Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Ce référentiel de sécurité intègre les recommandations du benchmark de sécurité cloud Microsoft version 1.0 à la sauvegarde. Le benchmark de sécurité cloud Microsoft fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les instructions associées applicables à la sauvegarde.
Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Les définitions d’Azure Policy sont répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour cloud.
Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations de benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.
Note
Les fonctionnalités non applicables à la sauvegarde ont été exclues. Pour voir comment la sauvegarde est entièrement mappée au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet de la base de référence de la sécurité de sauvegarde.
Profil de sécurité
Le profil de sécurité récapitule les comportements à impact élevé de la sauvegarde, ce qui peut entraîner une augmentation des considérations de sécurité.
| Attribut de comportement de service | Valeur |
|---|---|
| Catégorie de produit | MGMT/Gouvernance |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | Faux |
| Stocke le contenu des clients au repos | Faux |
Sécurité réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : sécurité réseau.
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Azure Private Link
Description : fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (pas à confondre avec le groupe de sécurité réseau ou le pare-feu Azure). En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Guide de configuration : Déployer des points de terminaison privés pour toutes les ressources Azure qui prennent en charge la fonctionnalité Private Link, afin d’établir un point d’accès privé pour les ressources.
Référence : disponibilité d’Azure Private Link
Désactiver l’accès public au réseau
Description: Le service prend en charge la désactivation de l’accès au réseau public en utilisant soit une règle de filtrage ACL IP au niveau du service (pas de NSG ou pare-feu Azure), soit un interrupteur à bascule "Désactiver l’accès réseau public". En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Guide de configuration : Désactivez l’accès réseau public à l’aide de la règle de filtrage ACL IP au niveau du service ou d’un commutateur bascule pour l’accès au réseau public.
Référence : Refuser l’accès du réseau public au coffre-fort
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Identités managées
Description : les actions du plan de données prennent en charge l’authentification à l’aide d’identités managées. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Notes de fonctionnalité : L’identité managée peut être créée pour votre coffre et fonctionne uniquement sur le plan de contrôle.
Pour plus d’informations, consultez : Activer l’identité managée pour votre coffre.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
IM-8 : Restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description: le plan de données supporte l’utilisation native d’Azure Key Vault pour le stockage des informations d’identification et des secrets. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Remarques sur les fonctionnalités : cette fonctionnalité est prise en charge pour tous les scénarios, à l’exception d’un scénario local où le fichier d’informations d’identification du coffre n’est pas stocké dans AKV.
Guide de configuration: vérifiez que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels qu’Azure Key Vault, au lieu de les incorporer dans du code ou des fichiers de configuration.
Référence : Configurer un coffre pour chiffrer à l’aide de clés gérées par le client
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-7 : Suivez le principe d’administration suffisante (privilège minimum)
Fonctionnalités
RBAC Azure pour plan de données
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions du plan de données du service. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Notes de fonctionnalités : Azure RBAC est pris en charge pour les actions du plan de gestion.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Protection de données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-2 : Surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Fuite de données/protection contre la perte
Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client). En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Notes sur les fonctionnalités : Sauvegarde Azure prend en charge des fonctionnalités avancées telles que les coffres immuables, la suppression réversible et l’autorisation multi-utilisateur qui peuvent aider à protéger les données de sauvegarde des clients, qui sont généralement de nature sensible.
Pour plus d’informations, consultez : Coffre immuable, suppression réversible et autorisation multi-utilisateur
Guide de configuration: il n’existe aucun guide Microsoft actuel pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organisation souhaite configurer cette fonctionnalité de sécurité.
DP-3 : Chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : le service prend en charge le chiffrement en transit des données pour le plan de données. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Sécurité des couches de transport dans la sauvegarde
DP-4 : Activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : niveaux de chiffrement dans Azure Backup
DP-5 : Utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : Le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Conseils de configuration : si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et mettez en œuvre le chiffrement des données au repos en utilisant une clé gérée par le client pour ces services.
Référence : Chiffrement des données de sauvegarde à l’aide de clés gérées par le client
DP-6 : Utiliser un processus de gestion des clés sécurisé
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés, secrets ou certificats du client. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, notamment la génération de clés, la distribution et le stockage. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de suppression ou de compromission d’une clé. Lorsqu’il est nécessaire d’utiliser la clé gérée par le client (CMK) dans la charge de travail, le service ou le niveau de l’application, veillez à suivre les meilleures pratiques pour la gestion des clés : utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte (DEK) avec votre clé de chiffrement de clé (KEK) dans votre coffre de clés. Vérifiez que les clés sont inscrites auprès d’Azure Key Vault et référencées via des ID de clé à partir du service ou de l’application. Si vous devez apporter votre propre clé (BYOK) au service (par exemple, l’importation de clés protégées par HSM à partir de vos modules HSM locaux dans Azure Key Vault), suivez les instructions recommandées pour effectuer la génération de clés initiale et le transfert de clé.
Référence : Chiffrement dans Sauvegarde Azure
DP-7 : Utiliser un processus de gestion des certificats sécurisé
Fonctionnalités
Gestion des certificats dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie des certificats, notamment la création, l’importation, la rotation, la révocation, le stockage et la purge du certificat. Vérifiez que la génération de certificat suit les normes définies sans utiliser de propriétés non sécurisées telles que : taille de clé, période de validité trop longue, chiffrement non sécurisé. Configurez la rotation automatique du certificat dans Azure Key Vault et le service Azure (si pris en charge) en fonction d’une planification définie ou en cas d’expiration de certificat. Si la rotation automatique n’est pas prise en charge dans l’application, assurez-vous qu’elles sont toujours pivotées à l’aide de méthodes manuelles dans Azure Key Vault et dans l’application.
Référence : Chiffrement de sauvegarde
Gestion des ressources
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.
AM-2 : Utiliser uniquement les services approuvés
Fonctionnalités
Prise en charge d’Azure Policy
Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Sauvegarde de stratégie Azure
Journalisation et détection des menaces
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Journalisation et détection des menaces.
LT-1 : Activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : Le service dispose d’une solution Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Faux | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-4 : Activer la journalisation pour l’enquête de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation spécifiques au service améliorées. Le client peut configurer ces journaux de ressources et les envoyer à leur propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Faux | Client |
Conseils de configuration : activez les journaux de ressources pour le service. Par exemple, Key Vault prend en charge des journaux de ressources supplémentaires pour les actions qui récupèrent un secret depuis un coffre de clés, et Azure SQL dispose de journaux de ressources qui suivent les demandes adressées à une base de données. Le contenu des journaux de ressources varie selon le service Azure et le type de ressource.
Référence : Utiliser les paramètres de diagnostic pour les coffres Recovery Services
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde et récupération.
BR-1 : Garantir des sauvegardes automatisées régulières
Fonctionnalités
Azure Backup
Description : le service peut être sauvegardé par le service Sauvegarde Azure. En savoir plus.
| Soutenu | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | Vrai | Microsoft |
Conseils de configuration : aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Surveillance de Microsoft Defender pour le cloud
Définitions intégrées d’Azure Policy - Microsoft.RecoveryServices :
| Nom (portail Azure) |
Descriptif | Effect(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de sécurité Azure