Popište, jak zásady zabezpečení a iniciativy zlepšují stav zabezpečení cloudu.

Dokončeno

Microsoft Defender for Cloud umožňuje organizacím spravovat zabezpečení svých prostředků a úloh v cloudu a místně a zlepšit celkový stav zabezpečení. Dělá to pomocí definic zásad a iniciativ zabezpečení, takže je důležité porozumět těmto termínům.

• Definice služby Azure Policy vytvořená v Azure Policy je pravidlo týkající se konkrétních podmínek zabezpečení, které chcete řídit. Azure Policy podporuje integrované definice, ale můžete také vytvořit vlastní definice zásad.

• Iniciativa zabezpečení je kolekce definic služby Azure Policy nebo pravidel seskupených do konkrétního cíle nebo účelu. Iniciativy zabezpečení zjednodušují správu zásad tím, že seskupí sadu zásad dohromady, logicky jako jednu položku.

• Pokud chcete implementovat definice zásad nebo iniciativy, přiřaďte je k libovolnému rozsahu podporovaných prostředků, jako jsou skupiny pro správu, předplatná, skupiny prostředků nebo jednotlivé prostředky.

Microsoft Defender for Cloud aplikuje na vaše předplatná iniciativy zabezpečení. Tyto iniciativy obsahují jednu nebo více zásad zabezpečení. Každá z těchto zásad má za následek doporučení zabezpečení pro zlepšení stavu zabezpečení.

Správci zabezpečení můžou vytvářet vlastní iniciativy zabezpečení v programu Microsoft Defender for Cloud, ale existuje také výchozí integrovaná iniciativa zabezpečení s názvem Srovnávací test cloudového zabezpečení Microsoftu, která se automaticky přiřadí, když ve svém předplatném povolíte Microsoft Defender for Cloud.

Srovnávací test zabezpečení cloudu Microsoftu

Srovnávací test zabezpečení cloudu Microsoftu (MCSB) je sada pokynů pro zabezpečení a dodržování předpisů od Microsoftu, která poskytuje osvědčené postupy a doporučení, které pomáhají zlepšit zabezpečení úloh, dat a služeb v Azure a ve vašem multicloudovém prostředí. MCSB staví na kontrolních prvcích z Centra pro internetové zabezpečení (CIS) a národního institutu NIST (National Institute of Standards and Technology) se zaměřením na zabezpečení zaměřeném na cloud.

Nejlepším způsobem, jak porozumět srovnávacímu testu zabezpečení cloudu Microsoftu, je zobrazit ho na Microsoft_cloud_security_benchmark GitHubu. Upozornění na rozmazlovač, je to excelová tabulka. MCSB poskytuje mnoho sloupců dat. Mezi klíčové informace patří:

• ID – Každá položka řádku v MCSB má identifikátor, který se mapuje na konkrétní doporučení.
• Doména řízení – Ovládací prvek je popis funkce nebo aktivity vysoké úrovně, které je potřeba řešit, a není specifické pro technologii nebo implementaci. Mezi řídicí domény MCSB patří zabezpečení sítě, ochrana dat, správa identit, privilegovaný přístup, reakce na incidenty, zabezpečení koncových bodů a pojmenování několika málo.
• Mapování na oborové architektury – doporučení zahrnutá v MCSB mapují na existující oborové architektury, jako je Centrum pro internetové zabezpečení (CIS), Národní institut standardů a technologie (NIST) a standardy PCI DSS (Payment Card Industry Data Security Standards). To usnadňuje zabezpečení a dodržování předpisů pro zákaznické aplikace běžící na službách Azure.
• Doporučení – pro každou oblast domény ovládacího prvku může existovat mnoho různých doporučení. Například doména řízení zabezpečení sítě v MCSB v1 má 10 jedinečných doporučení identifikovaných jako NS-1 až NS-10; prvním doporučením identifikovaným jako NS-1 je vytvoření hranic segmentace sítě.
• Doprovodné materiály k Azure – Pokyny k Azure se zaměřují na postupy a propracované o relevantních technických funkcích a způsobech implementace ovládacích prvků v Azure. V příkladu NS-1 obsahuje pokyny k Azure informace týkající se vytvoření virtuální sítě, použití skupin zabezpečení sítě (NSG) a použití skupiny zabezpečení aplikace (ASG).
• AWS Guidance – Pokyny AWS se zaměřují na způsob specifický pro AWS, který vysvětluje technické funkce a základy implementace AWS.

MCSB obsahuje také odkazy na informace o implementaci, které se týkají pokynů k Azure a AWS, informace o bezpečnostních funkcích v organizaci zákazníka, které mohou být zodpovědné, zodpovědné nebo konzultované s příslušnou kontrolou a dalšími informacemi. Výňatek z srovnávacího testu cloudového zabezpečení Microsoftu verze 1 (MCSB v1) a zobrazuje se jako příklad typu obsahu, který je součástí MCSB. Obrázek není určený k zobrazení celého textu u žádné z položek řádku.

Srovnávací test zabezpečení cloudu Microsoftu v defenderu pro cloud

Program Microsoft Defender for Cloud průběžně posuzuje hybridní cloudové prostředí organizace za účelem analýzy rizikových faktorů podle kontrolních mechanismů a osvědčených postupů v srovnávacím testu zabezpečení cloudu Microsoftu. Řídicí panel dodržování právních předpisů v Programu Microsoft Defender pro cloud odráží stav dodržování předpisů s MCSB a všechny další standardy, které jste použili pro vaše předplatná.

Mezi ovládací prvky používané v MCSB patří zabezpečení sítě, identita a řízení přístupu, ochrana dat, obnovení dat, reakce na incidenty a další.

Co je doporučení zabezpečení?

Doporučení jsou výsledkem vyhodnocení prostředků proti příslušným zásadám a identifikaci prostředků, které nesplňují vaše definované požadavky.

Defender for Cloud pravidelně analyzuje stav dodržování předpisů vašich prostředků, aby identifikoval potenciální chybné konfigurace zabezpečení a slabá místa. Pak vám poskytne doporučení, jak tyto problémy napravit. Defender for Cloud poskytuje doporučení k zabezpečení na základě zvolených iniciativ a výchozí iniciativy MCSB. Když se zásada z iniciativy porovná s vašimi prostředky a najde jednu nebo více, která nedodržují předpisy, zobrazí se jako doporučení v defenderu pro cloud.

Doporučení jsou akce, které můžete provést, abyste zajistili zabezpečení a posílení prostředků. Každé doporučení obsahuje následující informace:

• Stručný popis problému
• Nápravné kroky, které se mají provést za účelem implementace doporučení
• Ovlivněné prostředky

Doporučení zabezpečení obsahují podrobnosti, které vám pomůžou porozumět jeho významu a způsobu jeho zpracování.