Liste de contrôle des recommandations pour la sécurité
Cette liste de contrôle présente un ensemble de recommandations en matière de sécurité pour vous aider à garantir la sécurité de votre charge de travail. Si vous ne révisez pas la liste de contrôle ni n’évaluez les compromis associés, vous pouvez exposer votre conception à des risques potentiels. Évaluez soigneusement tous les aspects décrits dans la liste de contrôle pour renforcer votre confiance dans la sécurité de votre charge de travail.
Liste de contrôle
| Code | Recommandation | |
|---|---|---|
| ☐ | SE:01 | Établissez une base de référence en matière de sécurité alignée sur les exigences de conformité, les normes du secteur et les recommandations de la plateforme. Mesurez régulièrement l’architecture et les opérations de votre charge de travail par rapport à la base de référence pour maintenir ou améliorer votre posture de sécurité au fil du temps. |
| ☐ | SE:02 SE:02 |
Maintenez un cycle de vie de développement sécurisé en utilisant une chaîne d’approvisionnement logicielle renforcée, principalement automatisée et auditable. Incorporez une conception sécurisée en utilisant la modélisation des menaces pour vous protéger contre les implémentations qui compromettent la sécurité. |
| ☐ | SE:03 | Classez et appliquez de manière cohérente les étiquettes de confidentialité et de type d’informations sur toutes les données de la charge de travail et les systèmes impliqués dans le traitement des données. Utilisez la classification pour influencer la conception, la mise en œuvre et la priorisation de la sécurité de la charge de travail. |
| ☐ | SE:04 | Créez une segmentation et des périmètres intentionnels dans la conception de votre architecture et dans l’empreinte de la charge de travail sur la plateforme. La stratégie de segmentation doit inclure les réseaux, les rôles et responsabilités, les identités de la charge de travail et l’organisation des ressources. |
| ☐ | SE:05 | Mettez en œuvre une gestion des identités et des accès (IAM) stricte, conditionnelle et auditable pour tous les utilisateurs de la charge de travail, les membres de l’équipe et les composants du système. Limitez l’accès exclusivement à si nécessaire. Utilisez les normes modernes du secteur pour toutes les implémentations de l’authentification et de l’autorisation. Restreignez et auditez rigoureusement l’accès qui n’est pas basé sur l’identité. |
| ☐ | SE:06 | Chiffrez les données à l’aide de méthodes modernes et conformes aux normes de l’industrie pour préserver la confidentialité et l’intégrité. Alignez la portée du chiffrement sur les classifications des données et donnez la priorité aux méthodes de chiffrement natives de la plateforme. |
| ☐ | SE:07 | Protégez les secrets d’application en renforçant leur stockage, en limitant l’accès et la manipulation et en auditant ces actions. Exécutez un processus de rotation fiable et régulier qui permet d’improviser des rotations en cas d’urgence. |
| ☐ | SE:08 | Mettez en œuvre une stratégie de surveillance globale qui repose sur des mécanismes modernes de détection des menaces qui peuvent être intégrés à la plateforme. Les mécanismes doivent alerter de manière fiable pour le tri et envoyer des signaux aux processus SecOps existants. |
| ☐ | SE:09 | Établissez un programme de tests complet qui combine des approches pour prévenir les problèmes de sécurité, valider les mises en œuvre de la prévention des menaces et tester les mécanismes de détection des menaces. |
| ☐ | SE:10 | Définissez et testez des procédures efficaces de réponse aux incidents qui couvrent un spectre d’incidents, depuis les problèmes localisés jusqu’à la récupération d’urgence. Définissez clairement quelle équipe ou personne exécute une procédure. |
Étapes suivantes
Commentaires
Prochainement : Tout au long de l'année 2024, nous supprimerons progressivement les GitHub Issues en tant que mécanisme de retour d'information pour le contenu et nous les remplacerons par un nouveau système de retour d'information. Pour plus d’informations, voir: https://aka.ms/ContentUserFeedback.
Soumettre et afficher des commentaires pour