Omówienie mechanizmów kontroli zabezpieczeń platformy Azure (wersja 2)
Test porównawczy zabezpieczeń platformy Azure (ASB) zawiera opis najlepszych rozwiązań i obejmuje zalecenia, które ułatwiają zabezpieczanie obciążeń, danych i usług na platformie Azure.
Ten test porównawczy jest częścią zestawu całościowych wskazówek dotyczących zabezpieczeń, które obejmują również:
- Cloud Adoption Framework — wskazówki dotyczące zabezpieczeń, w tym strategii, ról i obowiązków, najlepszych rozwiązań dotyczących zabezpieczeń platformy Azure 10 i implementacji referencyjnej.
- Azure Well-Architected Framework — wskazówki dotyczące zabezpieczania obciążeń na platformie Azure.
- Najlepsze rozwiązania dotyczące zabezpieczeń firmy Microsoft — zalecenia z przykładami na platformie Azure.
Test porównawczy zabezpieczeń platformy Azure koncentruje się na obszarach kontroli skoncentrowanych na chmurze. Te mechanizmy kontroli są zgodne z dobrze znanymi testami porównawczymi zabezpieczeń, takimi jak te opisane przez Centrum kontroli zabezpieczeń internetowych (CIS) w wersji 7.1 i National Institute of Standards and Technology (NIST) SP 800-53. Następujące mechanizmy kontroli są uwzględniane w tezie porównawczej zabezpieczeń platformy Azure:
| Domeny kontrolek usługi ASB | Opis |
|---|---|
| Zabezpieczenia sieciowe (NS) | Zabezpieczenia sieciowe obejmują mechanizmy kontroli zabezpieczania i ochrony sieci platformy Azure, w tym zabezpieczania sieci wirtualnych, ustanawiania połączeń prywatnych, zapobiegania atakom zewnętrznym i zabezpieczania systemu DNS oraz zapobiegania im. |
| Zarządzanie tożsamościami (IM) | Usługa Identity Management obejmuje mechanizmy kontroli bezpieczeństwa tożsamości i dostępu przy użyciu usługi Azure Active Directory, w tym korzystanie z logowania jednokrotnego, silne uwierzytelnianie, tożsamości zarządzane (i jednostki usługi) dla aplikacji, dostępu warunkowego i monitorowania anomalii kont. |
| Dostęp uprzywilejowany (PA) | Dostęp uprzywilejowany obejmuje mechanizmy kontroli ochrony uprzywilejowanego dostępu do dzierżawy i zasobów platformy Azure, w tym szereg mechanizmów kontroli w celu ochrony modelu administracyjnego, kont administracyjnych i stacji roboczych uprzywilejowanego dostępu przed celowym i niezamierzonym ryzykiem. |
| Ochrona danych (DP) | Ochrona danych obejmuje kontrolę nad ochroną danych magazynowanych, przesyłanych i za pośrednictwem autoryzowanych mechanizmów dostępu, w tym odnajdywania, klasyfikowania, ochrony i monitorowania poufnych zasobów danych przy użyciu kontroli dostępu, szyfrowania i rejestrowania na platformie Azure. |
| Zarządzanie zasobami (AM) | Usługa Asset Management obejmuje mechanizmy kontroli zapewniające widoczność zabezpieczeń i nadzór nad zasobami platformy Azure, w tym zalecenia dotyczące uprawnień dla personelu ds. zabezpieczeń, dostępu zabezpieczeń do spisu zasobów oraz zarządzania zatwierdzeniami usług i zasobów (spis, śledzenie i poprawianie). |
| Rejestrowanie i wykrywanie zagrożeń (LT) | Rejestrowanie i wykrywanie zagrożeń obejmuje mechanizmy kontroli wykrywania zagrożeń na platformie Azure oraz włączania, zbierania i przechowywania dzienników inspekcji dla usług platformy Azure, w tym włączania wykrywania, badania i procesów korygowania za pomocą kontrolek w celu generowania alertów wysokiej jakości z natywnym wykrywaniem zagrożeń w usługach platformy Azure; Obejmuje ona również zbieranie dzienników za pomocą usługi Azure Monitor, scentralizowanie analizy zabezpieczeń za pomocą usługi Azure Sentinel, synchronizację czasu i przechowywanie dzienników. |
| Reagowanie na zdarzenia (IR) | Reagowanie na zdarzenia obejmuje mechanizmy kontroli w cyklu życia reagowania na zdarzenia — przygotowywanie, wykrywanie i analizowanie, zawieranie i działania po zdarzeniu, w tym korzystanie z usług platformy Azure, takich jak Azure Security Center i Sentinel w celu zautomatyzowania procesu reagowania na zdarzenia. |
| Stan i zarządzanie lukami w zabezpieczeniach (PV) | Zarządzanie stanami i lukami w zabezpieczeniach koncentruje się na mechanizmach kontroli oceny i ulepszania stanu zabezpieczeń platformy Azure, w tym skanowania luk w zabezpieczeniach, testowania penetracyjnego i korygowania, a także śledzenia konfiguracji zabezpieczeń, raportowania i korekty w zasobach platformy Azure. |
| Zabezpieczenia punktu końcowego (ES) | Zabezpieczenia punktu końcowego obejmują mechanizmy kontroli wykrywania i reagowania punktów końcowych, w tym korzystanie z wykrywania i reagowania na punkty końcowe w środowiskach platformy Azure oraz usługi ochrony przed złośliwym oprogramowaniem. |
| Tworzenie kopii zapasowych i odzyskiwanie (BR) | Funkcja tworzenia kopii zapasowych i odzyskiwania obejmuje mechanizmy kontroli w celu zapewnienia, że kopie zapasowe danych i konfiguracji w różnych warstwach usług są wykonywane, weryfikowane i chronione. |
| Ład i strategia (GS) | Ład i strategia zawierają wskazówki dotyczące zapewniania spójnej strategii zabezpieczeń oraz udokumentowanego podejścia do zapewniania ładu w celu zapewnienia i utrzymania bezpieczeństwa, w tym ustanawiania ról i obowiązków dla różnych funkcji zabezpieczeń w chmurze, ujednoliconej strategii technicznej oraz wspierania zasad i standardów. |
Zalecenia dotyczące testów porównawczych zabezpieczeń platformy Azure
Każde zalecenie zawiera następujące informacje:
- Identyfikator platformy Azure: identyfikator testu porównawczego zabezpieczeń platformy Azure, który odpowiada rekomendacji.
- Kontrolki CIS w wersji 7.1: kontrolki CIS w wersji 7.1 odpowiadające tym zaleceniem.
- Identyfikatory NIST SP 800-53 r4: NIST SP 800-53 r4 (umiarkowane) kontroli, które odpowiadają temu zaleceniem.
- Szczegóły: uzasadnienie zalecenia i linki do wskazówek dotyczących sposobu implementacji. Jeśli zalecenie jest obsługiwane przez Azure Security Center, zostaną również wyświetlone te informacje.
- Odpowiedzialność: niezależnie od tego, czy klient, dostawca usług, czy oba te elementy są odpowiedzialne za wdrożenie tego zalecenia. Obowiązki związane z zabezpieczeniami są udostępniane w chmurze publicznej. Niektóre mechanizmy kontroli zabezpieczeń są dostępne tylko dla dostawcy usług w chmurze, dlatego dostawca jest odpowiedzialny za ich adresowanie. Są to ogólne uwagi — w przypadku niektórych indywidualnych usług odpowiedzialność będzie inna niż ta, która jest wymieniona w teściu porównawczym zabezpieczeń platformy Azure. Te różnice zostały opisane w zaleceniach dotyczących punktów odniesienia dla poszczególnych usług.
- Uczestnicy projektu zabezpieczeń klientów: funkcje zabezpieczeń w organizacji klienta, które mogą być odpowiedzialne, odpowiedzialne lub konsultowane z odpowiednią kontrolą. Może się to różnić od organizacji do organizacji w zależności od struktury organizacji zabezpieczeń firmy oraz ról i obowiązków skonfigurowanych w związku z zabezpieczeniami platformy Azure.
Uwaga
Mapowania kontrolek między usługą ASB i branżowymi testami porównawczymi (takimi jak NIST i CIS) wskazują tylko, że określoną funkcję platformy Azure można użyć do pełnego lub częściowego rozwiązania wymagań kontroli zdefiniowanych w NIST lub CIS. Należy pamiętać, że taka implementacja nie musi przekładać się na pełną zgodność odpowiedniej kontroli w modelu CIS lub NIST.
Z zadowoleniem przyjmujemy twoją szczegółową opinię i aktywny udział w wysiłkach dotyczących testów porównawczych zabezpieczeń platformy Azure. Jeśli chcesz podać bezpośrednie dane wejściowe zespołu ds. testów porównawczych zabezpieczeń platformy Azure, wypełnij formularz pod adresem https://aka.ms/AzSecBenchmark
Pobierz
Test porównawczy zabezpieczeń platformy Azure można pobrać w formacie arkusza kalkulacyjnego.
Następne kroki
- Zobacz pierwszą kontrolę zabezpieczeń: zabezpieczenia sieci
- Przeczytaj wprowadzenie do testu porównawczego zabezpieczeń platformy Azure
- Poznaj podstawy zabezpieczeń platformy Azure