Обзор microsoft cloud security benchmark (версии 1)

Microsoft Cloud Security Benchmark (MCSB) предлагает предписывающие лучшие практики и рекомендации для повышения безопасности нагрузок, данных и служб в Azure и вашей многооблачной среде. Этот тест ориентирован на облачные области управления с вводом из набора комплексных рекомендаций майкрософт и отраслевых рекомендаций по безопасности, которые включают:

Новые возможности microsoft cloud security benchmark версии 1

Замечание

Microsoft Cloud Security Benchmark является преемником Azure Security Benchmark (ASB), который был переименован в октябре 2022 года.

Поддержка Google Cloud Platform в MCSB теперь доступна в качестве предварительной версии функции как в руководстве по тесту MCSB, так и в Microsoft Defender для облака.

Вот что нового в microsoft cloud security benchmark версии 1:

  1. Комплексная многооблачная платформа безопасности: организации часто должны создавать внутренний стандарт безопасности для согласования элементов управления безопасностью на нескольких облачных платформах для удовлетворения требований к безопасности и соответствию требованиям к каждому из них. Это часто требует от команд безопасности повторять одну и ту же реализацию, мониторинг и оценку в разных облачных средах (часто для различных стандартов соответствия). Это создает ненужные накладные расходы, затраты и усилия. Для решения этой проблемы мы улучшили ASB до MCSB, чтобы помочь вам быстро работать с различными облаками.

    • Предоставление единой системы управления контролями для облегчения соответствия требованиям безопасности в различных облаках
    • Обеспечение согласованного взаимодействия с пользователем для мониторинга и применения многооблачного теста безопасности в Defender для облака
    • Соответствие отраслевым стандартам (например, CIS, NIST, PCI)

    Сопоставление между ASB и CIS Benchmark

  2. Автоматический мониторинг управления для AWS в Microsoft Defender для облака: вы можете использовать панель мониторинга соответствия требованиям Microsoft Defender для облака, чтобы контролировать вашу среду AWS согласно MCSB так же, как вы контролируете свою среду Azure. Мы разработали около 180 проверок AWS для новых рекомендаций по безопасности AWS в MCSB, что позволяет отслеживать среду и ресурсы AWS в Microsoft Defender для облака.

    Снимок экрана интеграции MSCB с Microsoft Defender для Облака

  3. Обновление существующих рекомендаций и принципов безопасности Azure: мы также обновили некоторые из существующих рекомендаций по безопасности Azure и принципов безопасности во время этого обновления, чтобы вы могли оставаться в курсе последних функций и возможностей Azure.

Элементы управления

Домены управления Description
Безопасность сети (NS) Сетевая безопасность охватывает элементы управления для защиты и защиты сетей, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак и защиту DNS.
Управление идентификацией (ИУ) Управление идентификацией охватывает контроль безопасности и доступа с помощью систем управления идентификацией и доступом, включая использование единой аутентификации, сильных аутентификаций, управляемых удостоверений (и служебных принципов) для приложений, условного доступа и мониторинга аномальных действий учетных записей.
Привилегированный доступ (PA) Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска.
Защита данных (DP) Защита данных охватывает контроль защиты данных в состоянии покоя, в процессе передачи и через авторизованные механизмы доступа, включая обнаружение, классификацию, защиту и мониторинг активов конфиденциальных данных с помощью управления доступом, шифрования, управления ключами и управления сертификатами.
Управление ресурсами (AM) Управление ресурсами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление).
Ведение журнала и обнаружение угроз (LT) Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения облачных угроз и включения, сбора и хранения журналов аудита для облачных служб, включая активацию процессов обнаружения, исследования и исправления с использованием встроенного обнаружения угроз для создания высококачественных оповещений; включает также сбор журналов с использованием облачной службы мониторинга, централизованный анализ безопасности с помощью SIEM, синхронизацию времени и хранение журналов.
Реагирование на инциденты (IR) Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, размещение и действия после инцидента, включая использование служб Azure (например, Microsoft Defender для облака и Sentinel) и (или) других облачных служб для автоматизации процесса реагирования на инциденты.
Управление состоянием и уязвимостью (PV) Функция "Управление уязвимостями" ориентирована на средства управления для оценки и улучшения состояния облачной безопасности, включая сканирование уязвимостей, тестирование на проникновение и исправление, а также отслеживание конфигурации безопасности, отчеты и исправление в облачных ресурсах.
Безопасность конечных точек (ES) Endpoint Security охватывает элементы управления в области обнаружения и реагирования конечных точек, включая использование обнаружения конечных точек и реагирования (EDR) и службы защиты от вредоносных программ для конечных точек в облачных средах.
Резервное копирование и восстановление (BR) Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб.
Безопасность DevOps (DS) DevOps Security охватывает элементы управления, связанные с проектированием безопасности и операциями в процессах DevOps, включая развертывание критически важных проверок безопасности (таких как статическое тестирование безопасности приложений, управление уязвимостями) до этапа развертывания, чтобы обеспечить безопасность в процессе DevOps; она также содержит общие темы, такие как моделирование угроз и безопасность поставок программного обеспечения.
Управление и стратегия (GS) Управление и стратегия предоставляют рекомендации по обеспечению последовательной стратегии безопасности и документированного подхода к управлению для управления безопасностью, включая создание ролей и обязанностей по различным функциям облачной безопасности, унифицированной технической стратегии и поддержке политик и стандартов.

Рекомендации по Microsoft Cloud Security Benchmark

Каждая рекомендация содержит следующие данные:

  • ID: Идентификатор эталона, соответствующий рекомендации.
  • Контроли CIS версии 8: Контроли версии 8 CIS, которые соответствуют рекомендациям.
  • ID элементов управления CIS версии 7.1: элементы управления CIS версии 7.1, которые соответствуют рекомендации (недоступны в Интернете из-за форматирования).
  • Идентификаторы PCI-DSS версии 3.2.1: Контроль(ы) PCI-DSS версии 3.2.1, соответствующие рекомендации.
  • ID(ы) NIST SP 800-53 r4: Контроли NIST SP 800-53 r4 (умеренные и высокие) соответствуют этой рекомендации.
  • Принцип безопасности: рекомендация сосредоточена на "что именно", объясняя контроль на уровне, не зависящем от конкретной технологии.
  • Руководство по Azure. Рекомендация посвящена "как", объясняя технические функции и основы реализации Azure.
  • Руководство по AWS. Рекомендация посвящена "как", объясняя технические функции и основы реализации AWS.
  • Реализация и дополнительный контекст: Сведения о реализации и другой соответствующий контекст, который ссылается на статьи документации по предложениям служб Azure и AWS.
  • Заинтересованные лица по безопасности заказчика: функции безопасности в организации заказчика, которые могут быть подотчетными, ответственными или консультированы для соответствующего контроля. Это может отличаться от организации к организации в зависимости от структуры организации безопасности вашей компании, а также ролей и обязанностей, связанных с безопасностью Azure.

Сопоставления элементов управления между MCSB и отраслевыми тестами (например, CIS, NIST и PCI) указывают, что определенные функции Azure можно использовать для полного или частичного решения требования к управлению, определенного в этих отраслевых тестах. Следует учитывать, что такая реализация не обязательно преобразуется в полное соответствие соответствующих контрольных показателей в этих отраслевых тестах.

Мы приветствуем ваши подробные отзывы и активное участие в работе microsoft cloud security benchmark. Если вы хотите предоставить прямые входные данные, отправьте нам электронное письмо по адресу benchmarkfeedback@microsoft.com.

Загрузка

Вы можете скачать тестовую и базовую автономную копию в формате электронной таблицы.

Дальнейшие шаги