Сопоставление microsoft cloud security benchmark (MCSB) версии 2 (предварительная версия) с элементами управления CIS

В следующей таблице представлено сопоставление элементов управления microsoft cloud security benchmark (MCSB) версии 2 (предварительная версия) и cis Controls версии 8.1. Полные рекомендации по безопасности, сведения о реализации и рекомендации, специфичные для Azure, для каждого элемента управления см. в доменных статьях по соответствующему элементу управления.

Сопоставления с другими платформами (NIST SP 800-53 r5, PCI-DSS версии 4, NIST CSF версии 2.0, ISO 27001:2022 и SOC 2) см. в отдельных статьях управления или элементах управления для сопоставления политик Azure.

Сетевая безопасность

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
NS-1 Установить границы сегментации сети 12.1, 12.2, 12.6
NS-2 Защита облачных собственных служб с помощью сетевых элементов управления 12.4, 12.7
NS-3 Развернуть брандмауэр на границе корпоративной сети 9.2, 9.3, 13.1
NS-4 Развертывание систем обнаружения и предотвращения вторжений (IDS/IPS) 13.2, 13.6, 13.7
NS-5 Развертывание защиты от атак DDoS 13.3
NS-6 Развертывание брандмауэра веб-приложения 13.2, 13.9
NS-7 Централизованное и эффективное управление безопасностью сети 4.1, 4.2, 12.4, 13.6
NS-8 Обнаружение и отключение небезопасных служб и протоколов 4.8, 9.3, 13.4
NS-9 Задайте частное подключение для локальной или облачной сети 12,8, 13,8
NS-10 Обеспечение безопасности системы доменных имен (DNS) 8.5, 13.6, 13.8

Управление идентичностью

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
IM-1 Централизация удостоверений и проверки подлинности при обеспечении изоляции 6.7, 12.5, 16.1
IM-2 Защита систем идентификации и проверки подлинности 5.4, 6.3, 6.5, 8.2
IM-3 Безопасное и автоматическое управление удостоверениями приложений 6.7, 12.5, 16.1, 16.9
IM-4 Проверка подлинности сервера и служб 3.10, 9.2, 13.3
IM-5 Использование единого входа для доступа к приложениям 6.3, 6.5, 12.5
IM-6 Используйте строгие меры аутентификации 6.3, 6.4, 6.5
IM-7 Ограничение доступа к ресурсам на основе условий 3.3, 6.4, 6.8, 13.5
IM-8 Ограничение раскрытия учетных данных и секретов 16.9, 16.10, 16.12

Привилегированный доступ

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
PA-1 Разделение и ограничение пользователей с привилегированными правами доступа и правами администратора 5.4, 6.7, 6.8
PA-2 Избегайте постоянного доступа для учетных записей пользователей и разрешений 5,4, 6,8
PA-3 Управление жизненным циклом удостоверений и прав 5.1, 5.2, 5.3, 6.1
PA-4 Регулярная проверка и согласование доступа пользователей 5.3, 5.4, 6.2
PA-5 Настройка аварийного доступа 5.4, 6.5, 17.9
PA-6 Использование решения привилегированного доступа 4.1, 5.4, 6.3, 6.4
PA-7 Следуйте принципу администрирования с предоставлением минимальных прав 3.3, 5.4, 6.1, 6.8
PA-8 Определение процесса доступа для поддержки поставщика облачных служб 5.4, 6.8, 8.2, 8.11

Защита данных

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
DP-1 Обнаружение, классификация и метка конфиденциальных данных 3.2, 3.7, 3.13
DP-2 Отслеживание аномалий и угроз, нацеленных на конфиденциальные данные 3.13
DP-3 Шифрование конфиденциальных данных во время передачи 3.10
DP-4 Обеспечение шифрования неактивных данных по умолчанию 3.11
DP-5 Использование параметра ключа, управляемого клиентом, для шифрования неактивных данных при необходимости 3.11
DP-6 Использование безопасного процесса управления ключами N/A
DP-7 Использование процесса управления безопасными сертификатами N/A
DP-8 Обеспечение безопасности репозитория ключей и сертификатов N/A

Управление активами

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
AM-1 Отслеживание инвентаризации активов и их рисков 1.1, 1.2, 1.3, 1.4, 2.1
AM-2 Использование только утвержденных служб 2.3, 2.7, 4.1
AM-3 Обеспечение безопасности для управления жизненным циклом ресурса 4.1, 4.2, 15.1, 15.2
AM-4 Ограничение доступа к управлению ресурсами 5.4, 6.1, 6.7, 6.8
AM-5 Использование только утвержденных приложений в виртуальной машине 2.3, 2.5, 2.6, 10.5

Ведение журналов и обнаружение угроз

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
LT-1 Включение возможностей обнаружения угроз 8.11, 13.1, 13.2
LT-2 Включение функции обнаружения угроз для управления удостоверениями и доступом 6.2, 8.5, 8.11
LT-3 Включить журналирование для расследования инцидентов безопасности 8.2, 8.3, 8.5, 8.12
LT-4 Включение ведения сетевого журнала для исследования безопасности 8.2, 8.5, 8.6, 8.11, 13.6
LT-5 Централизованное управление журналами безопасности и их анализ. 8.9, 8.11, 13.1, 13.3, 13.4, 17.1
LT-6 Настройка срока хранения журналов 8.3, 8.10
LT-7 Использование утвержденных источников синхронизации времени 8.4

Реакция на инцидент

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
IR-1 Подготовка — обновление плана реагирования на инциденты и процесса обработки 17.1, 17.2, 17.3
IR-2 Подготовка. Настройка уведомления об инциденте 17.4, 17.5
IR-3 Обнаружение и анализ. Создание инцидентов на основе высококачественных оповещений 8.11, 13.1, 13.2, 17.4
IR-4 Обнаружение и анализ— исследование инцидента 8.2, 8.5, 8.11, 13.2, 17.4
IR-5 Обнаружение и анализ.Определение приоритетов инцидентов 1.1, 1.2, 17.4, 17.5
IR-6 Сдерживание, искоренение и восстановление — автоматизация обработки инцидентов 17.4, 17.6, 17.7
IR-7 Действия после инцидента — анализ извлеченных уроков и сохранение доказательств 8.3, 17.8, 17.9

Управление позицией и уязвимостью

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
PV-1 Определение и установка безопасных конфигураций 4.1, 4.2
PV-2 Проведение аудита и внедрение безопасных конфигураций 4.1, 4.2, 4.7
PV-3 Определение и установка безопасных конфигураций для вычислительных ресурсов 4.1, 4.8, 18.3
PV-4 Проведение аудита и реализация безопасных конфигураций вычислительных ресурсов 4.1, 4.2, 4.7, 18.5
PV-5 Выполнение оценок уязвимости 7.1, 7.2, 7.5, 7.7
PV-6 Быстрое и автоматическое устранение уязвимостей 7.2, 7.3, 7.4, 7.5, 7.7
PV-7 Регулярное выполнение операций красной команды 15.1, 18.1, 18.2, 18.3, 18.5

Безопасность конечной точки

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
ES-1 Использование системы обнаружения и реагирования на конечных точках (EDR) 8.5, 8.11, 13.2, 13.10
ES-2 Использование современного программного обеспечения для борьбы с вредоносными программами 10.1, 10.2, 10.5, 10.7
ES-3 Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ 10.3, 7.2

Резервное копирование и восстановление

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
BR-1 Обеспечение регулярного автоматического резервного копирования 11.1, 11.2, 11.3
BR-2 Защищать данные резервного копирования и восстановления 11.3, 11.5, 3.11
BR-3 Мониторинг резервных копий 8.2, 8.11, 11.2
BR-4 Регулярное тестирование резервного копирования 11.4, 11.5

Безопасность DevOps

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
DS-1 Моделирование угроз 14.2, 14.3
DS-2 Защита цепочки поставок программного обеспечения 16.1, 16.2, 16.11
DS-3 Защита инфраструктуры DevOps 4.1, 4.7, 6.1, 6.5
DS-4 Интеграция статического тестирования безопасности приложений (SAST) 16.3, 16.6
DS-5 Интеграция динамического тестирования безопасности приложений (DAST) 16.7, 16.8
DS-6 Защита жизненного цикла рабочей нагрузки 4.1, 7.3, 7.4
DS-7 Реализация ведения журнала и мониторинга DevOps 8.2, 8.5, 8.11

Безопасность искусственного интеллекта

Элемент управления MCSB Имя элемента управления Элементы управления CIS версии 8.1
AI-1 Обеспечение использования утвержденных моделей 16.7
AI-2 Реализация многоуровневой фильтрации содержимого 8.3, 13.2
AI-3 Внедрение мета-запросов безопасности 18,5
AI-4 Применение наименьших привилегий для функций агента 5,4, 6,8
AI-5 Обеспечение взаимодействия с человеком в цикле 6.7, 8.11
AI-6 Установка мониторинга и обнаружения 8.5, 13.1
AI-7 Проводите непрерывное тестирование ИИ методом Red Teaming 15.1, 18.5