Обзор элементов управления безопасностью Azure (версия 3)

Azure Security Benchmark (ASB) предоставляет предписывающие лучшие практики и рекомендации по повышению безопасности нагрузок, данных и служб в Azure. Этот тест является частью набора комплексных рекомендаций по безопасности, которые также включают в себя:

Azure Security Benchmark фокусируется на областях управления, ориентированных на облако. Контролы согласованы с хорошо известными бенчмарками безопасности, такими как описанные Центром интернет-безопасности (CIS), Национальным институтом стандартов и технологий (NIST), а также стандартом безопасности данных индустрии платежных карт (PCI-DSS).

Новые возможности ASB версии 3

Вот что нового в Azure Security Benchmark версии 3:

  • В дополнение к существующим сопоставлениям с управлениями CIS версии 7.1 и NIST SP800-53 ред4 добавляются сопоставления с отраслевыми платформами PCI-DSS версии 3.2.1 и управлениями CIS версии 8.
  • Уточнение руководства по управлению для более детализированного и практического применения, например, руководство по безопасности теперь разделено на две отдельные части, принцип безопасности и руководство Azure. Принцип безопасности — это "что", объясняющий контроль на уровне, не зависящем от конкретных технологий; Руководство по Azure посвящено тому, "как", чтобы рассказать о соответствующих технических функциях и способах реализации контролей в Azure.
  • Добавление новых элементов управления, например DevOps Security в качестве нового семейства элементов управления, которое также включает такие темы, как моделирование угроз и безопасность цепочки поставок программного обеспечения. Управление ключами и сертификатами было введено для рекомендаций по лучшим практикам управления ключами и сертификатами в Azure.

Элементы управления

Следующие элементы управления включены в Azure Security Benchmark версии 3:

Домены элементов управления ASB Описание
Безопасность сети (NS) Сетевая безопасность охватывает элементы управления для защиты и защиты сетей Azure, включая защиту виртуальных сетей, установку частных подключений, предотвращение и устранение внешних атак и защиту DNS.
Управление идентификацией (УИ) Управление удостоверениями охватывает меры контроля для установления защищенного удостоверения и контроля доступа с помощью Azure Active Directory, включая использование единого входа, многофакторных аутентификаций, управляемых удостоверений (и сервисных сущностей) для приложений, условного доступа и мониторинга аномалий учетных записей.
Привилегированный доступ (PA) Привилегированный доступ охватывает элементы управления для защиты привилегированного доступа к клиенту и ресурсам Azure, включая ряд элементов управления для защиты административной модели, административных учетных записей и рабочих станций привилегированного доступа от преднамеренного и непреднамеренного риска.
Защита данных (DP) Защита данных охватывает контроль безопасности данных в состоянии покоя, в процессе передачи и через авторизованные механизмы доступа, включая защиту, обнаружение, классификацию и мониторинг активов конфиденциальных данных с помощью управления доступом, шифрования и управления ключами и сертификатами в Azure.
Управление ресурсами (AM) Управление активами охватывает элементы управления безопасностью, чтобы обеспечить видимость безопасности и управление ресурсами Azure, включая рекомендации по разрешениям для персонала по безопасности, доступу к инвентаризации активов и управлению утверждениями для служб и ресурсов (инвентаризация, отслеживание и исправление).
Ведение журнала и обнаружение угроз (LT) Ведение журнала и обнаружение угроз охватывают элементы управления для обнаружения угроз в Azure и включения, сбора и хранения журналов аудита для служб Azure, включая включение процессов обнаружения, исследования и исправления с помощью средств управления для создания высококачественных оповещений с помощью машинного обнаружения угроз в службах Azure; он также включает сбор журналов с помощью Azure Monitor, централизованного анализа безопасности с помощью Azure Sentinel, синхронизации времени и хранения журналов.
Реагирование на инциденты (IR) Реагирование на инциденты охватывает элементы управления жизненным циклом реагирования на инциденты — подготовка, обнаружение и анализ, сдерживание и действия после инцидента, включая использование служб Azure, таких как Microsoft Defender для облака и Sentinel для автоматизации процесса реагирования на инциденты.
Управление состоянием и уязвимостью (PV) Управление положением безопасности и уязвимостями сосредоточено на элементах управления для оценки и улучшения безопасности Azure, включая сканирование на уязвимости, тестирование на проникновение и коррекцию, а также отслеживание, отчетность и коррекцию конфигурации безопасности в ресурсах Azure.
Безопасность конечных точек (ES) Безопасность конечных точек охватывает элементы управления в области обнаружения и реагирования на конечные точки, включая использование обнаружения конечных точек и реагирования (EDR) и службы защиты от вредоносных программ для конечных точек в средах Azure.
Резервное копирование и восстановление (BR) Резервное копирование и восстановление охватывают элементы управления, чтобы обеспечить выполнение, проверку и защиту резервных копий данных и конфигураций на разных уровнях служб.
Безопасность DevOps (DS) DevOps Security охватывает элементы управления, связанные с проектированием безопасности и операциями в процессах DevOps, включая развертывание критически важных проверок безопасности (таких как статическое тестирование безопасности приложений, управление уязвимостями) до этапа развертывания, чтобы обеспечить безопасность в процессе DevOps; она также содержит общие темы, такие как моделирование угроз и безопасность поставок программного обеспечения.
Управление и стратегия (GS) Функциональные возможности, относящиеся к категории управления и стратегии, гарантируют реализацию подхода с согласованной стратегией безопасности и документально оформленным управлением. Это позволяет управлять обеспечением безопасности и поддерживать ее на должном уровне, включая следующие аспекты: назначение ролей и обязанностей для различных облачных функций безопасности, единая техническая стратегия, а также поддержка политик и стандартов.

Рекомендации по тесту безопасности Azure

Каждая рекомендация содержит следующие данные:

  • Идентификатор ASB: идентификатор Теста безопасности Azure, соответствующий рекомендации.
  • Идентификаторы элементов управления CIS версии 8: Элементы управления CIS версии 8, соответствующие рекомендациям.
  • Элементы управления CIS версии 7.1: элементы управления CIS версии 7.1, которые соответствуют рекомендации (не доступны в Интернете по причине форматирования).
  • PCI-DSS идентификатор(-ы) версии 3.2.1: контролей PCI-DSS версии 3.2.1, соответствующих рекомендации.
  • ID(ы) NIST SP 800-53 r4: Контроли NIST SP 800-53 r4 (умеренный и высокий), соответствующие этой рекомендации.
  • Принцип безопасности: рекомендация сосредоточена на сути вопроса, объясняя контроль на уровне, независимом от конкретной технологии.
  • Руководство по Azure. Рекомендация посвящена "как", объясняя технические функции и основы реализации Azure.
  • Контекст реализации и добавления: Детали реализации и другой соответствующий контекст, которые ссылаются на статьи документации предложения службы Azure.
  • Заинтересованные лица по безопасности клиентов: функции безопасности в организации клиента, которые могут быть подотчетными, ответственными или консультированы по соответствующему контролю. Это может отличаться от организации к организации в зависимости от структуры организации безопасности вашей компании, а также ролей и обязанностей, связанных с безопасностью Azure.

Замечание

Сопоставления элементов управления между ASB и отраслевыми бенчмарками (например, CIS, NIST и PCI) указывают, что определенные функции Azure можно использовать для полного или частичного выполнения требования контроля безопасности, определенного в этих отраслевых бенчмарках. Следует учитывать, что такая реализация не обязательно преобразуется в полное соответствие соответствующих контрольных показателей в этих отраслевых тестах.

Мы приветствуем подробные отзывы и активное участие в усилиях Azure Security Benchmark. Если вы хотите предоставить команде Azure Security Benchmark прямые входные данные, заполните форму по адресу https://aka.ms/AzSecBenchmark

Загрузка

Вы можете скачать Azure Security Benchmark в формате электронной таблицы.

Дальнейшие шаги