Центр безопасности Azure: знакомство с панелью мониторинга соответствия нормативным требованиям
Соблюдение нормативных требований в наши дни волнует практически всех. Теперь, когда GPDR позади, а Brexit маячит на горизонте, знание того, соответствуют ли ваши облачные ресурсы стандартам, установленным правительствами или отраслевыми организациями, имеет важное значение для выживания в современном глобализированном мире. Саша Краняк внимательно наблюдал за тем, что происходило по этой теме в уголке мира Microsoft. Саша — эксперт и инструктор по безопасности и Azure с более чем двадцатилетним опытом работы в этой области. Он начал программировать на ассемблере на ZX сэра Клайва Синклера, познакомился с Windows NT 3.5, и с тех пор любовь не угасла. Саша владеет компанией, занимающейся обучением и консалтингом в области ИТ, которая помогает компаниям и частным лицам осваивать облачные технологии и обеспечивать безопасность в киберпространстве, предоставляя курсы Microsoft, EC-Council и его собственные курсы Azure и безопасности, а также семинары PowerClass по всему миру. Он является Microsoft MVP, MCT, региональным руководителем MCT, сертифицированным инструктором EC-Council (CEI) и в настоящее время имеет более 60 технических сертификатов. Саша часто выступает на различных международных конференциях, а также является консультантом и тренером некоторых крупнейших компаний из списка Fortune 500. Вы можете подписаться на Сашу в Твиттере @SasaKranjac. Давайте теперь посмотрим и узнаем, как Саша освещает наше понимание новой панели мониторинга соответствия нормативным требованиям в Центре безопасности Azure.
Как развивался Центр безопасности Azure
Я слежу за развитием Центра безопасности Azure (ASC) с самого начала, с момента его рождения. Мы можем спорить о том, является ли день рождения ASC датой его объявления или датой его публичного предварительного просмотра — первое — 29 сентября 2015 года, а второе — 1 декабря того же года, — но одно можно сказать наверняка, я уверен. всегда рады видеть новые функции, добавленные в ASC. Путешествие было долгим, и оно еще не закончено, безопасность — чрезвычайно важный и деликатный винтик в Azure (ну, не только в Azure, но и во всех аспектах вычислений), и потребовалось много тяжелой работы, чтобы добраться туда, откуда она пришла. был.
Ради любопытства сравните, как Центр безопасности Azure выглядел в декабре 2015 года и как он выглядит сегодня, в феврале 2019 года. Во-первых, вот как выглядел Центр безопасности Azure в декабре 2015 года:
Теперь давайте сегодня посмотрим на Центр безопасности Azure:
Почему я говорю вам это? Потому что ASC постоянно совершенствуется и становится все лучше и лучше, защищая вашу среду Azure.
Недавно, две недели назад, Центр безопасности Azure пополнился еще одной функцией: панелью соответствия нормативным требованиям.
Почему новая приборная панель?
Что означает соблюдение нормативных требований и почему это должно вас волновать? По сути, соответствие или соблюдение требований означает выполнение требований политики, стандарта или правила, в то время как соответствие нормативным требованиям означает согласование или соответствие политикам, положениям и законам. Часто, когда упоминается термин «соблюдение нормативных требований», он относится не только к нормативному акту или стандарту, но и к закону. Вы спросите, а зачем вообще нужны стандарты, если есть законы, определяющие информационную безопасность? Во многих странах есть законы, связанные с безопасностью, но они часто имеют расплывчатые определения, рассматривают вопросы безопасности под широким углом, охватывая более широкую аудиторию, то есть всех людей и организации. Эти законы действительно определяют важные темы, такие как хранение важных документов или управление конфиденциальной и личной информацией, но в них также отсутствуют подробные определения многочисленных вопросов безопасности, таких как управление рисками. Стандарты и правила заполняют пробел в единообразии, добавляют подробное и отраслевое обеспечение безопасности, которому должны следовать отдельные лица и организации, чтобы считаться безопасными, надежными и достойными ведения бизнеса.
Панель мониторинга соответствия нормативным требованиям в Центре безопасности Azure помогает вам получить представление о положении вашей среды Azure в отношении поддерживаемых в настоящее время стандартов безопасности: Azure CIS, ISO 27001, PCI DSS 3.2 и SOC TSP. Я надеюсь, что это будут не единственные поддерживаемые стандарты; хотя я хотел бы, чтобы в будущем поддерживалось больше стандартов, я рад, что эти четыре важных стандарта попали в список. Обратите внимание, что для предварительного просмотра панели мониторинга соответствия нормативным требованиям необходимо установить ценовую категорию "Стандартный" Центра безопасности Azure для конкретной подписки.
Изучение панели соответствия нормативным требованиям
Информационная панель соответствия нормативным требованиям дебютирует как четвертая запись в разделе «Политика и соответствие», а также на информационной панели «Обзор ASC», вверху, между оценкой безопасности и охватом подписки, что дает вам мгновенный просмотр списка наименее соответствующих нормативным стандартам и количество правил, влияющих на счет:
Панель мониторинга соответствия нормативным требованиям Центра безопасности Azure переходит прямо к делу, показывая общий балл оценки соответствия нормативным требованиям в виде числа неудачных и пройденных оценок, а также в процентах, если вы наводите указатель мыши на отдельные цвета графика. Справа от общего балла вы найдете статус соответствия отдельных нормативных стандартов и количество правил, прошедших оценку:
Согласно информации на информационной панели, дополнительная и очень полезная функция, функции отчетности о соответствии, также будет включена в колонку соответствия:
Каждый нормативный стандарт имеет список средств контроля, и каждый элемент управления имеет список правил соответствия. Если элемент управления зеленый, это означает, что все правила в этом элементе управления прошли оценку и также стали зелеными. Если элемент управления красный, по крайней мере одно правило в элементе управления является красным и не прошло оценку.
Если вы развернете правило, вы увидите отдельные оценки, тип ресурса, общее количество затронутых ресурсов и графическое представление результатов оценки.
Существует также третий цвет, серый, указывающий на то, что оценка соответствия еще не поддерживается или неприменима. На снимке экрана ниже элемент управления 2.8 выделен серым цветом, поскольку в данный момент нет брандмауэра веб-приложения для оценки:
Решить проблему очень просто: щелкнув имя оценки, вы перейдете прямо к лезвию, где сможете решить проблему, например установить агент мониторинга на виртуальной машине или определить, какие виртуальные машины нуждаются в обновлении, и установить отсутствующие обновления.
Решение проблем соответствия также можно выполнить на вкладке Все, где рекомендации сгруппированы и показывают, на какие стандарты влияет конкретная оценка или рекомендация:
Кроме того, данные с панели мониторинга соответствия нормативным требованиям ASC будут доступны в Диспетчере соответствия, объединяя данные из сред Azure и Office 365 в одном удобном месте, откуда вы можете дополнительно улучшить защиту данных и соответствие требованиям, следуя рекомендациям:
Улучшение соответствия вашей среды Azure с помощью Центра безопасности Azure значительно упрощается. Быстро и эффективно с помощью блейда Regulatory Compliance можно значительно улучшить соответствие прямо на панели управления.
Пробовали ли вы панель мониторинга соответствия нормативным требованиям в Центре безопасности Azure? Поделитесь своими мыслями об этом, используя функцию комментариев ниже.