanbevolen procedures voor sleutel- en certificaatbeheer in Azure aan te bevelen.

Besturingselementen

De volgende besturingselementen zijn opgenomen in de Azure Security Benchmark v3:

ASB-besturingsdomeinen Beschrijving
Netwerkbeveiliging (NS) Netwerkbeveiliging omvat besturingselementen voor het beveiligen en beveiligen van Azure-netwerken, waaronder het beveiligen van virtuele netwerken, het tot stand brengen van privéverbindingen, het voorkomen en beperken van externe aanvallen en het beveiligen van DNS.
Identiteitsbeheer (IM) Identiteitsbeheer omvat besturingselementen voor het tot stand brengen van een beveiligde identiteit en toegangsbeheer met behulp van Azure Active Directory, waaronder het gebruik van eenmalige aanmelding, sterke verificaties, beheerde identiteiten (en serviceprincipes) voor toepassingen, voorwaardelijke toegang en accountafwijkingenbewaking.
Bevoegde toegang (PA) Bevoegde toegang omvat besturingselementen voor het beveiligen van bevoegde toegang tot uw Azure-tenant en -resources, waaronder een reeks besturingselementen voor het beveiligen van uw beheermodel, beheerdersaccounts en bevoegde toegangswerkstations tegen opzettelijke en onbedoelde risico's.
Gegevensbescherming (DP) Gegevensbescherming omvat het beheer van data protection-at-rest, in transit en via geautoriseerde toegangsmechanismen, waaronder het detecteren, classificeren, beveiligen en bewaken van gevoelige gegevensassets met behulp van toegangsbeheer, versleuteling, sleutel- en certificaatbeheer in Azure.
Asset Management (AM) Asset Asset Management heeft betrekking op besturingselementen om de zichtbaarheid en governance van beveiliging over Azure-resources te garanderen, waaronder aanbevelingen voor machtigingen voor beveiligingspersoneel, toegang tot assetinventaris en het beheren van goedkeuringen voor services en resources (inventaris, bijhouden en corrigeren).
Logboekregistratie en detectie van bedreigingen (LT) Logboekregistratie en bedreigingsdetectie omvat controles voor het detecteren van bedreigingen in Azure en het inschakelen, verzamelen en opslaan van auditlogboeken voor Azure-services, waaronder het inschakelen van detectie-, onderzoeks- en herstelprocessen met besturingselementen voor het genereren van waarschuwingen van hoge kwaliteit met systeemeigen detectie van bedreigingen in Azure-services; het omvat ook het verzamelen van logboeken met Azure Monitor, het centraliseren van beveiligingsanalyse met Azure Sentinel, tijdsynchronisatie en logboekretentie.
Reactie op incidenten (IR) Incidentrespons omvat besturingselementen in de levenscyclus van reacties op incidenten: voorbereiding, detectie en analyse, insluiting en incidentactiviteiten, waaronder het gebruik van Azure-services zoals Microsoft Defender voor Cloud en Sentinel om het incidentresponsproces te automatiseren.
Postuur- en beveiligingsproblemenbeheer (HW) Postuur- en beveiligingsbeheer richt zich op controles voor het beoordelen en verbeteren van de Azure-beveiligingspostuur, waaronder scannen op beveiligingsproblemen, penetratietests en herstel, evenals het bijhouden, rapporteren en corrigeren van beveiligingsconfiguraties in Azure-resources.
Eindpuntbeveiliging (ES) Endpoint Security omvat besturingselementen voor eindpuntdetectie en -respons, waaronder het gebruik van eindpuntdetectie en -respons (EDR) en antimalwareservice voor eindpunten in Azure-omgevingen.
Back-up en herstel (BR) Back-up en herstel hebben betrekking op besturingselementen om ervoor te zorgen dat gegevens- en configuratieback-ups op de verschillende servicelagen worden uitgevoerd, gevalideerd en beveiligd.
DevOps Security (DS) DevOps Security omvat de controles met betrekking tot de beveiligingstechniek en -bewerkingen in de DevOps-processen, waaronder de implementatie van kritieke beveiligingscontroles (zoals statische toepassingsbeveiligingstests, beveiligingsbeheer) voorafgaand aan de implementatiefase om de beveiliging tijdens het DevOps-proces te waarborgen; het omvat ook algemene onderwerpen zoals threat modeling en beveiliging van softwarelevering.
Governance en strategie (GS) Governance en strategie bieden richtlijnen voor het waarborgen van een coherente beveiligingsstrategie en gedocumenteerde governancebenadering om beveiliging te begeleiden en te ondersteunen, waaronder het vaststellen van rollen en verantwoordelijkheden voor de verschillende cloudbeveiligingsfuncties, geïntegreerde technische strategie en ondersteunende beleidsregels en standaarden.

Aanbevelingen voor Azure Security Benchmark

Elke aanbeveling bevat de volgende informatie:

  • ASB-id: de Azure Security Benchmark-id die overeenkomt met de aanbeveling.
  • CIS Controls v8 ID(s): de CIS Controls v8 control(s) die overeenkomen met de aanbeveling.
  • CIS Controls v7.1 ID(s): de CIS Controls v7.1 control(s) die overeenkomen met de aanbeveling (niet beschikbaar in het web vanwege de opmaakreden).
  • PCI-DSS v3.2.1 ID('s): het PCI-DSS v3.2.1-besturingselement(en) dat overeenkomt met de aanbeveling.
  • NIST SP 800-53 r4 ID('s): De NIST SP 800-53 r4(gemiddeld en hoog) besturingselement(en) die overeenkomen met deze aanbeveling.
  • Beveiligingsprincipe: de aanbeveling was gericht op het 'wat', waarin de controle op technologieagnostisch niveau wordt uitgelegd.
  • Azure-richtlijnen: de aanbeveling is gericht op de 'hoe', waarin de basisprincipes van technische functies en implementatie van Azure worden uitgelegd.
  • Implementatie- en aanvullingscontext: de implementatiedetails en andere relevante context die koppelingen bevat naar de Documentatieartikelen van de Azure-service.
  • Belanghebbenden van de klantbeveiliging: de beveiligingsfuncties van de klantorganisatie die mogelijk verantwoordelijk, verantwoordelijk of geraadpleegd zijn voor de respectieve controle. Het kan verschillen van organisatie tot organisatie, afhankelijk van de beveiligingsorganisatiestructuur van uw bedrijf en de rollen en verantwoordelijkheden die u hebt ingesteld met betrekking tot Azure-beveiliging.

Notitie

De controletoewijzingen tussen ASB- en industriebenchmarks (zoals CIS, NIST en PCI) geven alleen aan dat een specifieke Azure-functie(s) kan worden gebruikt om volledig of gedeeltelijk te voldoen aan een controlevereiste die is gedefinieerd in deze industriebenchmarks. Houd er rekening mee dat deze implementatie niet noodzakelijkerwijs vertaalt naar de volledige naleving van de bijbehorende controle(s) in deze industriebenchmarks.

We zijn blij met uw gedetailleerde feedback en actieve deelname aan de inspanningen van Azure Security Benchmark. Als u de directe invoer van het Azure Security Benchmark-team wilt opgeven, vult u het formulier in op https://aka.ms/AzSecBenchmark

Downloaden

U kunt de Azure Security Benchmark downloaden in spreadsheetindeling.

Volgende stappen