Einführung in die Microsoft Cybersecurity Reference Architecture und in die Cloud Security Benchmark
In diesem Modul werden Best Practices für Cybersicherheitsfunktionen und -kontrollen behandelt, die wesentlich sind, um das Risiko zu verringern, dass Angreifer erfolgreich sind.
Lernziele
In diesem Modul lernen Sie Folgendes:
- Verwenden Sie Microsoft Cybersecurity Reference Architecture (MCRA), um sicherere Lösungen zu entwerfen.
- Verwenden Sie Microsoft Cloud Security Benchmark (MCSB), um sicherere Lösungen zu entwerfen.
Die Inhalte des Moduls helfen Ihnen bei der Vorbereitung auf die Zertifizierungsprüfung „SC-100: Microsoft Cybersecurity Architect“.
Voraussetzungen
- Kenntnisse der Konzepte von Sicherheitsrichtlinien, Anforderungen, Zero Trust-Architektur und der Verwaltung von Hybridumgebungen
- Praktische Erfahrung mit Zero Trust-Strategien, der Anwendung von Sicherheitsrichtlinien und der Entwicklung von Sicherheitsanforderungen auf der Grundlage von Geschäftszielen
Übersicht über MCRA
Die Microsoft Cybersecurity Reference Architectures (MCRA) sind technische Diagramme zur Beschreibung der Cybersicherheitsfunktionen von Microsoft. In den Diagrammen wird beschrieben, wie die Sicherheitsfunktionen von Microsoft mit folgenden Komponenten integriert werden:
- Microsoft-Plattformen wie Microsoft 365 und Microsoft Azure
- Anwendungen von Drittanbietern wie ServiceNow und Salesforce
- Plattformen von Drittanbietern wie Amazon Web Services (AWS) und Google Cloud Platform (GCP)
Die MCRA enthält Diagramme zu den folgenden Themen:
- Microsoft-Cybersicherheitsfunktionen
- Zero Trust sowie einen Zero Trust-Modernisierungsplan (RaMP)
- Zero Trust-Benutzerzugriff
- Sicherheitsvorgänge
- Operational Technology (OT)
- Multicloud- und plattformübergreifende Funktionen
- Abdeckung der Angriffskette
- Native Sicherheitskontrollen in Azure
- Sicherheitsorganisatorische Funktionen
Übersicht über MCSB
Täglich werden in Azure und auf anderen Cloudplattformen neue Dienste und Features veröffentlicht. Entwickler veröffentlichen rasch neue Cloudanwendungen, die auf diesen Diensten basieren, und Angreifer suchen ständig nach neuen Wegen, um falsch konfigurierte Ressourcen auszunutzen. Die Cloud ist von schnellem Wandel geprägt, und Entwickler legen ein hohes Tempo vor, mit dem auch die Angreifer Schritt halten. Wie halten Sie Schritt und können die Sicherheit Ihrer Cloudbereitstellungen gewährleisten? Inwiefern unterscheiden sich die Sicherheitsmethoden für Cloudsysteme von denen für lokale Systeme, und inwieweit unterscheiden sie sich zwischen verschiedenen Cloud-Dienstanbietern? Wie überwachen Sie Ihre Workload auf Konsistenz über mehrere Cloudplattformen hinweg?
Microsoft hat festgestellt, dass die Verwendung von Sicherheitsvergleichstests Ihnen helfen kann, schnellen Schutz für Cloudbereitstellungen herzustellen. Mithilfe eines umfassenden Framework für bewährte Sicherheitsmethoden von Clouddienstanbietern können Sie bestimmte Einstellungen für die Sicherheitskonfiguration in Ihrer Cloudumgebung für mehrere Dienstanbieter auswählen und diese Konfigurationen über eine zentrale Verwaltungsoberfläche überwachen.
Sicherheitskontrollen
Ein Kontrollelement ist eine allgemeine Beschreibung eines empfohlenen Features oder einer Aktivität, das bzw. die berücksichtigt werden muss. Kontrollelemente sind nicht spezifisch für eine Technologie oder Implementierung. Empfehlungen für Sicherheitskontrollen gelten für mehrere Cloudworkloads. Jede Kontrolle ist nummeriert, und in den von der Kontrolle verfügbar gemachten Empfehlungen werden mehrere Beteiligte identifiziert, die in der Regel an der Planung, Genehmigung oder Implementierung von Benchmarks beteiligt sind.
MCSB-Kontrolldomänen/Kontrollfamilien
In der MCSB werden Kontrollen in „Familien“ oder „Domänen“ gruppiert. In der folgenden Tabelle sind die Domänen der MCSB-Sicherheitskontrollen zusammengefasst:
| Kontrollbereiche | Beschreibung |
|---|---|
| Netzwerksicherheit | Netzwerksicherheit umfasst Kontrollen zum Absichern und Schützen von Netzwerken, einschließlich der Absicherung virtueller Netzwerke, der Einrichtung privater Verbindungen, der Verhinderung und Eindämmung externer Angriffe und der DNS-Absicherung. |
| Identitätsverwaltung | Identitätsverwaltung umfasst Kontrollmechanismen zum Einrichten sicherer Identitäts- und Zugriffssteuerungen mithilfe von Identitäts- und Zugriffsverwaltungssystemen. Dazu gehören das einmalige Anmelden, sichere Authentifizierungen, verwaltete Identitäten (und Dienstprinzipale) für Anwendungen, bedingter Zugriff und Überwachung von Anomalien bei Konten. |
| Privilegierter Zugriff | Privilegierter Zugriff umfasst Kontrollmechanismen zum Schutz des privilegierten Zugriffs auf Ihren Mandanten und Ihre Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken. |
| Datenschutz | Der Schutz von Daten umfasst die Kontrolle des Schutzes ruhender Daten, in Übertragung begriffener Daten und des Zugriffs über autorisierte Zugriffsmechanismen. Hierzu gehören auch das Ermitteln, Klassifizieren, Schützen und Überwachen vertraulicher Daten mithilfe von Zugriffssteuerung, Verschlüsselung sowie Schlüssel- und Zertifikatverwaltung. |
| Ressourcenverwaltung | Die Ressourcenverwaltung deckt Kontrollen ab, mit denen die Sichtbarkeit und Governance der Sicherheit von Ressourcen sichergestellt werden soll. Dies umfasst Empfehlungen zu Berechtigungen für Sicherheitspersonal, den sicheren Zugriff auf den Ressourcenbestand und das Verwalten von Genehmigungen für Dienste und Ressourcen (Bestand, Nachverfolgung und Richtigkeit). |
| Protokollierung und Bedrohungserkennung | Protokollierung und Bedrohungserkennung umfasst Kontrollmechanismen zur Erkennung von Bedrohungen in der Cloud sowie das Aktivieren, Erfassen und Speichern von Überwachungsprotokollen für Clouddienste. Dazu gehört das Aktivieren von Erkennungs-, Untersuchungs- und Abhilfeprozessen mit Mechanismen zur Generierung nützlicher Warnungen mithilfe der nativen Bedrohungserkennung in Clouddiensten. Außerdem gehört dazu das Erfassen von Protokollen mit einem Cloudüberwachungsdienst, die Zentralisierung der Sicherheitsanalyse mit einem SIEM-System (Security Information and Event Management), die Zeitsynchronisierung und die Aufbewahrung von Protokollen. |
| Reaktion auf Vorfälle (Incident Response, IR) | Reaktion auf Incidents umfasst Kontrollmechanismen im Lebenszyklus der Reaktion auf Incidents. Dazu gehören Vorbereitung, Erkennung und Analyse, Eindämmung und Nachbereitung von Incidents, einschließlich der Nutzung von Azure-Diensten (z. B. Microsoft Defender for Cloud und Sentinel) und/oder Clouddiensten zur Automatisierung des Prozesses zur Reaktion auf Incidents. |
| Status- und Sicherheitsrisikoverwaltung | Status- und Sicherheitsrisikomanagement konzentriert sich auf Kontrollmechanismen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Überprüfung auf Sicherheitsrisiken, Penetrationstests und Wartung sowie Nachverfolgung, Berichterstellung und Korrektur der Sicherheitskonfiguration von Cloudressourcen. |
| Endpunktsicherheit | Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie die Nutzung von EDR- und Antischadsoftwarediensten für Endpunkte in Cloudumgebungen. |
| Sicherung und Wiederherstellung | Sicherung und Wiederherstellung umfassen Kontrollmechanismen, die sicherstellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen durchgeführt, überprüft und geschützt werden. |
| DevOps-Sicherheit | Die DevOps-Sicherheit deckt die Kontrollen im Zusammenhang mit der Sicherheitsentwicklung und den Vorgängen in DevOps-Prozessen ab, einschließlich der Bereitstellung kritischer Sicherheitsüberprüfungen (z. B. statische Anwendungssicherheitstests, Sicherheitsrisikomanagement) vor der Bereitstellungsphase, um die Sicherheit während des gesamten DevOps-Prozesses zu gewährleisten. Zudem fallen darunter auch allgemeine Themen wie Gefahrenmodellierung und Softwarebereitstellungssicherheit. |
| Governance und Strategie | Governance und Strategie bieten Leitlinien für die Gewährleistung einer stimmigen Sicherheitsstrategie und eines dokumentierten Governanceansatzes zur Steuerung und Aufrechterhaltung der Sicherheitsgarantie. Dazu gehören auch die Festlegung von Rollen und Verantwortlichkeiten für die verschiedenen Cloudsicherheitsfunktionen, eine einheitliche technische Strategie und die Unterstützung von Richtlinien und Standards. |
Dienstbaselines
Sicherheitsbaselines sind standardisierte Dokumente für Azure-Produktangebote, in denen die verfügbaren Sicherheitsfunktionen und die optimalen Sicherheitskonfigurationen beschrieben sind, mit denen Sie die Sicherheit durch verbesserte Tools, Nachverfolgung und Sicherheitsfeatures verbessern können. Derzeit stehen Dienstbaselines nur für Azure zur Verfügung.
Sicherheitsbaselines für Azure konzentrieren sich auf cloudorientierte Kontrollbereiche in Azure-Umgebungen. Diese Kontrollen entsprechen bekannten Branchenstandards, z. B. vom Center for Internet Security (CIS) oder vom National Institute for Standards in Technology (NIST). Die Baselines von Microsoft bieten eine Orientierungshilfe für die Kontrollbereiche, die in Microsoft Cloud Security Benchmark v1 aufgeführt sind.
Jede Baseline besteht aus den folgenden Komponenten:
- Wie verhält sich ein Dienst?
- Welche Sicherheitsfeatures sind verfügbar?
- Welche Konfigurationen werden zur Absicherung des Diensts empfohlen?
Implementieren von Microsoft Cloud Security Benchmark
- Planen Sie Ihre MCSB-Implementierung anhand der Dokumentation zu den Unternehmenskontrollmechanismen und dienstspezifischen Baselines, um Ihr Kontrollframework zu entwerfen und zu ermitteln, wie es sich mit Vorgaben wie den CIS-Kontrollmechanismen (Center for Internet Security), den Richtlinien des National Institute of Standards and Technology (NIST) und dem PCI-DSS-Framework (Payment Card Industry Data Security Standard) deckt.
- Überwachen Sie die Compliance mit dem MCSB-Status (und anderen Kontrollmechanismen) mithilfe des Dashboards zur Einhaltung gesetzlicher Bestimmungen von Microsoft Defender for Cloud für Ihre Multicloudumgebung.
- Richten Sie den Integritätsschutz ein, um sichere Konfigurationen zu automatisieren und Compliance mit dem MCSB (und anderen Anforderungen in Ihrer Organisation) mithilfe von Features wie Azure Blueprints, Azure Policy oder den entsprechenden Technologien anderer Cloudplattformen zu erzwingen.
Gängige Anwendungsfälle
Microsoft Cloud Security Benchmark kann häufig dazu verwendet werden, die folgenden für Kunden oder Servicepartner häufig auftretenden Herausforderungen anzugehen:
- Sie sind neu bei Azure (und anderen großen Cloudplattformen wie AWS) und suchen nach bewährten Sicherheitsmethoden, um eine sichere Bereitstellung von Clouddiensten und Ihrer eigenen Anwendungsworkload sicherzustellen.
- Sie möchten den Sicherheitsstatus bei bestehenden Cloudbereitstellungen verbessern, um die Maßnahmen zum Schutz vor den größten Risiken zu priorisieren.
- Sie nutzen Multicloudumgebungen (z. B. Azure und AWS) und sind mit der Herausforderung konfrontiert, Überwachung und Bewertung von Sicherheitskontrollen mithilfe einer zentralen Verwaltungsoberfläche zu koordinieren.
- Sie bewerten die Sicherheitsfeatures/-funktionen von Azure (und anderen großen Cloudplattformen wie AWS) vor dem Genehmigen von Diensten und der Aufnahme von Diensten in den Clouddienstkatalog.
- Sie müssen Complianceanforderungen in stark regulierten Branchen wie Behörden, Finanz- und Gesundheitswesen erfüllen. Diese Kunden müssen sicherstellen, dass ihre Dienstkonfigurationen von Azure und anderen Clouds die in einem Framework wie CIS, NIST oder PCI definierte Sicherheitsspezifikation erfüllen. MCSB bietet einen effizienten Ansatz, bei dem die Kontrollen bereits auf diese Branchenbenchmarks abgestimmt sind.
Begriff
Die Begriffe „Kontrollen“ und „Baseline“ kommen in der Dokumentation zu Microsoft Cloud Security Benchmark häufig vor. Es ist wichtig zu verstehen, wie diese Begriffe im Zusammenhang mit MCSB verwendet werden.
| Begriff | BESCHREIBUNG | Beispiel |
|---|---|---|
| Control | Eine Kontrolle ist eine allgemeine Beschreibung eines Features oder einer Aktivität, das bzw. die berücksichtigt werden muss, und ist nicht spezifisch für eine Technologie oder Implementierung. | Datenschutz ist eine dieser Sicherheitskontrollfamilien. Datenschutz enthält spezifische Maßnahmen, die zur Gewährleistung des Datenschutzes erforderlich sind. |
| Grundwert | Eine Baseline meint die Implementierung des Kontrollmechanismus für die jeweiligen Azure-Dienste. Jede Organisation gibt eine Benchmarkempfehlung vor, und es werden entsprechende Konfigurationen in Azure benötigt. Hinweis: Derzeit stehen Dienstbaselines nur für Azure zur Verfügung. | Die Firma Contoso versucht, die Azure SQL-Sicherheitsfeatures zu aktivieren, indem sie die in der Azure SQL-Sicherheitsbaseline empfohlene Konfiguration implementiert. |