Kiadta a Microsoft az Azure Security Bechmark v1-et (ASB), amelyben több mint 90 bevált gyakorlati javaslatot foglaltak egységes keretbe. Az egyes javaslatokhoz referenciaértékeket is rendeltek, hogy az ügyfél megállapíthassa, felhős munkafolyamatai mennyire felelnek meg az ASB ajánlásainak.
A keretrendszert integrálták az Azure Security Centerrel. A biztonsági központ kb. egy éve nyújt olyan szolgáltatást, hogy fejlett algoritmusokkal elemzi az Azure-ban futó munkafolyamatokat, hogy azok mely biztonsági ajánlásoknak hogyan felelnek meg, Ez azonban csak egy átlagos értéket adott. Most az ASB és a Security Center integrációjával az ügyfelek utóbbi megfelelőségi dashboardján azt is nyomon tudják követhetni, hogy az egyes mennyire tudták megközelíteni az ABS referenciaértékeit.
Iparági szabványokhoz igazítva
Az ASB célja – írta a vállalat oldalán Avi Ben-Menahem, az Azure biztonsági vezetője –, hogy a javaslatok követésével az ügyfelek javíthassák az összes Azure-ban futó munkaterhelésük általános biztonságát és megfelelőségét.
A biztonsági vezető hangsúlyozza: nem valamiféle teljesen új ajánlási rendszerről van szó. Az ASB-ben megfogalmazott javaslatok rendszerükben is illeszkednek az ipari szabványokhoz és az on-premsie rendszereknél használt bevált gyakorlatokhoz, azokat azonban a felhőhöz igazítva átértelmezi. Ilyen alap például az Internet Security Center (CIS) által megfogalmazott ajánlások. Az ABS konkrétan 11 biztonsági kontrollt tartalmaz, amelyeket a CIS vezérlési keretrendszerének tavaly áprilisban kiadott 7.1-es verziójából vettek át, illetve igazítottak az Azure-hoz.
A másik fontos példa a NIST (National Institute of Standards and Technology) kiberbiztonsági keretrendszere volt, amelynek rendszerét az Azure keretrendszere is igyekszik követni.
Az ASB lényegében egy kész forgatókönyvet ad az Azure-ügyfelek kezébe, melyet követve stabilabb és biztonságosabb szolgáltatási szintet érhetnek el.
Tizenegy témakör – részletes dokumentáció
A biztonsági intézkedéseket tizenegy témakörbe szervezték, melyek felölelik a megelőző intézkedésektől (naplózás, azonosság- és hozzáférés-kezelés stb.) az incidenskezelésen át (pl. adat-visszaállítás) a biztonsági tesztekig (pl. penetrációs tesztek) a biztonságjavító intézkedések teljes skáláját.
Az egyes pontokhoz rendelték az ahhoz használható eszközkészletet, valamint alkalmazásához részletes leírást is adtak, és azt is meghatározták, hogy az adott területen kit terhel a felelősség. Például a naplózás területén a források időszinkronizációja a Microsoft feladata, de például a naplózás folyamata (gyűjtés, tárolás, elemzés) az Azure-ügyfelet terheli. A penetrációs tesztek esetében viszont a felelősség közösen terheli a Microsoftot mint szolgáltatót és az ügyfeleket.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak