Úvod do srovnávacího testu cloudového zabezpečení Microsoftu
Poznámka
Microsoft Cloud Security Benchmark je nástupcem srovnávacího testu zabezpečení Azure (ASB), který byl přejmenován v říjnu 2022.
V Azure a platformách poskytovatelů cloudových služeb se každý den vydávají nové služby a funkce, vývojáři rychle publikují nové cloudové aplikace založené na těchto službách a útočníci neustále hledají nové způsoby, jak zneužít chybně nakonfigurované prostředky. Cloud se rychle pohybuje, vývojáři a útočníci také. Jak udržet krok a zajistit, aby vaše cloudová nasazení byla zabezpečená? Jak se postupy zabezpečení pro cloudové systémy liší od místních systémů a liší se mezi poskytovateli cloudových služeb? Jak monitorovat konzistence úloh napříč několika cloudovými platformami?
Microsoft zjistil, že používání srovnávacích testů zabezpečení vám může pomoct rychle zabezpečit cloudová nasazení. Komplexní architektura osvědčených postupů zabezpečení od poskytovatelů cloudových služeb vám může poskytnout výchozí bod pro výběr konkrétních nastavení konfigurace zabezpečení ve vašem cloudovém prostředí u více poskytovatelů služeb a umožňuje monitorovat tyto konfigurace pomocí jediného skleněného podokna.
Microsoft Cloud Security Benchmark (MCSB) obsahuje kolekci doporučení zabezpečení s vysokým dopadem, která můžete použít k zabezpečení cloudových služeb v jednom nebo vícecloudovém prostředí. Doporučení MCSB zahrnují dva klíčové aspekty:
- Kontrolní mechanismy zabezpečení: Tato doporučení se obecně vztahují na cloudové úlohy. Každé doporučení obsahuje seznam zúčastněných stran, které se obvykle podílejí na plánování, schvalování nebo implementaci srovnávacího testu.
- Standardní hodnoty služeb: Tyto zásady aplikují ovládací prvky na jednotlivé cloudové služby, aby poskytovaly doporučení týkající se konfigurace zabezpečení konkrétní služby. V současné době máme k dispozici standardní hodnoty služeb pouze pro Azure.
Implementace srovnávacího testu cloudového zabezpečení Microsoftu
- Naplánujte implementaci MCSB tak, že si projděte dokumentaci k podnikovým ovládacím prvkům a standardním hodnotám pro konkrétní služby a naplánujte architekturu kontrol a způsob, jakým se mapuje na pokyny, jako jsou Center for Internet Security (CIS) Controls, Nist (National Institute of Standards and Technology) a rozhraní PCI-DSS (Payment Card Industry Data Security Standard).
- Monitorujte dodržování předpisů pomocí stavu MCSB (a dalších kontrolních sad) pomocí řídicího panelu Microsoft Defender pro cloud – dodržování právních předpisů pro prostředí s více cloudy. .
- Vytvořte mantinely pro automatizaci zabezpečených konfigurací a vynucování dodržování předpisů MCSB (a dalších požadavků ve vaší organizaci) pomocí funkcí, jako je Azure Blueprints, Azure Policy nebo ekvivalentních technologií z jiných cloudových platforem.
Běžné případy použití
Srovnávací test cloudového zabezpečení Microsoftu je často možné použít k řešení běžných problémů zákazníků nebo partnerů služeb, kteří jsou:
- S Azure (a dalšími hlavními cloudovými platformami, jako je AWS) začínáte a hledáte osvědčené postupy zabezpečení pro zajištění zabezpečeného nasazení cloudových služeb a vlastních úloh aplikací.
- Snažíme se zlepšit stav zabezpečení stávajících cloudových nasazení, aby byla stanovena priorita hlavních rizik a zmírnění rizik.
- Používání prostředí s více cloudy (jako je Azure a AWS) a řešení problémů při sladění monitorování a hodnocení bezpečnostních kontrol pomocí jediného podokna
- Vyhodnocení funkcí a možností zabezpečení v Azure (a dalších hlavních cloudových platformách, jako je AWS) před onboardingem nebo schválením služeb do katalogu cloudových služeb.
- Musí splňovat požadavky na dodržování předpisů ve vysoce regulovaných odvětvích, jako jsou státní správa, finance a zdravotnictví. Tito zákazníci musí zajistit, aby jejich konfigurace služeb Azure a dalších cloudů splňovaly specifikace zabezpečení definované v architektuře, jako je CIS, NIST nebo PCI. MCSB poskytuje efektivní přístup s ovládacími prvky, které už jsou na tyto oborové srovnávací testy předem namapované.
Terminologie
Termíny "řízení" a "směrný plán" se často používají v dokumentaci ke srovnávacím testům zabezpečení cloudu Microsoftu. Je důležité pochopit, jak MCSB tyto termíny používá.
Období | Popis | Příklad |
---|---|---|
Řízení | Ovládací prvek je obecný popis funkce nebo aktivity, které je potřeba řešit a které nejsou specifické pro technologii nebo implementaci. | Ochrana dat je jednou z rodin bezpečnostních kontrol. Ochrana dat obsahuje konkrétní akce, které je potřeba řešit, aby byla data chráněna. |
Standardní hodnoty | Směrný plán je implementace řízení jednotlivých služeb Azure. Každá organizace si diktuje doporučení srovnávacího testu a v Azure jsou potřeba odpovídající konfigurace. Poznámka: Dnes jsou směrné plány služeb dostupné jenom pro Azure. | Společnost Contoso se snaží povolit Azure SQL funkce zabezpečení podle konfigurace doporučené v Azure SQL standardních hodnotách zabezpečení. |
Uvítáme vaši zpětnou vazbu ke srovnávacímu testu cloudového zabezpečení Microsoftu! Doporučujeme, abyste poskytli komentáře v oblasti pro zpětnou vazbu níže. Pokud dáváte přednost tomu, abyste své podněty sdíleli soukroměji s týmem zabezpečení cloudu Microsoftu, pošlete nám e-mail na adresu benchmarkfeedback@microsoft.com.