(v3) 的 Azure 安全控制概述
Azure 安全基准 (ASB) 提供了说明性的最佳做法和建议,以帮助提高 Azure 上工作负载、数据和服务的安全性。 此基准属于一组全面的安全指南,这组指南还包括:
- 云采用框架:安全方面的指导,包括策略、角色和责任、Azure 十大安全最佳做法和参考实现。
- Azure 架构良好的框架:有关保护 Azure 上工作负载的指导。
- Microsoft 安全最佳做法:建议以及 Azure 上的示例。
- Microsoft 网络安全参考体系结构 (MCRA):安全组件和关系的可视化图表和指导
Azure 安全基准侧重于以云为中心的控制领域。 这些控制与众所周知的安全基准(例如 Internet 安全中心 (CIS) 控制、美国国家标准与技术研究院 (NIST) 和支付卡行业数据安全标准 (PCI-DSS))所述一致。
ASB v3 中的新增内容
以下是 Azure 安全基准 v3 中的新增内容:
- 除了添加到 CIS 控制 v7.1 和 NIST SP800-53 Rev4 的现有映射之外,还添加了到行业框架 PCI-DSS v3.2.1 和 CIS 控制 v8 的映射。
- 通过细化控制指导,使其更精细和可操作,例如,安全指导现在分为两个独立的部分:安全原则和 Azure 指导。 安全原则是“内容”,解释了与技术无关的控制措施;Azure 指导侧重于“操作”,详细阐述了在 Azure 中实现控制的相关技术特性和方法。
- 添加了新的控制,例如 DevOps 安全性作为一个新的控制系列,其中还包括威胁建模和软件供应链安全等主题。 引入了密钥和证书管理,建议使用 Azure 中的密钥和证书管理最佳做法。
控制
Azure 安全基准 v3 中包含以下控制:
| ASB 控制领域 | 说明 |
|---|---|
| 网络安全性 (NS) | 网络安全包含用于保护 Azure 网络的控制措施,包括保护虚拟网络、建立专用连接、阻止和减少外部攻击以及保护 DNS。 |
| 标识管理 (IM) | 标识管理包括用于使用 Azure Active Directory 建立安全标识和访问控制的控制措施,其中包括使用单一登录、强身份验证、用于应用程序的托管标识(和服务主体)、条件访问和帐户异常监视。 |
| 特权访问 (PA) | 特权访问包括用于保护对你的 Azure 租户和资源的特权访问的控制措施,包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。 |
| 数据保护 (DP) | 数据保护涵盖控制静态数据保护、传输中的数据保护以及通过授权访问机制实现的数据保护,包括使用 Azure 中的访问控制、加密以及密钥和证书管理来实现对敏感数据资产的发现、分类、保护和监视。 |
| 资产管理 (AM) | 资产管理包括用于确保 Azure 资源安全可见性和治理的控制措施,包括以下几方面的建议:安全人员的权限、对资产清单的安全访问,以及管理对服务和资源的审批(盘点、跟踪和更正)。 |
| 日志记录和威胁检测 (LT) | 日志记录和威胁检测涵盖了用于检测 Azure 上的威胁以及启用、收集和存储 Azure 服务的审核日志的控件,包括使用控件启用检测、调查和修正过程,以利用 Azure 服务中的本机威胁检测生成高质量的警报;它还包括使用 Azure Monitor 收集日志,使用 Azure Sentinel 集中进行安全分析、时间同步和日志保留。 |
| 事件响应 (IR) | 事件响应包括对事件响应生命周期(准备、检测、分析、包含和事后活动)的控制措施,包括使用 Microsoft Defender for Cloud 和 Sentinel 等 Azure 服务自动执行事件响应过程。 |
| 态势和漏洞管理 (PV) | 状况和漏洞管理侧重于评估和改进 Azure 安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及 Azure 资源中的安全配置跟踪、报告和更正。 |
| 终结点安全性 (ES) | 终结点安全保护对终结点检测和响应的控制措施,包括在 Azure 环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。 |
| 备份和恢复 (BR) | 备份和恢复包括用于确保在不同服务层执行、验证和保护数据和配置备份的控制措施。 |
| DevOps 安全性 (DS) | DevOps 安全性涵盖 DevOps 过程中与安全工程和操作相关的控制措施,包括在部署阶段之前部署关键安全性检查(如静态应用程序安全性测试、漏洞管理),以确保整个 DevOps 过程的安全;它还包括常见主题,例如威胁建模和软件供应安全。 |
| 治理和策略 (GS) | 治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。 |
Azure 安全基准检验建议
每项建议都包含以下信息:
- ASB ID:与建议对应的 Azure 安全基准 ID。
- CIS 控制 v8 ID:与建议对应的 CIS 控制 v8 控件。
- CIS 控制 v7.1 ID:与建议对应的 CIS 控制 v7.1 控件(由于格式原因,它在 Web 中不可用)。
- PCI-DSS v3.2.1 ID:与建议对应的 PCI-DSS v3.2.1 控件。
- NIST SP 800-53 r4 ID:与此建议对应的 NIST SP 800-53 r4(中等和高)控制措施。
- 安全原则:此建议侧重于“内容”,解释了与技术无关的控制措施。
- Azure 指导:此建议侧重于“操作”,解释了 Azure 技术特性和实现基础知识。
- 实现和添加上下文:链接到 Azure 服务产品文档文章的实现详细信息和其他相关上下文。
- 客户安全利益干系人:可就相应控制措施进行追究、问责、或咨询的客户组织的安全功能。 它在各组织中可能有所不同,具体取决于公司的安全组织结构,以及你设置的与 Azure 安全性相关的角色和职责。
注意
ASB 和行业基准(如 CIS、NIST 和 PCI)之间的控制映射仅指示特定的 Azure 功能可用于完全或部分解决这些行业基准中定义的控制要求。 应注意,此类实现不一定意味着完全符合这些行业基准中的相应控制措施。
我们欢迎你提供详细反馈并积极参与 Azure 安全基准检验工作。 若要向 Azure 安全基准检验团队提供直接意见,请在 https://aka.ms/AzSecBenchmark 填写表单
下载
可以下载电子表格格式的 Azure 安全基准。
后续步骤
- 查看第一项安全控制:网络安全
- 阅读 Azure 安全基准检验简介
- 了解 Azure 安全基础知识