Microsoft云安全基准(MCSB)提供了规范性的最佳做法和建议,以帮助提高 Azure 和多云环境中的工作负载、数据和服务的安全性。 此基准侧重于以云为中心的控制领域,其中包含一组全面的 Microsoft 和行业安全指南:
- 云采用框架:安全指南,包括 策略、角色和职责、 Azure 前 10 大安全最佳做法和 参考实现。
- Azure Well-Architected 框架:有关 保护 Azure 上的工作负荷的指导。
- 首席信息安全官(CISO)研讨会: 使用零信任原则加速安全现代化的计划指导和参考策略。
- 其他行业和云服务提供商安全最佳做法标准和框架:示例包括 Amazon Web Services(AWS)Well-Architected 框架、Internet 安全中心(CIS)控制中心、国家标准与技术研究所(NIST)和支付卡行业数据安全标准(PCI-DSS)。
Microsoft云安全基准 v1 中的新增功能
注释
Microsoft云安全基准是 Azure 安全基准(ASB)的继任者,该基准于 2022 年 10 月重新命名。
MCSB 中的 Google Cloud Platform 支持现已作为预览版功能提供,同时在 MCSB 基准指南和 Microsoft Defender for Cloud 中提供。
下面是 Microsoft 云安全基准 v1 中的新增功能:
全面的多云安全框架:组织通常需要构建内部安全标准,以协调跨多个云平台的安全控制,以满足每个云平台的安全和合规性要求。 这通常需要安全团队在不同的云环境中重复相同的实现、监视和评估(通常针对不同的合规性标准)。 这会产生不必要的开销、成本和工作量。 为了解决这一问题,我们增强了 ASB 到 MCSB,以便通过以下方法快速处理不同的云:
- 提供单个控制框架,以轻松满足跨云的安全控制
- 在 Defender for Cloud 中提供一致的用户体验,用于监视和强制实施多云安全基准
- 与行业标准(例如 CIS、NIST、PCI)保持一致
在 Microsoft Defender for Cloud 中对 AWS 进行自动化控制监测:您可以使用 Microsoft Defender for Cloud 的法规合规性仪表板 来监测您的 AWS 环境,以满足 MCSB 的要求,就像监测 Azure 环境一样。 我们为 MCSB 中的新 AWS 安全指南开发了大约 180 项 AWS 检查,使你能够在 Microsoft Defender for Cloud 中监视 AWS 环境和资源。
刷新现有的 Azure 指南和安全原则:我们还在此更新期间刷新了一些现有的 Azure 安全指南和安全原则,以便随时了解最新的 Azure 特性和安全原则。
控件
| 控制领域 | DESCRIPTION |
|---|---|
| 网络安全 (NS) | 网络安全涵盖保护网络的控制措施,包括保护虚拟网络、建立专用连接、防止和缓解外部攻击以及保护 DNS。 |
| 标识管理(IM) | 标识管理包括用于使用身份和访问管理系统建立安全身份验证和访问控制的控制措施,其中包括使用单一登录、强身份验证、用于应用程序的托管标识(和服务主体)、条件访问和帐户异常监视。 |
| 特权访问 (PA) | 特权访问包括用于保护对你的租户和资源的特权访问的控制措施,其中包括一系列用于避免管理模型、管理帐户和特权访问工作站面临有意和无意的风险的控制措施。 |
| 数据保护 (DP) | 数据保护涵盖对静态数据保护、传输中和授权访问机制的控制,包括使用访问控制、加密、密钥管理和证书管理发现、分类、保护和监视敏感数据资产。 |
| 资产管理(AM) | 资产管理涵盖确保资源的安全可见性和治理的控制措施,包括有关安全人员权限的建议、对资产清单的安全访问以及管理对服务和资源的审批(清单、跟踪和更正)。 |
| 日志记录和威胁检测 (LT) | 日志记录和威胁检测包括用于检测云威胁的控制措施,以及启用、收集和存储云服务的审核日志,包括启用检测、调查和修正流程,并控制在云服务中生成具有本机威胁检测的高质量警报:它还包括使用云监视服务收集日志、使用 SIEM 集中安全分析、时间同步和日志保留。 |
| 事件响应(IR) | 事件响应涵盖事件响应生命周期的控制 - 准备、检测和分析、遏制和事件后活动,包括使用 Azure 服务(如 Microsoft Defender for Cloud 和 Sentinel)和其他云服务自动执行事件响应过程。 |
| 态势和漏洞管理 (PV) | 状况和漏洞管理侧重于用于评估和改进云安全状况的控制措施,包括漏洞扫描、渗透测试和修正,以及云资源中的安全配置跟踪、报告和更正。 |
| 终结点安全性 (ES) | 终结点安全性涵盖对终结点检测和响应的控制措施,包括在云环境中对终结点使用终结点检测和响应 (EDR) 和反恶意软件服务。 |
| 备份和恢复 (BR) | 备份和恢复涵盖确保执行、验证和保护不同服务层级的数据和配置备份的控制措施。 |
| DevOps Security (DS) | DevOps Security 涵盖与 DevOps 流程中安全工程和作相关的控制措施,包括部署阶段之前的关键安全检查(例如静态应用程序安全测试、漏洞管理)的部署,以确保整个 DevOps 流程的安全性:它还包括威胁建模和软件供应安全性等常见主题。 |
| 治理和策略 (GS) | 治理和策略提供的指导可确保使用一致的安全策略和记录在案的治理方法来指导和维持安全保障,包括为不同的云安全功能、统一的技术策略以及支持策略和标准建立角色和责任。 |
Microsoft云安全基准中的建议
每项建议都包含以下信息:
- ID:与建议对应的基准 ID。
- CIS 控件 v8 ID(s):对应于建议的 CIS 控件 v8 控件。
- CIS 控件 v7.1 ID(s):对应于建议的 CIS 控件 v7.1 控件(由于格式设置原因在 Web 中不可用)。
- PCI-DSS v3.2.1 ID(s):与建议对应的 PCI-DSS v3.2.1 控件。
- NIST SP 800-53 r4 ID:此建议对应 NIST SP 800-53 r4(中等和高级)控制措施。
- 安全原则:建议侧重于“what”,解释技术不可知级别的控制。
- Azure 指南:建议重点介绍“作方法”,介绍 Azure 技术功能和实现基础知识。
- AWS 指南:建议重点介绍“作方法”,介绍 AWS 技术功能和实现基础知识。
- 实现和其他上下文:实现的详细信息和其他相关上下文,这些信息链接到 Azure 和 AWS 的服务文档文章。
- 客户安全利益干系人:客户组织中可能负责、负责或咨询相应控制措施的 安全功能 。 这可能因您公司的安全组织结构以及您设置的与 Azure 安全相关的角色和职责而异。
MCSB 与行业基准(如 CIS、NIST 和 PCI)之间的控制映射仅指示特定的 Azure 功能可用于完全或部分解决这些行业基准中定义的控制要求。 应注意,此类实现不一定意味着完全符合这些行业基准中的相应控制要求。
欢迎你提供详细的反馈和积极参与Microsoft云安全基准工作。 如果要提供直接输入,请通过电子邮件 benchmarkfeedback@microsoft.com向我们发送电子邮件。
下载
可以下载 电子表格格式的基准和基线的离线副本。
后续步骤
- 请参阅第一个安全控制: 网络安全
- 阅读 Microsoft云安全基准简介
- 了解 Azure 安全基础知识