Kiadta a Microsoft az Azure Security Bechmark v1-et (ASB), amelyben több mint 90 bevált gyakorlati javaslatot foglaltak egységes keretbe. Az egyes javaslatokhoz referenciaértékeket is rendeltek, hogy az ügyfél megállapíthassa, felhős munkafolyamatai mennyire felelnek meg az ASB ajánlásainak.

A keretrendszert integrálták az Azure Security Centerrel. A biztonsági központ kb. egy éve nyújt olyan szolgáltatást, hogy fejlett algoritmusokkal elemzi az Azure-ban futó munkafolyamatokat, hogy azok mely biztonsági ajánlásoknak hogyan felelnek meg, Ez azonban csak egy átlagos értéket adott. Most az ASB és a Security Center integrációjával az ügyfelek utóbbi megfelelőségi dashboardján azt is nyomon tudják követhetni, hogy az egyes mennyire tudták megközelíteni az ABS referenciaértékeit.

Iparági szabványokhoz igazítva

Az ASB célja – írta a vállalat oldalán Avi Ben-Menahem, az Azure biztonsági vezetője –, hogy a javaslatok követésével az ügyfelek javíthassák az összes Azure-ban futó munkaterhelésük általános biztonságát és megfelelőségét.

A biztonsági vezető hangsúlyozza: nem valamiféle teljesen új ajánlási rendszerről van szó. Az ASB-ben megfogalmazott javaslatok rendszerükben is illeszkednek az ipari szabványokhoz és az on-premsie rendszereknél használt bevált gyakorlatokhoz, azokat azonban a felhőhöz igazítva átértelmezi. Ilyen alap például az Internet Security Center (CIS) által megfogalmazott ajánlások. Az ABS konkrétan 11 biztonsági kontrollt tartalmaz, amelyeket a CIS vezérlési keretrendszerének tavaly áprilisban kiadott 7.1-es verziójából vettek át, illetve igazítottak az Azure-hoz.

A másik fontos példa a NIST (National Institute of Standards and Technology) kiberbiztonsági keretrendszere volt, amelynek rendszerét az Azure keretrendszere is igyekszik követni.

Az ASB lényegében egy kész forgatókönyvet ad az Azure-ügyfelek kezébe, melyet követve stabilabb és biztonságosabb szolgáltatási szintet érhetnek el.

Tizenegy témakör – részletes dokumentáció

A biztonsági intézkedéseket tizenegy témakörbe szervezték, melyek felölelik a megelőző intézkedésektől (naplózás, azonosság- és hozzáférés-kezelés stb.) az incidenskezelésen át (pl. adat-visszaállítás) a biztonsági tesztekig (pl. penetrációs tesztek) a biztonságjavító intézkedések teljes skáláját.

Az egyes pontokhoz rendelték az ahhoz használható eszközkészletet, valamint alkalmazásához részletes leírást is adtak, és azt is meghatározták, hogy az adott területen kit terhel a felelősség. Például a naplózás területén a források időszinkronizációja a Microsoft feladata, de például a naplózás folyamata (gyűjtés, tárolás, elemzés) az Azure-ügyfelet terheli. A penetrációs tesztek esetében viszont a felelősség közösen terheli a Microsoftot mint szolgáltatót és az ügyfeleket.