Opis sposobu, w jaki zasady zabezpieczeń i inicjatywy zwiększają poziom zabezpieczeń chmury

  • 6 min

Microsoft Defender dla Chmury umożliwia organizacjom zarządzanie zabezpieczeniami zasobów i obciążeń w chmurze i lokalnie oraz poprawia ogólną postawę zabezpieczeń. Robi to przy użyciu definicji zasad i inicjatyw zabezpieczeń, dlatego ważne jest, aby zrozumieć te terminy.

  • Definicja usługi Azure Policy utworzona w usłudze Azure Policy to reguła dotycząca określonych warunków zabezpieczeń, które mają być kontrolowane. Usługa Azure Policy obsługuje wbudowane definicje, ale można również tworzyć własne niestandardowe definicje zasad.

  • Inicjatywa zabezpieczeń to kolekcja definicji lub reguł usługi Azure Policy pogrupowanych razem w celu określonego celu lub celu. Inicjatywy zabezpieczeń upraszczają zarządzanie zasadami, grupując zestaw zasad logicznie jako pojedynczy element.

  • Aby zaimplementować definicje zasad lub inicjatywy, należy przypisać je do dowolnego zakresu obsługiwanych zasobów, takich jak grupy zarządzania, subskrypcje, grupy zasobów lub poszczególne zasoby.

Microsoft Defender dla Chmury stosuje inicjatywy zabezpieczeń do subskrypcji. Te inicjatywy zawierają co najmniej jedną zasady zabezpieczeń. Każda z tych zasad powoduje zalecenie dotyczące zabezpieczeń w celu poprawy stanu zabezpieczeń.

Administratorzy zabezpieczeń mogą tworzyć własne niestandardowe inicjatywy zabezpieczeń w Microsoft Defender dla Chmury, ale istnieje również domyślna, wbudowana inicjatywa zabezpieczeń o nazwie "Test porównawczy zabezpieczeń w chmurze firmy Microsoft", która jest automatycznie przypisywana po włączeniu Microsoft Defender dla Chmury w ramach subskrypcji.

Wzorzec bezpieczeństwa w chmurze Microsoft

Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB) to utworzony przez firmę Microsoft zestaw wytycznych dotyczących zabezpieczeń i zgodności, który zawiera najlepsze rozwiązania i zalecenia, które ułatwiają poprawę bezpieczeństwa obciążeń, danych i usług na platformie Azure i w środowisku wielochmurowym. McSB opiera się na kontrolach z Centrum Bezpieczeństwa Internetowego (CIS) i Narodowego Instytutu Standardów i Technologii (NIST) z naciskiem na zabezpieczenia skoncentrowane na chmurze.

Najlepszym sposobem zrozumienia testu porównawczego zabezpieczeń w chmurze firmy Microsoft jest wyświetlenie go w witrynie GitHub Microsoft_cloud_security_benchmark. Alert spoilera, jest to arkusz kalkulacyjny programu Excel. McSB zawiera wiele kolumn danych. Oto niektóre kluczowe informacje:

  • ID — każdy element wiersza w MCSB ma identyfikator, który jest mapowy na określone zalecenie.
  • Domena sterowania — kontrolka jest ogólnym opisem funkcji lub działania, które należy rozwiązać i nie są specyficzne dla technologii ani implementacji. Domeny kontroli MCSB obejmują zabezpieczenia sieci, ochronę danych, zarządzanie tożsamościami, uprzywilejowany dostęp, reagowanie na zdarzenia, zabezpieczenia punktu końcowego, aby wymienić tylko kilka.
  • Mapowanie na struktury branżowe — zalecenia zawarte w mapie MCSB na istniejące struktury branżowe, takie jak Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) oraz struktury PCI DSS (Payment Card Industry Data Security Standards). Dzięki temu zabezpieczenia i zgodność są łatwiejsze dla aplikacji klientów działających w usługach platformy Azure.
  • Zalecenie — dla każdego obszaru domeny sterowania może istnieć wiele odrębnych zaleceń. Na przykład domena kontroli "Zabezpieczenia sieciowe" w mcSB w wersji 1 ma 10 odrębnych zaleceń zidentyfikowanych jako NS-1 do NS-10; w którym pierwszym zaleceniem zidentyfikowanym jako NS-1 jest ustanowienie granic segmentacji sieci.
  • Wskazówki dotyczące platformy Azure — wskazówki dotyczące platformy Azure koncentrują się na "sposobie" i opracowuje odpowiednie funkcje techniczne i sposoby implementowania kontrolek na platformie Azure. W przykładzie NS-1 wskazówki dotyczące platformy Azure zawierają informacje dotyczące tworzenia sieci wirtualnej, używania sieciowych grup zabezpieczeń i używania grupy zabezpieczeń aplikacji.
  • Wskazówki dotyczące platformy AWS — wskazówki dotyczące platformy AWS koncentrują się na "sposobie" specyficznego dla platformy AWS, objaśniając funkcje techniczne i podstawy implementacji platformy AWS.

McSB zawiera również linki do informacji na temat implementacji, które odnoszą się do wskazówek dotyczących platformy Azure i platformy AWS, informacji o funkcjach zabezpieczeń w organizacji klienta, które mogą być odpowiedzialne, odpowiedzialne lub konsultowane z odpowiednią kontrolą i nie tylko. Fragment testu porównawczego zabezpieczeń w chmurze firmy Microsoft w wersji 1 (MCSB w wersji 1) i jest wyświetlany jako przykład typu zawartości zawartej w MCSB. Obraz nie jest przeznaczony do wyświetlania pełnego tekstu dla żadnego z elementów wiersza.

A screenshot of a subset of information from the Microsoft cloud security benchmark v1.

Test porównawczy zabezpieczeń w chmurze firmy Microsoft w Defender dla Chmury

Microsoft Defender dla Chmury stale ocenia środowisko chmury hybrydowej organizacji, aby analizować czynniki ryzyka zgodnie z mechanizmami kontroli i najlepszymi rozwiązaniami w tezie porównawczym zabezpieczeń w chmurze firmy Microsoft. Pulpit nawigacyjny zgodności z przepisami w Microsoft Defender dla Chmury odzwierciedla stan zgodności z mcSB i wszelkimi innymi standardami zastosowanymi do subskrypcji.

Niektóre mechanizmy kontroli używane w mcSB obejmują zabezpieczenia sieci, tożsamość i kontrolę dostępu, ochronę danych, odzyskiwanie danych, reagowanie na zdarzenia i nie tylko.

Screenshot of Microsoft Defender for Cloud showing status of regulatory compliance against Microsoft cloud security benchmark.

Co to jest zalecenie dotyczące zabezpieczeń?

Rekomendacje są wynikiem oceny zasobów względem odpowiednich zasad i identyfikowania zasobów, które nie spełniają zdefiniowanych wymagań.

Defender dla Chmury okresowo analizuje stan zgodności zasobów, aby zidentyfikować potencjalne błędy konfiguracji zabezpieczeń i słabości. Następnie zawiera zalecenia dotyczące sposobu korygowania tych problemów. Defender dla Chmury sprawia, że zalecenia dotyczące zabezpieczeń są oparte na wybranych inicjatywach i domyślnej inicjatywie MCSB. Gdy zasady z inicjatywy są porównywane z zasobami i znajdują co najmniej jedną, która nie jest zgodna, zostanie ona przedstawiona jako zalecenie w Defender dla Chmury.

Rekomendacje to akcje, które należy wykonać, aby zabezpieczyć i zabezpieczyć zasoby. Każde zalecenie zawiera następujące informacje:

  • Krótki opis problemu
  • Kroki korygowania, które należy wykonać w celu wdrożenia zalecenia
  • Zasoby, których dotyczy problem

Zalecenia dotyczące zabezpieczeń zawierają szczegółowe informacje ułatwiające zrozumienie jego znaczenia i sposób ich obsługi.