將產業與法規標準新增至適用於雲端的 Microsoft Defender
Microsoft 雲端安全性基準 (MCSB) 提供規範的最佳做法和建議,以協助改善 Azure 上工作負載、資料和服務的安全性,以及您的多雲端環境,專注在以雲端為中心的控制區域,並提供一組完整的 Microsoft 和業界安全性指引,包括:
- 雲端採用架構:安全性指引,包括策略、角色和責任、Azure 前 10 名安全性最佳做法,以及參考實作。
- Azure 結構完善的架構:保護 Azure 上工作負載的指引。
- 資訊安全長 (CISO) 研討會: 使用零信任原則加速安全性現代化的計畫指引和參考策略。
- 其他產業和雲端服務提供者的安全性最佳做法標準和架構:範例包括 Amazon Web Services (AWS) Well-Architected 架構、Center for Internet Security (CIS) 控制項、國家標準暨技術研究院 (NIST),以及支付卡產業資料安全性標準 (PCI-DSS)。
Microsoft 雲端安全性基準功能
完整的多雲端安全性架構:組織通常必須建置內部安全性標準,協調跨多個雲端平台的安全性控制,以符合每個雲端平台的安全性與合規性需求。 這通常需要安全性小組針對不同的雲端環境 (通常會針對不同的合規性標準) 重複相同的實作、監視和評量。 這會產生不必要的額外負荷、成本和投入量。 為了解決此問題,我們已將 Azure 安全性基準 (ASB) 增強為 Microsoft 雲端安全性基準 (MCSB),以協助您透過下列方式快速處理不同的雲端:
- 提供單一控制架構,以輕鬆達成跨雲端的安全性控制
- 在適用於雲端的 Defender 中提供監視和強制執行多雲端安全性基準的一致使用者體驗
- 與業界標準保持一致 (例如 Center for Internet Security、國家標準暨技術研究院、支付卡產業)
適用於雲端的 Microsoft Defender 中 AWS 的自動化控制監視: 您可以使用適用於雲端的 Microsoft Defender 法規合規性儀表板,針對 Microsoft 雲端安全性基準 (MCSB) 監視 AWS 環境,如同監視 Azure 環境的方式一樣。 我們已在 MCSB 中開發大約 180 種 AWS 檢查,確認 MCSB 中是否有新的 AWS 安全性指引,以讓您監視適用於雲端的 Microsoft Defender 中的 AWS 環境和資源。
範例:適用於雲端的 Microsoft Defender - 法規合規性儀表板
Azure 指引和安全性準則: Azure 安全性指引、安全性準則、特徵和功能。
Controls
| 控制網域 | 說明 |
|---|---|
| 網路安全性 (NS) | 網路安全性涵蓋保護與防護網路的控制項,包括保護虛擬網路、建立私人連線、預防及減少外部攻擊,以及保護網域名稱系統 (DNS)。 |
| 身分識別管理 (IM) | 身分識別管理涵蓋使用身分識別和存取管理系統建立安全身分識別和存取控制的控制項,包括使用單一登入、強式驗證、應用程式的受控識別 (和服務主體)、條件式存取和帳戶異常監視。 |
| 特殊權限存取 (PA) | 特殊權限存取涵蓋保護租用戶和資源特殊權限存取的控制項,包括保護系統管理模型、系統管理帳戶和特殊權限存取工作站的一系列控制項,以防止故意和意外的風險。 |
| 資料保護 (DP) | 資料保護涵蓋待用、傳輸中,以移透過授權存取機制的資料保護控制項,包括使用存取控制、加密、金鑰管理和憑證管理來探索、分類、保護及監視敏感性資料資產。 |
| 資產管理 (AM) | 資產管理涵蓋確保資源的安全性可見度和控管的控制項,包括安全性人員的權限、資產詳細目錄的安全性存取,以及管理服務和資源核准的建議 (清查、追蹤 和 更正)。 |
| 記錄和威脅偵測 (LT) | 記錄和威脅偵測涵蓋在雲端上偵測威脅以及啟用、收集及儲存雲端服務稽核記錄的控制項,包括使用控制項啟動偵測、調查和補救流程,以在雲端服務中使用原生威脅偵測產生高品質的警示;其也包括使用雲端監視服務收集記錄、使用安全性事件管理 (SEM)、時間同步處理和記錄保留來集中化安全性分析。 |
| 事件回應 (IR) | 事件回應涵蓋事件回應生命週期中的控制項,即準備、偵測和分析、內含項目及事件後活動,包括使用 Azure 服務 (例如適用於雲端的 Microsoft Defender 和 Sentinel) 和/或其他雲端服務,以將事件回應流程自動化。 |
| 態勢與弱點管理 (PV) | 態勢與弱點管理專注在評估及改善雲端安全性狀態的控制項,包括弱點掃描、滲透測試和補救,以及雲端資源中的安全性設定追蹤、報告和修正。 |
| 端點安全性 (ES) | 端點安全性涵蓋端點偵測和回應的控制項,包括針對雲端環境中的端點使用端點偵測及回應 (EDR) 與反惡意程式碼服務。 |
| 備份與復原 (BR) | 備份與復原涵蓋的控制項可確保在不同服務層級執行、驗證及保護的資料和設定備份。 |
| DevOps 安全性 (DS) | DevOps 安全性涵蓋與 DevOps 流程中安全性工程和作業相關的控制項,包括在部署階段之前部署重要的安全性檢查 (例如靜態應用程式安全性測試和弱點管理),以確保整個 DevOps 流程的安全性;它也包含威脅模型化和軟體供應安全性等常見主題。 |
| 治理與策略 (GS) | 治理與策略提供指引,以確保一致的安全性策略和記錄的治理方法來引導及維持安全性保證,包括建立不同雲端安全性功能的角色和責任、統一的技術策略以及支援原則和標準。 |