Microsoft 云安全基准概述 (v1)
Microsoft 云安全基准 (MCSB) 提供了说明性的最佳做法和建议,以帮助提高 Azure 和多云环境中工作负载、数据和服务的安全性。 此基准侧重于以云为中心的控制领域,其中包含一组全面的 Microsoft 和行业安全指南:
- 云采用框架:安全指南,包括策略、角色和职责、Azure 十大安全最佳做法和参考实现。
- Azure 架构良好的框架:有关保护 Azure 上工作负载的指导。
- 首席信息安全官 (CISO) 研讨会:使用零信任原则加速安全现代化的计划指导和参考策略。
- 其他行业和云服务提供商安全最佳做法标准和框架:示例包括 Amazon Web Services (AWS) Well-Architected 框架、Internet 安全中心 (CIS) 控制、美国国家标准与技术研究院 (NIST) ,以及支付卡行业数据安全标准 (PCI-DSS) 。
Microsoft 云安全基准 v1 中的新增功能
注意
Microsoft 云安全基准承接在 Azure 安全基准 (ASB) 之后,我们在 2022 年 10 月对 Azure 安全基准 (ASB) 进行了重命名。
MCSB 中的 Google Cloud Platform 支持现在以预览版功能的形式在 MCSB 基准指南和 Microsoft Defender for Cloud 中提供。
下面是 Microsoft 云安全基准 v1 中的最新更新:
全面的多云安全框架:组织通常必须构建内部安全标准,以跨多个云平台协调安全控制,从而满足每个平台的安全性和合规性要求。 这通常需要安全团队在不同的云环境中重复相同的实现、监视和评估(通常针对不同的合规性标准)。 这会产生不必要的开销、成本和工作量。 为了解决这一问题,我们将 ASB 增强为 MCSB,以通过以下方式帮助你快速处理不同的云:
- 提供单个控制框架,以轻松满足跨云的安全控制
- 为在 Defender for Cloud 中监视和强制实施多云安全基准提供一致的用户体验
- 与行业标准(例如 CIS、NIST、PCI)保持一致
Microsoft Defender for Cloud 中 AWS 的自动控制监视:可以使用 Microsoft Defender for Cloud 法规合规性仪表板针对 MCSB 监视 AWS 环境,就像监视 Azure 环境一样。 我们为 MCSB 中的新 AWS 安全指南开发了大约 180 项 AWS 检查,使你能够在 Microsoft Defender for Cloud 中监视 AWS 环境和资源。
更新了现有的 Azure 指南和安全原则:在此更新期间,我们还刷新了一些现有的 Azure 安全指南和安全原则,以便你可以随时了解最新的 Azure 特性和功能。
控件
| 控制域 | 说明 |
|---|---|
| 网络安全性 (NS) | 网络安全涵盖用于保护网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。 |
| 标识管理 (IM) | 标识管理包括用于使用身份和访问管理系统建立安全身份验证和访问控制的控制措施,其中包括使用单一登录、强身份验证、用于应用程序的托管标识(和服务主体)、条件访问和帐户异常监视。 |
| 特权访问 (PA) | 特权访问包括用于保护对你的租户和资源的特权访问的控制措施,其中包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。 |
| 数据保护 (DP) | 数据保护涵盖用于静态数据保护、传输中的数据保护以及通过授权访问机制实现的数据保护的控制措施,包括使用访问控制、加密、密钥管理和证书管理发现、分类、保护和监视敏感数据资产。 |
| 资产管理 (AM) | 资产管理涵盖确保资源安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问,以及管理服务和资源的审批 (清单、跟踪和更正) 。 |
| 日志记录和威胁检测 (LT) | 日志记录和威胁检测涵盖用于检测云上的威胁以及为云服务启用、收集和存储审核日志的控制措施,包括允许使用通过云服务中的本机威胁检测生成高质量警报的控制措施来检测、调查和修正过程;它还包括通过云监视服务收集日志,通过 SEM、时间同步和日志保留进行集中安全分析。 |
| 事件响应 (IR) | 事件响应涵盖对事件响应生命周期(准备、检测、分析、包含和事后活动)的控制措施,包括使用 Azure 服务(如 Microsoft Defender for Cloud 和 Sentinel)和/或其他云服务自动执行事件响应过程。 |
| 态势和漏洞管理 (PV) | 态势和漏洞管理侧重于评估和改进云安全态势的控制措施,包括漏洞扫描、渗透测试和修正,以及云资源中的安全配置跟踪、报告和更正。 |
| 终结点安全性 (ES) | 终结点安全涵盖对终结点检测和响应的控制措施,包括在云环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。 |
| 备份和恢复 (BR) | 备份和恢复包括用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。 |
| DevOps 安全性 (DS) | DevOps 安全性涵盖 DevOps 过程中与安全工程和操作相关的控制措施,包括在部署阶段之前部署关键安全性检查(如静态应用程序安全性测试、漏洞管理),以确保整个 DevOps 过程的安全;它还包括常见主题,例如威胁建模和软件供应安全。 |
| 治理和策略 (GS) | 治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。 |
Microsoft 云安全基准中的建议
每项建议都包含以下信息:
- ID:对应于建议的基准 ID。
- CIS 控制 v8 ID:与建议对应的 CIS 控制 v8 控件。
- CIS 控制 v7.1 ID:与建议对应的 CIS 控制 v7.1 控件(由于格式原因,它在 Web 中不可用)。
- PCI-DSS v3.2.1 ID:与建议对应的 PCI-DSS v3.2.1 控件。
- NIST SP 800-53 r4 ID (s) :NIST SP 800-53 r4 (中等和高) 控制 () 对应于此建议。
- 安全原则:此建议侧重于“内容”,解释了与技术无关的控制措施。
- Azure 指导:此建议侧重于“操作”,解释了 Azure 技术特性和实现基础知识。
- AWS 指南:建议侧重于“操作方法”,介绍了 AWS 技术功能和实现基础知识。
- 实现和其他上下文:实现详细信息和其他相关上下文,链接到 Azure 和 AWS 服务产品/服务文档文章。
- 客户安全利益干系人:可就相应控制措施进行追究、问责、或咨询的客户组织的安全功能。 它在各组织中可能有所不同,具体取决于公司的安全组织结构,以及你设置的与 Azure 安全性相关的角色和职责。
MCSB 与行业基准 ((如 CIS、NIST 和 PCI) )之间的控制映射仅表明, () 的特定 Azure 功能可用于完全或部分满足这些行业基准中定义的控制要求。 应注意,此类实现不一定意味着完全符合这些行业基准中的相应控制措施。
我们欢迎你提供详细反馈并积极参与 Microsoft 云安全基准工作。 若要提供直接输入,请发送电子邮件至 benchmarkfeedback@microsoft.com。
下载
可以下载 电子表格格式的基准和基线脱机副本。
后续步骤
- 查看第一项安全控制:网络安全
- 阅读 Microsoft 云安全基准简介
- 了解 Azure 安全基础知识