Поделиться через


Общие сведения о microsoft cloud security benchmark (версия 1)

Платформа "Управление безопасностью в облаке Майкрософт" (MCSB) предоставляет рекомендации и практические методики, помогающие повысить безопасность рабочих нагрузок, данных и служб в Azure или многооблачной среде. В этом тесте производительности основное внимание уделяется областям управления, ориентированным на облако, с помощью набора комплексных рекомендаций майкрософт и отраслевых рекомендаций по безопасности, которые включают в себя:

Новые возможности microsoft cloud security benchmark версии 1

Примечание

Microsoft Cloud Security Benchmark является преемником Azure Security Benchmark (ASB), который был переименован в октябре 2022 г.

Поддержка Google Cloud Platform в MCSB теперь доступна в качестве предварительной версии функции как в руководстве по производительности MCSB, так и в Microsoft Defender для облака.

Ниже приведены новые возможности microsoft cloud security benchmark версии 1.

  1. Комплексная платформа безопасности в нескольких облаках. Организациям часто приходится создавать внутренние стандарты безопасности для согласования средств управления безопасностью на нескольких облачных платформах в соответствии с требованиями к безопасности и соответствию на каждой из них. Для этого часто требуется, чтобы команды безопасности повторяли одну и ту же реализацию, мониторинг и оценку в разных облачных средах (часто для разных стандартов соответствия). Это создает ненужные издержки, затраты и усилия. Чтобы решить эту проблему, мы улучшили ASB до MCSB, чтобы помочь вам быстро работать с различными облаками:

    • Предоставление единой платформы управления для легкого соответствия элементам управления безопасностью в облаках
    • Обеспечение согласованного взаимодействия с пользователем для мониторинга и применения теста производительности безопасности в нескольких облаках в Defender для облака
    • Соответствие отраслевым стандартам (например, CIS, NIST, PCI)

    Сопоставление тестов производительности ASB и CIS

  2. Автоматизированный мониторинг управления для AWS в Microsoft Defender для облака. Вы можете использовать панель мониторинга соответствия нормативным требованиям Microsoft Defender для облака для мониторинга среды AWS на основе MCSB так же, как и мониторинг среды Azure. Мы разработали около 180 проверок AWS для новых рекомендаций по безопасности AWS в MCSB, что позволяет отслеживать среду и ресурсы AWS в Microsoft Defender для облака.

    Снимок экрана: интеграция MSCB с Microsoft Defender for Cloud

  3. Обновление существующих рекомендаций и принципов безопасности Azure. Во время этого обновления мы также обновили некоторые из существующих рекомендаций по безопасности и принципов безопасности Azure, чтобы вы могли оставаться в курсе последних функций и возможностей Azure.

Элементы управления

Домены управления Описание
Безопасность сети (NS) Безопасность сети охватывает средства защиты и защиты сетей, включая защиту виртуальных сетей, установление частных подключений, предотвращение и устранение внешних атак, а также защиту DNS.
Управление идентификацией (IM) Управление удостоверениями охватывает элементы управления для создания безопасных удостоверений и управления доступом с помощью систем управления удостоверениями и доступом, включая использование единого входа, строгой проверки подлинности, управляемых удостоверений (и субъектов-служб) для приложений, условного доступа и мониторинга аномалий учетных записей.
Привилегированный доступ (PA) Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций с привилегированным доступом от преднамеренных и непреднамеренных рисков.
Защита данных (DP) Защита данных охватывает управление защитой неактивных, передаваемых и авторизованных механизмов доступа, включая обнаружение, классификацию, защиту и мониторинг конфиденциальных данных с помощью управления доступом, шифрования, управления ключами и управления сертификатами.
Управление ресурсами (AM) Управление активами охватывает элементы управления, обеспечивающие видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для сотрудников службы безопасности, доступ к инвентаризации активов и управление утверждениями служб и ресурсов (инвентаризация, отслеживание и исправление).
Ведение журнала и обнаружение угроз (LT) Ведение журнала и обнаружение угроз охватывает элементы управления для обнаружения угроз в облаке, а также включение, сбор и хранение журналов аудита для облачных служб, включая включение процессов обнаружения, исследования и исправления с элементами управления для создания высококачественных оповещений с помощью собственных средств обнаружения угроз в облачных службах; она также включает сбор журналов с помощью облачной службы мониторинга, централизацию анализа безопасности с помощью SIEM, синхронизацию времени и хранение журналов.
Реагирование на инциденты (IR) Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовку, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure (таких как Microsoft Defender для облака и Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты.
Управление состоянием безопасности и уязвимостями (PV) Управление состоянием и уязвимостями фокусируется на элементах управления для оценки и улучшения состояния безопасности в облаке, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, создание отчетов и исправление в облачных ресурсах.
Безопасность конечных точек (ES) Endpoint Security охватывает элементы управления в области обнаружения и реагирования на конечные точки, включая использование обнаружения и реагирования на конечные точки (EDR) и службы защиты от вредоносных программ для конечных точек в облачных средах.
Резервное копирование и восстановление (BR) Резервное копирование и восстановление охватывает аспекты управления, касающиеся обеспечения выполнения, проверки и защиты резервных копий данных и конфигураций на разных уровнях служб.
Безопасность DevOps (DS) Безопасность DevOps охватывает аспекты управления, относящиеся к технике обеспечения безопасности и соответствующим операциям во всех процедурах DevOps, включая развертывание критически важных проверок безопасности (например, статического тестирования приложений и управления уязвимостями) до этапа развертывания продукта. Сюда также входят такие общие разделы, как моделирование угроз и защита поставки ПО.
Система управления и стратегия (GS) Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.

Рекомендации по производительности облачной безопасности Майкрософт

Каждая рекомендация содержит следующие данные:

  • Идентификатор: идентификатор теста производительности, соответствующий рекомендации.
  • Идентификаторы CIS Controls v8: элементы управления CIS Controls v8, соответствующие данной рекомендации.
  • Идентификаторы CIS Controls v7.1: элементы управления CIS Controls v7.1, соответствующие данной рекомендации (недоступны в Интернете по причинам форматирования).
  • Идентификаторы PCI-DSS v3.2.1: элементы управления PCI-DSS v3.2.1, соответствующие данной рекомендации.
  • NIST SP 800-53 r4 ID (идентификаторы) NIST SP 800-53 r4 (средний и высокий) соответствуют этой рекомендации.
  • Принцип безопасности: рекомендации, поясняющие элемент управления ("что") безотносительно технологий.
  • Руководство для Azure: рекомендации, которые поясняют технические аспекты Azure и основы реализации ("как").
  • Руководство по AWS. В этой рекомендации основное внимание уделяется описанию технических возможностей AWS и основам реализации.
  • Реализация и дополнительный контекст. Сведения о реализации и другой соответствующий контекст, который ссылается на статьи документации по предложениям служб Azure и AWS.
  • Заинтересованные лица по безопасности клиентов: специалисты по безопасности в организации клиента, которые могут быть ответственными лицами, исполнителями или консультантами по данному элементу управления. Конкретные лица в разных организациях могут быть разными в зависимости от структуры безопасности в организации, установленных ролей и обязанностей в отношении безопасности в Azure.

Сопоставления элементов управления между MCSB и отраслевыми тестами производительности (например, CIS, NIST и PCI) указывают только на то, что определенные функции Azure можно использовать для полного или частичного удовлетворения требований к управлению, определенных в этих отраслевых тестах производительности. Следует иметь в виду, что такая реализация не обязательно гарантирует полное соответствие соответствующим аспектам отраслевых эталонов.

Мы приветствуем ваши подробные отзывы и активное участие в работе microsoft cloud security benchmark. Если вы хотите предоставить прямые входные данные, напишите нам по адресу benchmarkfeedback@microsoft.com.

Скачать

Вы можете скачать тестовую и базовую автономную копию в формате электронной таблицы.

Дальнейшие действия