Benchmark zu orientieren und nicht direkt die CIS Top 20 Critical Security Controls hierfür heranzuziehen , werden Sie fragen ? Einer der Hauptgründe war die Gewährleistung der Konsistenz von Best Practices und Kontrollen bei Cloud-Providern . Viele Unternehmen verfolgen so genannte Multi-Cloud-Strategien . In diesen Szenarien ist der Vorschlag , verschiedene grundlegende Sicherheitsrichtlinien und Sicherheitskontrollen bei Cloud-Anbietern zu haben , besorgniserregend . Sicherheitsrisiken bei Implementierungen mit mehreren Clouds lassen sich besser handhaben , wenn Unternehmen anbieterübergreifend konsistente Best Practices und Sicherheitskontrollen einrichten .
Ein weiterer Grund , AWS Foundations Benchmark als Startpunkt heranzuziehen , sind die detaillierten schrittweisen Verfahren für die vorhandenen Sicherheitsregeln . Diesen Ansatz wollten auch wir verfolgen . Für jede in der CTP Azure Foundations Benchmark enthaltene Regel , haben wir die folgenden Abschnitte definiert :
• Description : Das „ Was “ der Sicherheitsregel
• Rationale : Das „ Warum “ der Sicherheitsregel
• Audit : Das „ Wie “ der Sicherheitsregel – schrittweise Anleitung , wie Audit- und Sicherheitsexperten diese Regel validieren können
• Remediation : Manuelle Schritte zur Ad-hoc-Fehlerbehebung
• Mapping and References : Zuordnung der Regel zur CIS Top 20 Security Controls- und Microsoft-Dokumentation .
Die CTP Azure Foundations Benchmark weist dieselbe Anzahl an Regeln wie die CIS AWS Foundations Benchmark und auch vier Abschnitte auf : Identitätsund Zugriffsmanagement , Überwachung , Protokollierung und Netzwerk . Die vom CTP Azure Foundations Benchmark abgedeckten Services und Bereiche
12 | THE DOPPLER | WINTER 2018