category
Microsoft云安全基准测试(MCSB)提供了规范性的最佳实践和建议,以帮助提高Azure和您的多云环境上的工作负载、数据和服务的安全性。该基准测试侧重于以云为中心的控制领域,并提供了一套完整的微软和行业安全指南,其中包括:
- 云采用框架:安全指南,包括战略、角色和责任、Azure十大安全最佳实践和参考实施。
- Azure架构良好的框架:有关在Azure上保护工作负载的指导。
- 首席信息安全官(CISO)研讨会:使用零信任原则加速安全现代化的计划指导和参考策略。
- 其他行业和云服务提供商的安全最佳实践标准和框架:例如亚马逊网络服务(AWS)良好架构框架、互联网安全控制中心(CIS)、美国国家标准与技术研究所(NIST)和支付卡行业数据安全标准(PCI-DSS)。
What's new in Microsoft cloud security benchmark v1
Note
Microsoft cloud security benchmark is the successor of Azure Security Benchmark (ASB), which was rebranded in October 2022.
Google Cloud Platform support in MCSB is now available as a preview feature both in MCSB benchmark guidance and Microsoft Defender for Cloud.
Here's what's new in the Microsoft cloud security benchmark v1:
- 全面的多云安全框架:组织通常必须建立一个内部安全标准,以协调多个云平台之间的安全控制,以满足每个平台的安全和合规要求。这通常需要安全团队在不同的云环境中重复相同的实施、监控和评估(通常针对不同的合规标准)。这会产生不必要的开销、成本和工作量。为了解决这一问题,我们将ASB增强为MCSB,通过以下方式帮助您快速处理不同的云:
- 提供单一的控制框架,轻松满足跨云的安全控制
- 为监控和实施Defender for cloud中的多云安全基准提供一致的用户体验
- 与行业标准保持一致(如CIS、NIST、PCI)
-
在Microsoft Defender for Cloud中自动监控AWS:您可以使用Microsoft Defender for CloudRegulatory Compliance Dashboard根据MCSB监控您的AWS环境,就像您监控Azure环境一样。我们在MCSB中为新的AWS安全指南开发了大约180个AWS检查,使您能够在Microsoft Defender for Cloud中监控您的AWS环境和资源。
-
更新现有的Azure指南和安全原则:我们还在此次更新中更新了一些现有的Azure安全指南和安全原理,以便您能够了解最新的Azure功能。
管理
| Control Domains | Description |
|---|---|
| Network security (NS) | 网络安全包括保护(secure )和保护(protect )网络的控制措施,包括保护虚拟网络、建立专用连接、防止和减轻外部攻击以及保护DNS。 |
| Identity Management (IM) | 身份管理包括使用身份和访问管理系统建立安全身份和访问控制的控制,包括使用单一登录、强身份验证、应用程序的托管身份(和服务主体)、条件访问和帐户异常监控。 |
| Privileged Access (PA) | 特权访问包括保护对租户和资源的特权访问的控制措施,包括一系列保护您的管理模型、管理帐户和特权访问工作站免受蓄意和无意风险的控制措施。 |
| Data Protection (DP) | 数据保护涵盖对静止、传输和通过授权访问机制进行的数据保护的控制,包括使用访问控制、加密、密钥管理和证书管理来发现、分类、保护和监视敏感数据资产。 |
| Asset Management (AM) | 资产管理涵盖确保资源的安全可见性和治理的控制措施,包括关于安全人员权限、资产库存的安全访问以及管理服务和资源的批准(库存、跟踪和更正)的建议。 |
| Logging and Threat Detection (LT) | 日志记录和威胁检测涵盖了检测云上威胁的控制,以及启用、收集和存储云服务的审计日志,包括启用检测、调查和补救过程,以及在云服务中使用本地威胁检测生成高质量警报的控制;它还包括使用云监控服务收集日志、使用SIEM集中安全分析、时间同步和日志保留。 |
| Incident Response (IR) | 事件响应涵盖事件响应生命周期中的控制——准备、检测和分析、遏制和事件后活动,包括使用Azure服务(如Microsoft Defender for Cloud和Sentinel)和/或其他云服务来自动化事件响应过程。 |
| Posture and Vulnerability Management (PV) | 态势和漏洞管理侧重于评估和改进云安全态势的控制,包括漏洞扫描、渗透测试和补救,以及云资源中的安全配置跟踪、报告和更正。 |
| Endpoint Security (ES) | 端点安全涵盖端点检测和响应的控制,包括在云环境中为端点使用端点检测和反应(EDR)和反恶意软件服务。 |
| Backup and Recovery (BR) | 备份和恢复包括确保不同服务层的数据和配置备份得到执行、验证和保护的控制。 |
| DevOps Security (DS) | DevOps安全涵盖DevOps流程中与安全工程和操作相关的控制,包括在部署阶段之前部署关键安全检查(如静态应用程序安全测试、漏洞管理),以确保整个DevOps过程的安全;它还包括常见的主题,如威胁建模和软件供应安全。 |
| Governance and Strategy (GS) | 治理和战略为确保连贯的安全战略和有案可稽的治理方法提供指导,以指导和维持安全保证,包括为不同的云安全功能确定角色和责任、统一的技术战略以及支持政策和标准。 |
Microsoft云安全基准测试中的建议
每项建议都包括以下信息:
- ID:与推荐相对应的基准ID。
- CIS Controls v8 ID:与建议相对应的CIS Controls v4控件。
- CIS控件v7.1 ID:与建议相对应的CIS控件v7.1ID(由于格式原因,在web中不可用)。
- PCI-DSS v3.2.1 ID:与建议相对应的PCI-DSS v4.2.1控件。
- NIST SP 800-53 r4 ID:NIST SP 800-53r4(中等和高)控制对应于本建议。
- 安全原则:该建议侧重于“什么”,解释了技术不可知级别的控制。
- Azure指南:该建议侧重于“如何”,解释Azure的技术功能和实现基础知识。
- AWS指南:该建议侧重于“如何”,解释了AWS的技术特征和实施基础。
- 实现和附加上下文:链接到Azure和AWS服务提供文档文章的实现详细信息和其他相关上下文。
- 客户安全利益相关者:客户组织的安全职能部门,可能对各自的控制负责、负责或咨询。根据您公司的安全组织结构以及您设置的与Azure安全相关的角色和职责,不同的组织可能会有所不同。
MCSB和行业基准(如CIS、NIST和PCI)之间的控制映射仅表明特定的Azure功能可用于完全或部分解决这些行业基准中定义的控制要求。您应该意识到,这种实施并不一定意味着完全遵守这些行业基准中的相应控制。
我们欢迎您提供详细的反馈并积极参与Microsoft云安全基准测试工作。如果您想提供直接输入,请发送电子邮件至benchmarkfeedback@microsoft.com.
Download
You can download the Benchmark and baseline offline copy in spreadsheet format.
Next steps
- See the first security control: Network security
- Read the Microsoft cloud security benchmark introduction
- Learn the Azure Security Fundamentals
- 登录 发表评论
- 6 次浏览
最新内容
- 2 days ago
- 2 days ago
- 2 days ago
- 2 days ago
- 3 days 2 hours ago
- 3 days 2 hours ago
- 3 days 2 hours ago
- 3 days 2 hours ago
- 3 days 2 hours ago
- 3 days 2 hours ago