Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine Einführung in das Microsoft Cloud Security-Benchmark-Projekt, einschließlich wichtiger Konzepte, Implementierungsleitlinien und Terminologie, finden Sie in der Einführung des Microsoft Cloud Security-Benchmarks.
Der Microsoft Cloud Security-Benchmark v2 (Vorschau) bietet erweiterte, auf Azure fokussierte Anleitungen mit ausgedehnten Sicherheitsbereichen und umfassenden Details zur technischen Implementierung. Diese Version basiert auf der Grundlage des Microsoft Cloud Security-Benchmarks mit optimierten Sicherheitskontrollen, KI-Sicherheitsrichtlinien und erweiterten Azure-Richtlinienzuordnungen.
Wichtigste Funktionen
Hinweis
Microsoft Cloud Security Benchmark v2 (Vorschau) ist jetzt verfügbar. Erkunden Sie diese Version, und geben Sie Uns Feedback, um sie zu verbessern. Bei Fragen oder Kommentaren senden Sie uns eine E-Mail an benchmarkfeedback@microsoft.com.
Informationen zur früheren Version finden Sie unter Übersicht über den Microsoft Cloud Security-Benchmark v1.
Der Microsoft Cloud Security Benchmark v2 (Vorschau) umfasst:
Artificial Intelligence Security – Eine neue Sicherheitsdomäne mit sieben Empfehlungen für KI-Plattformsicherheit, KI-Anwendungssicherheit und KI-Sicherheitsüberwachung zur Bewältigung von Bedrohungen und Risiken in Bereitstellungen der künstlichen Intelligenz.
Umfassende Azure-Richtlinienzuordnungen – Mehr als 420 integrierte Azure-Richtliniendefinitionen, mit denen Sie Ihren Sicherheitsstatus in Azure mithilfe von Azure Policy und Defender for Cloud messen und überwachen können.
Risiko- und bedrohungsbasierte Anleitungen – Umfassende Richtlinien mit detaillierten Beispielen zur technischen Implementierung und detaillierten Referenzen, die Ihnen helfen, die Sicherheitsrisiken und Bedrohungen zu verstehen, die von jeder Sicherheitskontrolle abgemildert werden, und wie die Sicherheitskontrollen in Ihrer Azure-Umgebung implementiert werden.
Sicherheitsdomänen
| Sicherheitsdomäne | BESCHREIBUNG |
|---|---|
| Netzwerksicherheit (NS) | Die Netzwerksicherheit umfasst Steuerelemente zum Sichern und Schützen von Netzwerken, einschließlich sicherung virtueller Netzwerke, Einrichten privater Verbindungen, Verhindern und Mildern externer Angriffe und Schützen von DNS. |
| Identitätsverwaltung (IM) | Identitätsverwaltung umfasst Steuerelemente zum Einrichten einer sicheren Identitäts- und Zugriffssteuerung mithilfe von Identitäts- und Zugriffsverwaltungssystemen, einschließlich der Verwendung von einmaligem Anmelden, starken Authentifizierungen, verwalteten Identitäten (und Dienstprinzipalen) für Anwendungen, bedingten Zugriff und Kontoanomalienüberwachung. |
| Privilegierter Zugriff (PA) | Privilegierter Zugriff umfasst Kontrollmechanismen zum Schutz des privilegierten Zugriffs auf Ihren Mandanten und Ihre Ressourcen, einschließlich einer Reihe von Kontrollmechanismen zum Schutz Ihres Verwaltungsmodells, von administrativen Konten und von Arbeitsstationen mit privilegiertem Zugriff vor bewussten und ungewollten Risiken. |
| Datenschutz (DP) | Der Datenschutz umfasst die Kontrolle des Datenschutzes im Ruhezustand, während der Übertragung und über autorisierte Zugriffsmechanismen, einschließlich Erkennen, Klassifizierung, Schutz und Überwachung vertraulicher Datenbestände mithilfe von Zugriffskontrolle, Verschlüsselung, Schlüsselverwaltung und Zertifikatverwaltung. |
| Vermögensverwaltung (AM) | Die Ressourcenverwaltung umfasst Steuerelemente, um die Sichtbarkeit und Governance der Sicherheit über Ihre Ressourcen zu gewährleisten, einschließlich Empfehlungen zu Berechtigungen für Sicherheitspersonal, Sicherheitszugriff auf Bestandsbestand und Verwalten von Genehmigungen für Dienste und Ressourcen (Bestand, Nachverfolgen und Korrigieren). |
| Protokollierung und Bedrohungserkennung (LT) | Protokollierung und Bedrohungserkennung umfasst Steuerelemente zum Erkennen von Bedrohungen in der Cloud und das Aktivieren, Sammeln und Speichern von Überwachungsprotokollen für Clouddienste, einschließlich der Aktivierung von Erkennungs-, Untersuchungs- und Wartungsprozessen mit Steuerelementen, um qualitativ hochwertige Warnungen mit nativer Bedrohungserkennung in Clouddiensten zu generieren. Es umfasst auch das Sammeln von Protokollen mit einem Cloudüberwachungsdienst, die Zentrale der Sicherheitsanalyse mit einem SIEM, die Zeitsynchronisierung und die Protokollaufbewahrung. |
| Reaktion auf Vorfälle (IR) | Die Reaktion auf Vorfälle umfasst Steuerelemente im Lebenszyklus der Reaktion auf Vorfälle – Vorbereitung, Erkennung und Analyse, Eindämmung und Aktivitäten nach dem Vorfall, einschließlich der Verwendung von Azure-Diensten (z. B. Microsoft Defender für Cloud und Sentinel) und/oder andere Clouddienste, um den Vorfallreaktionsprozess zu automatisieren. |
| Haltungs- und Sicherheitsrisikomanagement (PV) | Die Verwaltung von Haltungen und Sicherheitsrisiken konzentriert sich auf Kontrollen zur Bewertung und Verbesserung des Cloudsicherheitsstatus, einschließlich Sicherheitsrisikoüberprüfungen, Penetrationstests und Korrekturen sowie zur Nachverfolgung von Sicherheitskonfigurationen, Berichterstellung und Korrektur in Cloudressourcen. |
| Endpunktsicherheit (ES) | Die Endpunktsicherheit umfasst Kontrollmechanismen zur Erkennung und Reaktion am Endpunkt (Endpoint Detection and Response, EDR) sowie zur Nutzung von EDR- und Antimalwarediensten für Endpunkte in Cloudumgebungen. |
| Sicherung und Wiederherstellung (BR) | Sicherung und Wiederherstellung umfasst Steuerelemente, um sicherzustellen, dass Daten- und Konfigurationssicherungen auf den verschiedenen Dienstebenen ausgeführt, überprüft und geschützt werden. |
| DevOps-Sicherheit | DevOps Security deckt die Steuerelemente im Zusammenhang mit dem Sicherheits engineering und den Vorgängen in den DevOps-Prozessen ab, einschließlich der Bereitstellung kritischer Sicherheitsprüfungen (z. B. statischer Anwendungssicherheitstests, Sicherheitsrisikoverwaltung) vor der Bereitstellungsphase, um die Sicherheit während des gesamten DevOps-Prozesses sicherzustellen. Sie enthält auch allgemeine Themen wie Bedrohungsmodellierung und Softwareversorgungssicherheit. |
| Künstliche Intelligenz Sicherheit (KI) | Artificial Intelligence Security umfasst Kontrollen, um die sichere Entwicklung, Bereitstellung und Den Betrieb von KI-Modellen und -Diensten zu gewährleisten, einschließlich KI-Plattformsicherheit, KI-Anwendungssicherheit und KI-Sicherheitsüberwachung. |
Sicherheitskontrollstruktur in Microsoft Cloud Security Benchmark v2 (Vorschau)
Jedes Sicherheitskontrolle in der Benchmark umfasst die folgenden Abschnitte:
- ID: Ein eindeutiger Bezeichner für jedes Sicherheitssteuerelement, bestehend aus einer Domänenkürzel und -nummer (z. B. AI-1 für künstliche Intelligenz-Sicherheitssteuerung 1, DP-1 für die Datenschutzsteuerung 1, NS-2 für Die Netzwerksicherheitskontrolle 2). Diese ID wird in der gesamten Dokumentation verwendet, um auf bestimmte Sicherheitskontrollen zu verweisen.
- Azure-Richtlinie: Links zu integrierten Azure-Richtliniendefinitionen, mit denen Sie die Sicherheitskontrolle messen und erzwingen können. Beachten Sie, dass nicht jedes Sicherheitssteuerelement einen Azure-Richtlinienlink enthält, da einige Sicherheitssteuerelemente Anleitungen für Szenarien oder Konfigurationen bereitstellen, die die Automatisierung von Azure-Richtlinien nicht erzwingen kann.
- Sicherheitsprinzip: Allgemeine Beschreibung der Sicherheitskontrolle auf technologieagnostischer Ebene, erläutern das "Was" und "Warum" der Sicherheitskontrolle.
- Risiko zur Abmilderung: Die spezifischen Sicherheitsrisiken und Bedrohungen, die die Sicherheitskontrolle angehen soll.
- MITRE ATT&CK: Die MITRE ATT&CK-Taktiken, Techniken und Verfahren (TTPs), die für die Sicherheitsrisiken relevant sind. Weitere Informationen finden Sie unter https://attack.mitre.org/.
- Implementierungsleitfaden: Detaillierte azurespezifische technische Anleitungen, die in nummerierten Unterabschnitten organisiert sind (z. B. NS-1.1, NS-1.2), in dem erläutert wird, wie die Sicherheitskontrolle mithilfe von Azure-Features und -Diensten implementiert wird.
- Implementierungsbeispiel: Praxisnahes Szenario, in dem veranschaulicht wird, wie die Sicherheitskontrolle implementiert wird, einschließlich der Herausforderung, des Lösungsansatzes und des Ergebnisses.
- Kritikalitätsstufe: Bezeichnet die relative Wichtigkeit der Sicherheitskontrolle für die Sicherheitslage. Mögliche Werte sind "Unentbehrlich" (grundlegend für Basissicherheit), "Sollte vorhanden sein" (wichtig für erweiterte Sicherheit) oder "Schön zu haben" (vorteilhaft für fortgeschrittene Sicherheitsszenarien).
-
Kontrollzuordnung: Zuordnungen zu Branchensicherheitsstandards und Frameworks, einschließlich:
- NIST SP 800-53 Rev.5: NIST SP 800-53 r5 Sicherheitskontroll-IDs
- PCI-DSS v4: PCI-DSS v4 Anforderungs-IDs
- CIS Controls v8.1: CIS Controls v8.1 IDs
- NIST CSF v2.0: NIST Cybersecurity Framework v2.0 Funktion und Kategorie-IDs
- ISO 27001:2022: ISO/IEC 27001:2022 Sicherheitskontroll-IDs
- SOC 2: Kriterien für Vertrauensdienste
Die Sicherheitskontrollzuordnungen zwischen MCSB und Branchen-Benchmarks (z. B. CIS, NIST, PCI, ISO und anderen) geben nur an, dass Sie bestimmte Azure-Features verwenden können, um eine in diesen Branchen-Benchmarks definierte Sicherheitskontrollanforderung vollständig oder teilweise zu erfüllen. Diese Implementierung übersetzt sich nicht unbedingt in die vollständige Einhaltung der entsprechenden Sicherheitskontrollen in diesen Branchen-Benchmarks.
Wir freuen uns über Ihr detailliertes Feedback und ihre aktive Teilnahme an dem Microsoft Cloud Security Benchmark v2 (Vorschau)-Aufwand. Wenn Sie direkte Eingaben bereitstellen möchten, senden Sie uns eine E-Mail an benchmarkfeedback@microsoft.com.
Nächste Schritte
- Lesen Sie die Einführung in die Microsoft Cloud Security-Benchmark für allgemeine MCSB-Konzepte und Implementierungsleitlinien
- Erkunden Sie die Sicherheitsdomänen, beginnend mit Netzwerksicherheit
- Erfahren Sie mehr über die Grundlagen der Azure-Sicherheit