Azure Stack HCI et ISO/IEC 27001 :2022

Cet article explique comment Azure Stack HCI aide les organisations à respecter les exigences de contrôle de sécurité de la norme ISO/IEC 27001 :2022, à la fois dans le cloud et localement. En savoir plus sur Azure Stack et d’autres normes de sécurité dans Azure Stack et les normes de sécurité.

ISO/IEC 27001:2022

ISO/IEC 27001 est une norme de sécurité mondiale qui spécifie les exigences en matière d’établissement, d’implémentation, d’exploitation, de surveillance, de maintenance et d’amélioration d’un système de gestion de la sécurité de l’information (ISMS). La certification à ISO/IEC 27001 :2022 aide les organisations à améliorer leur posture de sécurité, à renforcer la confiance avec leurs clients et à répondre à diverses obligations légales et réglementaires qui impliquent la sécurité des informations, telles que PCI DSS, HIPAA, HITRUST et FedRAMP. En savoir plus sur la norme iso /IEC 27001.

Azure Stack HCI

Azure Stack HCI est une solution hybride qui fournit une intégration transparente entre l’infrastructure locale des organisations et les services cloud Azure, ce qui permet de consolider les charges de travail et les conteneurs virtualisés et d’améliorer l’efficacité du cloud lorsque les données doivent rester locales pour des raisons légales ou de confidentialité. Les organisations qui recherchent la certification ISO/IEC 27001 :2022 pour leurs solutions doivent prendre en compte à la fois leurs environnements cloud et locaux.

services cloud Connecter ed

Azure Stack HCI fournit une intégration approfondie à plusieurs services Azure, tels qu’Azure Monitor, Sauvegarde Azure et Azure Site Recovery, pour fournir de nouvelles fonctionnalités à l’environnement hybride. Ces services cloud sont soumis à des audits tiers indépendants réguliers pour la conformité ISO/IEC 27001 :2022. Vous pouvez consulter le rapport de certificat et d’audit Azure ISO/IEC 27001 :2022 dans les offres de conformité Azure – ISO/IEC 27001 :2022.

Important

L’état de conformité Azure ne confère pas l’accréditation ISO/IEC 27001 pour les services qu’une organisation crée ou héberge sur la plateforme Azure. Les organisations sont responsables de la conformité de leurs opérations avec les exigences ISO/IEC 27001 :2022.

Solutions locales

En local, Azure Stack HCI fournit un ensemble de fonctionnalités qui aident les organisations à satisfaire les exigences de sécurité de la norme ISO/IEC 27001 :2022. Les sections suivantes fournissent plus d’informations.

Fonctionnalités Azure Stack HCI pertinentes pour ISO/IEC 27001 :2022

Cette section décrit comment les organisations peuvent utiliser la fonctionnalité Azure Stack HCI pour répondre aux contrôles de sécurité dans l’annexe A de l’ISO/IEC 27001 :2022. Les informations suivantes couvrent uniquement les exigences techniques. Les exigences relatives aux opérations de sécurité ne sont pas étendues, car Azure Stack HCI ne peut pas les affecter. Les conseils sont organisés par les neuf domaines de l’annexe A :

• Sécurité du réseau
• Gestion de l’identité et de l’accès
• Protection des données
• Logging
• Surveillance
• Configuration sécurisée
• Protection contre les menaces
• Sauvegarde et récupération
• Scalabilité et disponibilité

Les instructions de cet article décrivent comment les fonctionnalités de plateforme Azure Stack HCI peuvent être utilisées pour répondre aux exigences de chaque domaine. Il est important de noter que tous les contrôles ne sont pas obligatoires. Les organisations doivent analyser leur environnement et effectuer une évaluation des risques pour déterminer quels contrôles sont nécessaires. Pour plus d’informations sur les exigences, consultez ISO/IEC 27001.

Sécurité du réseau

Les fonctionnalités de sécurité réseau décrites dans cette section peuvent vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.20 – Sécurité réseau
• 8.21 – Sécurité des services réseau
• 8.22 – Séparation des réseaux
• 8.23 – Filtrage web

Avec Azure Stack HCI, vous pouvez appliquer des contrôles de sécurité réseau pour protéger votre plateforme et les charges de travail en cours d’exécution à partir de menaces réseau en dehors et à l’intérieur. La plateforme garantit également une allocation réseau équitable sur un hôte et améliore les performances et la disponibilité des charges de travail avec des fonctionnalités d’équilibrage de charge. En savoir plus sur la sécurité réseau dans Azure Stack HCI dans les articles suivants.

• Vue d'ensemble du Pare-feu Datacenter
• Software Load Balancer (SLB) for Software Define Network (SDN)
• Passerelle RAS (Remote Access Service) pour SDN
• Stratégies de qualité de service pour vos charges de travail hébergées sur Azure Stack HCI

Gestion des identités et des accès

Les fonctionnalités de gestion des identités et des accès décrites dans cette section peuvent vous aider à répondre aux contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.2 : droits d’accès privilégiés
• 8.3 – Restrictions d’accès aux informations
• 8.5 – Authentification sécurisée

La plateforme Azure Stack HCI fournit un accès complet et direct au système sous-jacent s’exécutant sur des nœuds de cluster via plusieurs interfaces telles qu’Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows classiques dans des environnements locaux ou des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer l’identité et l’accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, telles que l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM) pour garantir que votre environnement est sécurisé et conforme.

En savoir plus sur la gestion des identités et des accès locaux dans Microsoft Identity Manager et Privileged Access Management pour services de domaine Active Directory. En savoir plus sur la gestion des identités et des accès basées sur le cloud sur Microsoft Entra ID.

Protection des données

Les fonctionnalités de protection des données décrites dans cette section peuvent vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.5 – Authentification sécurisée
• 8.20 – Sécurité réseau
• 8.21 - Sécurité des services réseau
• 8.24 – Utilisation du chiffrement

Chiffrement des données avec BitLocker

Sur les clusters Azure Stack HCI, toutes les données au repos peuvent être chiffrées via le chiffrement XTS-AES 256 bits BitLocker. Par défaut, le système vous recommande d’autoriser BitLocker à chiffrer tous les volumes du système d’exploitation et les volumes partagés de cluster (CSV) dans votre déploiement Azure Stack HCI. Pour les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à iso/IEC 27001. Pour en savoir plus, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).

Protection du trafic réseau externe avec TLS/DTLS

Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation de protocoles/hachages plus anciens, tels que TLS/DTLS 1.1 S Mo 1. Azure Stack HCI prend également en charge des suites de chiffrement fortes comme les courbes elliptiques compatibles SDL limitées aux courbes NIST P-256 et P-384 uniquement.

Protection du trafic réseau interne avec le bloc de messages serveur (S Mo)

La signature S Mo est activée par défaut pour les connexions clientes dans les hôtes de cluster Azure Stack HCI. Pour le trafic intra-cluster, le chiffrement S Mo est une option que les organisations peuvent activer pendant ou après le déploiement pour protéger les données en transit entre les clusters. Les suites de chiffrement AES-256-GCM et AES-256-CCM sont désormais prises en charge par le protocole S Mo 3.1.1 utilisé par le trafic de fichiers client-serveur et l’infrastructure de données intra-cluster. Le protocole continue également de prendre en charge la suite AES-128 plus largement compatible. En savoir plus sur les améliorations de sécurité de S Mo.

Logging

La fonctionnalité de journalisation décrite dans cette section peut vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.15 – Journalisation
• 8.17 – Synchronisation des horloges

Journaux système locaux

Par défaut, toutes les opérations effectuées dans la plateforme Azure Stack HCI sont enregistrées afin de pouvoir suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission des données. Toutefois, étant donné que le journal système contient souvent un grand volume d’informations, la plupart d’entre elles sont superflues pour la surveillance de la sécurité des informations, vous devez identifier les événements qui sont pertinents pour être collectés et utilisés à des fins de surveillance de la sécurité. Les fonctionnalités de supervision Azure aident à collecter, stocker, alerter et analyser ces journaux. Référencez la base de référence de sécurité pour Azure Stack HCI pour en savoir plus.

Journaux d’activité locaux

Azure Stack HCI Lifecycle Manager crée et stocke les journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge une investigation et une surveillance plus approfondies.

Journaux d’activité cloud

En inscrivant vos clusters auprès d’Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource de la couche d’abonnement afin de déterminer qui, et quand, pour toutes les opérations d’écriture (put, post ou delete) effectuées sur les ressources de votre abonnement.

Journaux des identités cloud

Si vous utilisez Microsoft Entra ID pour gérer l’identité et l’accès à la plateforme, vous pouvez afficher les journaux d’activité dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’utilisation sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory local, utilisez la solution de Microsoft Defender pour Identity pour consommer vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre Organisation.

Intégration de SIEM

Microsoft Defender pour le cloud et Microsoft Sentinel sont intégrés en mode natif aux nœuds Azure Stack HCI avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui fournit une fonctionnalité SIEM (Security Information Event Management) et une réponse automatisée de l’orchestration de la sécurité (SOAR). Microsoft Sentinel, comme d’autres services cloud Azure, est également conforme à de nombreuses normes de sécurité bien établies, telles que ISO/IEC 27001, qui peuvent vous aider à effectuer votre processus de certification. En outre, Azure Stack HCI fournit un redirecteur d’événements syslog natif pour envoyer les événements système aux solutions SIEM tierces.

Surveillance

Les fonctionnalités de surveillance décrites dans cette section peuvent vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.15 – Journalisation

Insights Azure Stack HCI

Azure Stack HCI Recommandations vous permet de surveiller l’intégrité, les performances et les informations d’utilisation des clusters connectés à Azure et inscrits dans la supervision. Pendant Recommandations configuration, une règle de collecte de données est créée, qui spécifie les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de surveillance prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de surveillance pour un cluster unique ou plusieurs clusters à partir de votre page de ressources Azure Stack HCI ou d’Azure Monitor. En savoir plus sur Monitor Azure Stack HCI avec Recommandations.

Métriques Azure Stack HCI

Les métriques stockent des données numériques à partir de ressources surveillées dans une base de données de série chronologique. Vous pouvez utiliser l’Explorateur de métriques Azure Monitor pour analyser de manière interactive les données de votre base de données de métriques et tracer les valeurs de plusieurs métriques au fil du temps. Avec Métriques, vous pouvez créer des graphiques à partir de valeurs de métriques et mettre en corrélation visuellement les tendances.

Alertes de journal

Pour indiquer des problèmes en temps réel, vous pouvez configurer des alertes pour les systèmes Azure Stack HCI à l’aide d’exemples de requêtes de journal préexistantes telles que le processeur moyen du serveur, la mémoire disponible, la capacité de volume disponible et bien plus encore. Pour en savoir plus, consultez Configurer des alertes pour les systèmes Azure Stack HCI.

Alertes de métrique

Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. Apprenez-en davantage sur la création d’alertes de métrique sur les alertes de métrique.

Alertes de service et d’appareil

Azure Stack HCI fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Les alertes basées sur les appareils pour les erreurs d’intégrité du cluster sont également disponibles. Vous pouvez également surveiller les clusters Azure Stack HCI et leurs composants sous-jacents à l’aide de PowerShell ou du service d’intégrité.

Configuration sécurisée

La fonctionnalité de configuration sécurisée décrite dans cette section peut vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.8 – Gestion des vulnérabilités techniques
• 8.9 – Gestion de la configuration

Sécurisé par défaut

Azure Stack HCI est configuré en toute sécurité par défaut avec des outils et technologies de sécurité qui se défendent contre les menaces modernes et s’alignent sur les bases de référence de la sécurité de calcul Azure. En savoir plus sur Gérer les paramètres de sécurité par défaut pour Azure Stack HCI.

Protection contre la dérive

La configuration de sécurité par défaut et les paramètres principaux sécurisés de la plateforme sont protégés pendant le déploiement et l’exécution avec la protection de contrôle de dérive. Lorsqu’elle est activée, la protection de contrôle de dérive actualise régulièrement les paramètres de sécurité toutes les 90 minutes pour vous assurer que les modifications de l’état spécifié sont corrigées. Cette surveillance continue et cette autorémédiation vous permettent d’avoir une configuration de sécurité cohérente et fiable tout au long du cycle de vie de l’appareil. Vous pouvez désactiver la protection de dérive pendant le déploiement lorsque vous configurez les paramètres de sécurité.

Base de référence de sécurité pour la charge de travail

Pour les charges de travail s’exécutant sur Azure Stack HCI, vous pouvez utiliser la base de référence du système d’exploitation recommandée par Azure (pour Windows et Linux) comme point de référence pour définir votre base de référence de configuration des ressources de calcul.

Mise à jour de plateforme

Tous les composants de la plateforme Azure Stack HCI, y compris le système d’exploitation, les principaux agents et services, et l’extension de solution, peuvent être gérés facilement avec le Gestionnaire de cycle de vie. Cette fonctionnalité vous permet de regrouper différents composants dans une version de mise à jour et de valider la combinaison de versions pour garantir l’interopérabilité. En savoir plus sur les mises à jour de la solution Lifecycle Manager pour Azure Stack HCI.

Mise à jour de la charge de travail

Pour les charges de travail s’exécutant sur la plateforme Azure Stack HCI, notamment Azure Kubernetes Service (AKS) hybride, Azure Arc et les machines virtuelles d’infrastructure qui ne sont pas intégrées au Gestionnaire de cycle de vie, suivez les méthodes expliquées dans Use Lifecycle Manager pour les mettre à jour .

Protection contre les menaces

Les fonctionnalités de protection contre les menaces de cette section peuvent vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.7 – Protection contre les programmes malveillants

Antivirus Windows Defender

L’antivirus Windows Defender est une application utilitaire qui permet d’appliquer l’analyse système en temps réel et l’analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, Antivirus Microsoft Defender est activé sur Azure Stack HCI. Microsoft recommande d’utiliser Antivirus Microsoft Defender avec Azure Stack HCI plutôt que les logiciels et services de détection de programmes malveillants tiers, car ils peuvent avoir un impact sur la capacité du système d’exploitation à recevoir des mises à jour. En savoir plus sur Antivirus Microsoft Defender sur Windows Server.

Contrôle d’application Windows Defender (WDAC)

Windows Defender Application Control (WDAC) est activé par défaut sur Azure Stack HCI pour contrôler quels pilotes et applications sont autorisés à s’exécuter directement sur chaque serveur, ce qui permet d’empêcher les programmes malveillants d’accéder aux systèmes. En savoir plus sur les stratégies de base incluses dans Azure Stack HCI et comment créer des stratégies supplémentaires sur Windows Defender Application Control pour Azure Stack HCI.

Microsoft Defender for Cloud

Microsoft Defender pour le cloud avec Endpoint Protection (activé via le plan Defender pour serveurs) fournit une solution de gestion de la sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. En savoir plus sur Microsoft Defender pour le cloud.

Sauvegarde et récupération

Les fonctionnalités de sauvegarde et de récupération décrites dans cette section peuvent vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.7 – Protection contre les programmes malveillants
• 8.13 – Sauvegarde des informations
• 8.14 – Redondance des informations

Cluster étendu

Azure Stack HCI offre une prise en charge intégrée de la récupération d’urgence des charges de travail virtualisées via le clustering étendu. En déployant un cluster Azure Stack HCI étendu, vous pouvez répliquer de manière synchrone ses charges de travail virtualisées entre deux emplacements locaux distincts et basculer automatiquement entre eux. Les basculements de site planifiés peuvent se produire sans temps d’arrêt à l’aide de la migration dynamique Hyper-V.

Nœuds de cluster Kubernetes

Si vous utilisez Azure Stack HCI pour héberger des déploiements basés sur des conteneurs, la plateforme vous aide à améliorer l’agilité et la résilience inhérentes aux déploiements Azure Kubernetes. Azure Stack HCI gère le basculement automatique des machines virtuelles servant de nœuds de cluster Kubernetes en cas de défaillance localisée des composants physiques sous-jacents. Cette configuration complète la haute disponibilité intégrée dans Kubernetes, qui permet de redémarrer automatiquement les conteneurs défaillants sur la même machine virtuelle ou sur une autre.

Azure Site Recovery

Ce service vous permet de répliquer des charges de travail s’exécutant sur vos machines virtuelles Azure Stack HCI locales vers le cloud afin que votre système d’information puisse être restauré en cas d’incident, d’échec ou de perte de support de stockage. Comme d’autres services cloud Azure, Azure Site Recovery a un long historique des certificats de sécurité, y compris HITRUST, que vous pouvez utiliser pour prendre en charge votre processus d’accréditation. Pour en savoir plus, consultez Protéger les charges de travail de machine virtuelle avec Azure Site Recovery sur Azure Stack HCI.

Serveur Sauvegarde Microsoft Azure (MABS)

Ce service vous permet de sauvegarder des machines virtuelles Azure Stack HCI, en spécifiant une fréquence et une période de rétention souhaitées. Vous pouvez utiliser MABS pour sauvegarder la plupart de vos ressources dans l’environnement, notamment :

• État système/récupération complète (BMR) de l’hôte Azure Stack HCI
• Machines virtuelles invitées dans un cluster disposant d’un stockage local ou directement attaché
• Machines virtuelles invitées sur un cluster Azure Stack HCI avec stockage CSV
• Déplacement d’une machine virtuelle dans un cluster

Pour en savoir plus, consultez Sauvegarder des machines virtuelles Azure Stack HCI avec Sauvegarde Azure Server.

Extensibilité et disponibilité

La fonctionnalité d’extensibilité et de disponibilité décrite dans cette section peut vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.6 – Gestion de la capacité
• 8.14 – Redondance des informations

Modèles hyperconvergés

Azure Stack HCI utilise des modèles hyperconvergés de espaces de stockage direct pour déployer des charges de travail. Ce modèle de déploiement vous permet de mettre à l’échelle facilement en ajoutant de nouveaux nœuds qui étendent automatiquement le calcul et le stockage en même temps avec aucun temps d’arrêt.

Clusters de basculement

Les clusters Azure Stack HCI sont des clusters de basculement. Si un serveur qui fait partie d’Azure Stack HCI subit une défaillance ou devient indisponible, un autre serveur du même cluster de basculement se charge de fournir les services offerts par le nœud défaillant. Vous créez un cluster de basculement en activant des espaces de stockage direct sur plusieurs serveurs exécutant Azure Stack HCI.