Azure 安全基准简介

Azure 中每天都会发布新的服务和功能,开发人员很快就会发布在这些服务上构建的新云应用程序,而攻击者也总是会寻找新方法来攻击配置有误的资源。 云在快速发展,开发人员在快速进步,而攻击者始终在“推陈出新”。 你如何跟上形势并确保云部署的安全? 云系统的安全做法与本地系统的安全做法有何不同? 如何监视多个独立开发团队之间的一致性?

Microsoft 已经发现,使用安全基准可以帮助你快速保护云部署。 来自云服务提供商的基准建议提供了一个在你的环境中选择特定安全配置设置的起点,并使你能够快速降低组织面临的风险。

Azure 安全基准包含一系列具有重要影响的安全建议,可用于帮助保护在 Azure 中使用的服务:

  • 安全控制:一般而言,在你的 Azure 租户和 Azure 服务中,这些建议都是适用的。 每个建议都会标识出利益干系人的列表,这些利益干系人通常会涉及到基准的规划、审批或实现。
  • 服务基线:这些基线将控制应用于单个 Azure 服务,以提供有关该服务的安全配置的建议。

实现 Azure 安全基准

常见用例

Azure 安全基准经常用于为以下类型的客户或服务合作伙伴解决这些常见难题:

  • 是 Azure 的新客户,正在寻找安全最佳做法,以确保安全部署 Azure 服务和自己的应用程序工作负载。
  • 希望改善现有 Azure 部署的安全状况,以优先处理级别最高的风险并采取缓解措施。
  • 在批准某个 Azure 服务/将其加入云服务目录之前,评估该 Azure 服务的安全特性/功能。
  • 需要满足政府、金融和医疗保健等受管制程度较高行业的合规要求。 这些客户需要确保其 Azure 服务配置符合 CIS、NIST 或 PCI 等框架中定义的安全规范。 Azure 安全基准提供了一种高效的方法,其控制要求已预先映射到了这些行业基准。

术语

术语“控制”和“基线”经常在 Azure 安全基准文档中使用,了解 Azure 安全基准如何使用这些术语非常重要。

术语 说明 示例
控制 “控制”是对需要实现的功能或活动的概要说明,并非特定于某种技术或实现。 数据保护是一个安全控制系列。 数据保护包含为了帮助确保数据受到保护而必须采取的具体措施。
基线 基线是有关单个 Azure 服务的控制的实现。 每个组织都会决定 Azure 实现范围内需要的基准建议和相应的配置。 Contoso 公司希望通过遵循 Azure SQL 安全基线中建议的配置来启用 Azure SQL 安全功能。

欢迎你提供有关 Azure 安全基准的反馈! 建议你在以下反馈区域中提供评论。 如果你希望以更私密的方式将你的建议告知 Azure 安全基准检验团队,欢迎你在 https://aka.ms/AzSecBenchmark 中填写表单