Microsoft 雲端安全性基準 (v1) 概觀

Microsoft 雲端安全性基準 (MCSB) 提供規範性的最佳做法和建議,以協助改善 Azure 和多雲端環境上工作負載、資料和服務的安全性。 此基準測試著重于以雲端為中心的控制區域,其中包含一組完整的 Microsoft 和產業安全性指引,包括:

Microsoft 雲端安全性效能評定 v1 的新功能

注意

Microsoft 雲端安全性效能評定是 Azure Security Benchmark (ASB) 的後續任務,于 2022 年 10 月重新命名。

MCSB 中的 Google Cloud Platform 支援現在可作為 MCSB 基準測試指引和雲端Microsoft Defender的預覽功能。

以下是 Microsoft 雲端安全性效能評定 v1 的新功能:

  1. 完整的多雲端安全性架構:組織通常必須建置內部安全性標準,以協調跨多個雲端平臺的安全性控制,以符合每個雲端平臺的安全性與合規性需求。 這通常需要安全性小組針對不同的合規性標準,重複相同的實作、監視和評量, (通常會針對不同的合規性標準) 。 這會建立不必要的額外負荷、成本和精力。 為了解決此疑慮,我們已將 ASB 增強至 MCSB,以協助您透過下列方式快速處理不同的雲端:

    • 提供單一控制項架構,以輕鬆符合雲端的安全性控制措施
    • 在適用于雲端的 Defender 中提供監視和強制執行多重雲端安全性基準的一致使用者體驗
    • 保持符合業界標準 (,例如 CIS、NIST、PCI)

    比對 ASB 與 CIS 效能評定

  2. 雲端Microsoft Defender中 AWS 的自動化控制監視:您可以使用雲端法規合規性儀表板Microsoft Defender監視 AWS 環境,就像監視 Azure 環境一樣。 我們在 MCSB 中開發大約 180 個 AWS 安全性指引,可讓您監視雲端Microsoft Defender中的 AWS 環境和資源。

    MSCB 整合到雲端Microsoft Defender的螢幕擷取畫面

  3. 重新整理現有的 Azure 指引和安全性原則:我們也在此更新期間重新整理了一些現有的 Azure 安全性指引和安全性原則,讓您可以隨時掌握最新的 Azure 功能和功能。

控制項

控制定義域 描述
網路安全性 (NS) 網路安全性涵蓋保護及保護網路的控制項,包括保護虛擬網路、建立私人連線、防止及減輕外部攻擊,以及保護 DNS。
身分識別管理 (IM) 身分識別管理涵蓋使用身分識別和存取管理系統建立安全身分識別和存取控制的控制項,包括使用單一登入、增強式驗證、受控識別 (和服務主體,) 應用程式、條件式存取和帳戶異常監視。
特殊權限存取 (PA) Privileged Access 涵蓋保護租使用者和資源特殊許可權存取的控制措施,包括保護系統管理模型、系統管理帳戶和特殊許可權存取工作站的一系列控制項,以防止刻意和不小心的風險。
資料保護 (DP) 資料保護涵蓋待用資料保護的控制、傳輸中,以及透過授權的存取機制,包括使用存取控制、加密、金鑰管理和憑證管理來探索、分類、保護及監視敏感性資料資產。
資產管理 (AM) 資產管理涵蓋控制項,以確保資源的安全性可見度和控管,包括安全性人員許可權的建議、資產清查的安全性存取,以及管理服務和資源核准, (清查、追蹤和更正) 。
記錄與威脅偵測 (LT) 記錄和威脅偵測涵蓋在雲端上偵測威脅的控制項,以及啟用、收集及儲存雲端服務的稽核記錄,包括啟用偵測、調查和補救程式,以及控制以在雲端服務中產生具有原生威脅偵測的高品質警示;它也包含使用雲端監視服務收集記錄、使用 SIEM 集中處理安全性分析、時間同步處理和記錄保留。
事件回應 (IR) 事件回應涵蓋事件回應生命週期中的控制項 - 準備、偵測和分析、內含專案及事件後活動,包括使用 Azure 服務 (,例如雲端和 Sentinel Microsoft Defender) 和/或其他雲端服務,將事件回應程式自動化。
態勢與弱點管理 (PV) 狀態和弱點管理著重于評估及改善雲端安全性狀態的控制項,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性設定追蹤、報告和更正。
端點安全性 (ES) 端點安全性涵蓋端點偵測和回應的控制,包括針對雲端環境中端點使用端點偵測和回應 (EDR) 和反惡意程式碼服務。
備份與復原 (BR) 備份和復原涵蓋控制項,以確保在不同服務層級執行、驗證及保護的資料和組態備份。
DevOps 安全性 (DS) DevOps 安全性涵蓋與 DevOps 程式中安全性工程和作業相關的控制項,包括部署重要的安全性檢查 (,例如靜態應用程式安全性測試、弱點管理) ,以確保整個 DevOps 程式的安全性;它也包含威脅模型化和軟體等常見主題,
治理與策略 (GS) 治理和策略提供指引,以確保一致的安全性策略和記載的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略和支援原則和標準。

Microsoft 雲端安全性效能評定中的建議

每個建議頁面都包含下列資訊:

  • 識別碼:對應至建議的基準測試識別碼。
  • CIS 控制項 v8 識別碼 () :CIS 控制項 v8 控制項 (對應至建議的) 。
  • CIS 控制項 v7.1 識別碼 () :CIS 控制項 v7.1 控制項 (s) ,這些控制項對應至 Web 中無法使用的建議 (,因為格式設定原因) 。
  • PCI-DSS v3.2.1 識別碼 () :與建議對應的 PCI-DSS v3.2.1 控制項 (s) 。
  • NIST SP 800-53 r4 ID (s) :NIST SP 800-53 r4 (Moderate and High) control (s) 對應至此建議。
  • 安全性準則:建議著重于「內容」,說明技術無關層級的控制項。
  • Azure 指引:建議著重于「如何」,說明 Azure 技術功能和實作基本概念。
  • AWS 指引:建議著重于「如何」,說明 AWS 技術功能和實作基本概念。
  • 實作和其他內容:實作詳細資料和連結至 Azure 和 AWS 服務供應專案檔案文章的其他相關內容。
  • 客戶安全性專案關係人:客戶組織中可能負責、負責或諮詢個別控制 措施的安全性功能 。 根據您公司的安全性組織結構,以及您設定與 Azure 安全性相關的角色和責任,可能會與組織不同。

MCSB 與產業基準 (之間的控制項對應,例如 CIS、NIST 和 PCI) 只會指出特定 Azure 功能 () 可用來完整或部分解決這些產業基準中所定義的控制項需求。 您應該注意,這類實作不一定會轉譯為這些產業基準中對應控制項 () 的完整合規性。

歡迎您的詳細意見反應,並參與 Microsoft 雲端安全性基準測試工作。 如果您想要提供直接輸入,請透過 benchmarkfeedback@microsoft.com 電子郵件傳送給我們。

下載

您可以下載 試算表格式的基準和基準離線複本。

下一步