В следующей таблице представлено сопоставление элементов управления microsoft cloud security benchmark (MCSB) версии 2 (предварительная версия) и cis Controls версии 8.1. Полные рекомендации по безопасности, сведения о реализации и рекомендации, специфичные для Azure, для каждого элемента управления см. в доменных статьях по соответствующему элементу управления.
Сопоставления с другими платформами (NIST SP 800-53 r5, PCI-DSS версии 4, NIST CSF версии 2.0, ISO 27001:2022 и SOC 2) см. в отдельных статьях управления или элементах управления для сопоставления политик Azure.
Сетевая безопасность
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
NS-1 |
Установить границы сегментации сети |
12.1, 12.2, 12.6 |
|
NS-2 |
Защита облачных собственных служб с помощью сетевых элементов управления |
12.4, 12.7 |
|
NS-3 |
Развернуть брандмауэр на границе корпоративной сети |
9.2, 9.3, 13.1 |
|
NS-4 |
Развертывание систем обнаружения и предотвращения вторжений (IDS/IPS) |
13.2, 13.6, 13.7 |
|
NS-5 |
Развертывание защиты от атак DDoS |
13.3 |
|
NS-6 |
Развертывание брандмауэра веб-приложения |
13.2, 13.9 |
|
NS-7 |
Централизованное и эффективное управление безопасностью сети |
4.1, 4.2, 12.4, 13.6 |
|
NS-8 |
Обнаружение и отключение небезопасных служб и протоколов |
4.8, 9.3, 13.4 |
|
NS-9 |
Задайте частное подключение для локальной или облачной сети |
12,8, 13,8 |
|
NS-10 |
Обеспечение безопасности системы доменных имен (DNS) |
8.5, 13.6, 13.8 |
Управление идентичностью
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
IM-1 |
Централизация удостоверений и проверки подлинности при обеспечении изоляции |
6.7, 12.5, 16.1 |
|
IM-2 |
Защита систем идентификации и проверки подлинности |
5.4, 6.3, 6.5, 8.2 |
|
IM-3 |
Безопасное и автоматическое управление удостоверениями приложений |
6.7, 12.5, 16.1, 16.9 |
|
IM-4 |
Проверка подлинности сервера и служб |
3.10, 9.2, 13.3 |
|
IM-5 |
Использование единого входа для доступа к приложениям |
6.3, 6.5, 12.5 |
|
IM-6 |
Используйте строгие меры аутентификации |
6.3, 6.4, 6.5 |
|
IM-7 |
Ограничение доступа к ресурсам на основе условий |
3.3, 6.4, 6.8, 13.5 |
|
IM-8 |
Ограничение раскрытия учетных данных и секретов |
16.9, 16.10, 16.12 |
Привилегированный доступ
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
PA-1 |
Разделение и ограничение пользователей с привилегированными правами доступа и правами администратора |
5.4, 6.7, 6.8 |
|
PA-2 |
Избегайте постоянного доступа для учетных записей пользователей и разрешений |
5,4, 6,8 |
|
PA-3 |
Управление жизненным циклом удостоверений и прав |
5.1, 5.2, 5.3, 6.1 |
|
PA-4 |
Регулярная проверка и согласование доступа пользователей |
5.3, 5.4, 6.2 |
|
PA-5 |
Настройка аварийного доступа |
5.4, 6.5, 17.9 |
|
PA-6 |
Использование решения привилегированного доступа |
4.1, 5.4, 6.3, 6.4 |
|
PA-7 |
Следуйте принципу администрирования с предоставлением минимальных прав |
3.3, 5.4, 6.1, 6.8 |
|
PA-8 |
Определение процесса доступа для поддержки поставщика облачных служб |
5.4, 6.8, 8.2, 8.11 |
Защита данных
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
DP-1 |
Обнаружение, классификация и метка конфиденциальных данных |
3.2, 3.7, 3.13 |
|
DP-2 |
Отслеживание аномалий и угроз, нацеленных на конфиденциальные данные |
3.13 |
|
DP-3 |
Шифрование конфиденциальных данных во время передачи |
3.10 |
|
DP-4 |
Обеспечение шифрования неактивных данных по умолчанию |
3.11 |
|
DP-5 |
Использование параметра ключа, управляемого клиентом, для шифрования неактивных данных при необходимости |
3.11 |
|
DP-6 |
Использование безопасного процесса управления ключами |
N/A |
|
DP-7 |
Использование процесса управления безопасными сертификатами |
N/A |
|
DP-8 |
Обеспечение безопасности репозитория ключей и сертификатов |
N/A |
Управление активами
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
AM-1 |
Отслеживание инвентаризации активов и их рисков |
1.1, 1.2, 1.3, 1.4, 2.1 |
|
AM-2 |
Использование только утвержденных служб |
2.3, 2.7, 4.1 |
|
AM-3 |
Обеспечение безопасности для управления жизненным циклом ресурса |
4.1, 4.2, 15.1, 15.2 |
|
AM-4 |
Ограничение доступа к управлению ресурсами |
5.4, 6.1, 6.7, 6.8 |
|
AM-5 |
Использование только утвержденных приложений в виртуальной машине |
2.3, 2.5, 2.6, 10.5 |
Ведение журналов и обнаружение угроз
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
LT-1 |
Включение возможностей обнаружения угроз |
8.11, 13.1, 13.2 |
|
LT-2 |
Включение функции обнаружения угроз для управления удостоверениями и доступом |
6.2, 8.5, 8.11 |
|
LT-3 |
Включить журналирование для расследования инцидентов безопасности |
8.2, 8.3, 8.5, 8.12 |
|
LT-4 |
Включение ведения сетевого журнала для исследования безопасности |
8.2, 8.5, 8.6, 8.11, 13.6 |
|
LT-5 |
Централизованное управление журналами безопасности и их анализ. |
8.9, 8.11, 13.1, 13.3, 13.4, 17.1 |
|
LT-6 |
Настройка срока хранения журналов |
8.3, 8.10 |
|
LT-7 |
Использование утвержденных источников синхронизации времени |
8.4 |
Реакция на инцидент
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
IR-1 |
Подготовка — обновление плана реагирования на инциденты и процесса обработки |
17.1, 17.2, 17.3 |
|
IR-2 |
Подготовка. Настройка уведомления об инциденте |
17.4, 17.5 |
|
IR-3 |
Обнаружение и анализ. Создание инцидентов на основе высококачественных оповещений |
8.11, 13.1, 13.2, 17.4 |
|
IR-4 |
Обнаружение и анализ— исследование инцидента |
8.2, 8.5, 8.11, 13.2, 17.4 |
|
IR-5 |
Обнаружение и анализ.Определение приоритетов инцидентов |
1.1, 1.2, 17.4, 17.5 |
|
IR-6 |
Сдерживание, искоренение и восстановление — автоматизация обработки инцидентов |
17.4, 17.6, 17.7 |
|
IR-7 |
Действия после инцидента — анализ извлеченных уроков и сохранение доказательств |
8.3, 17.8, 17.9 |
Управление позицией и уязвимостью
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
PV-1 |
Определение и установка безопасных конфигураций |
4.1, 4.2 |
|
PV-2 |
Проведение аудита и внедрение безопасных конфигураций |
4.1, 4.2, 4.7 |
|
PV-3 |
Определение и установка безопасных конфигураций для вычислительных ресурсов |
4.1, 4.8, 18.3 |
|
PV-4 |
Проведение аудита и реализация безопасных конфигураций вычислительных ресурсов |
4.1, 4.2, 4.7, 18.5 |
|
PV-5 |
Выполнение оценок уязвимости |
7.1, 7.2, 7.5, 7.7 |
|
PV-6 |
Быстрое и автоматическое устранение уязвимостей |
7.2, 7.3, 7.4, 7.5, 7.7 |
|
PV-7 |
Регулярное выполнение операций красной команды |
15.1, 18.1, 18.2, 18.3, 18.5 |
Безопасность конечной точки
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
ES-1 |
Использование системы обнаружения и реагирования на конечных точках (EDR) |
8.5, 8.11, 13.2, 13.10 |
|
ES-2 |
Использование современного программного обеспечения для борьбы с вредоносными программами |
10.1, 10.2, 10.5, 10.7 |
|
ES-3 |
Обеспечение обновления программного обеспечения и подписей защиты от вредоносных программ |
10.3, 7.2 |
Резервное копирование и восстановление
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
BR-1 |
Обеспечение регулярного автоматического резервного копирования |
11.1, 11.2, 11.3 |
|
BR-2 |
Защищать данные резервного копирования и восстановления |
11.3, 11.5, 3.11 |
|
BR-3 |
Мониторинг резервных копий |
8.2, 8.11, 11.2 |
|
BR-4 |
Регулярное тестирование резервного копирования |
11.4, 11.5 |
Безопасность DevOps
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
DS-1 |
Моделирование угроз |
14.2, 14.3 |
|
DS-2 |
Защита цепочки поставок программного обеспечения |
16.1, 16.2, 16.11 |
|
DS-3 |
Защита инфраструктуры DevOps |
4.1, 4.7, 6.1, 6.5 |
|
DS-4 |
Интеграция статического тестирования безопасности приложений (SAST) |
16.3, 16.6 |
|
DS-5 |
Интеграция динамического тестирования безопасности приложений (DAST) |
16.7, 16.8 |
|
DS-6 |
Защита жизненного цикла рабочей нагрузки |
4.1, 7.3, 7.4 |
|
DS-7 |
Реализация ведения журнала и мониторинга DevOps |
8.2, 8.5, 8.11 |
Безопасность искусственного интеллекта
| Элемент управления MCSB |
Имя элемента управления |
Элементы управления CIS версии 8.1 |
|
AI-1 |
Обеспечение использования утвержденных моделей |
16.7 |
|
AI-2 |
Реализация многоуровневой фильтрации содержимого |
8.3, 13.2 |
|
AI-3 |
Внедрение мета-запросов безопасности |
18,5 |
|
AI-4 |
Применение наименьших привилегий для функций агента |
5,4, 6,8 |
|
AI-5 |
Обеспечение взаимодействия с человеком в цикле |
6.7, 8.11 |
|
AI-6 |
Установка мониторинга и обнаружения |
8.5, 13.1 |
|
AI-7 |
Проводите непрерывное тестирование ИИ методом Red Teaming |
15.1, 18.5 |
Связанный контент