Recommandations relatives à l’établissement d’une base de référence de sécurité
S’applique à la recommandation de la liste de contrôle de sécurité d’Azure Well-Architected Framework :
SE :01 | Établissez une base de référence de sécurité alignée sur les exigences de conformité, les normes du secteur et les recommandations de plateforme. Mesurez régulièrement l’architecture et les opérations de votre charge de travail par rapport à la ligne de base pour maintenir ou améliorer votre posture de sécurité au fil du temps. |
---|
Ce guide décrit les recommandations relatives à l’établissement d’une base de référence de sécurité. Une base de référence de sécurité est un document qui spécifie les exigences de sécurité minimales et les attentes de votre organisation dans différentes zones. Une bonne base de référence de sécurité vous aide à :
- Sécurisez vos données et vos systèmes.
- Respecter les exigences réglementaires.
- Réduisez les risques de surveillance.
- Réduisez la probabilité de violations et d’effets commerciaux suivants.
Les bases de référence de sécurité doivent être publiées largement au sein de votre organisation afin que toutes les parties prenantes soient conscientes des attentes.
Ce guide fournit des recommandations sur la définition d’une base de référence de sécurité basée sur des facteurs internes et externes. Les facteurs internes incluent les exigences métier, les risques et l’évaluation des ressources. Les facteurs externes incluent les benchmarks du secteur et les normes réglementaires.
Définitions
Terme | Définition |
---|---|
Ligne de base | Niveau minimal d’affordances de sécurité qu’une charge de travail doit avoir pour éviter d’être exploitée. |
Référence | Norme qui signifie la posture de sécurité à laquelle l’organisation aspire. Elle est évaluée, mesurée et améliorée au fil du temps. |
Contrôles | Contrôles techniques ou opérationnels sur la charge de travail qui aident à prévenir les attaques et à augmenter les coûts des attaquants. |
Exigences réglementaires | Un ensemble d’exigences commerciales, pilotées par les normes du secteur, que les lois et les autorités imposent. |
Stratégies de conception
Une base de référence de sécurité est un document structuré qui définit un ensemble de critères de sécurité et de fonctionnalités que la charge de travail doit remplir pour augmenter la sécurité. Dans une forme plus mature, vous pouvez étendre une ligne de base pour inclure un ensemble de stratégies que vous utilisez pour définir des garde-fous.
La base de référence doit être considérée comme la norme pour mesurer votre posture de sécurité. L’objectif doit toujours être complet tout en conservant une large portée.
Votre base de référence de sécurité ne doit jamais être un effort ad hoc. Les normes du secteur, la conformité (interne ou externe) ou les exigences réglementaires, les exigences régionales et les benchmarks de plateforme cloud sont les principaux moteurs de la base de référence. Parmi les exemples, citons Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) et les normes pilotées par la plateforme, telles que microsoft cloud security benchmark (MCSB). Toutes ces normes sont considérées comme un point de départ pour votre base de référence. Créez la base en incorporant les exigences de sécurité à partir des exigences métier.
Pour obtenir des liens vers les ressources précédentes, consultez liens connexes.
Créez la base de référence en obtenant un consensus entre les dirigeants métier et techniques. La base de référence ne doit pas être limitée aux contrôles techniques. Il doit également inclure les aspects opérationnels de la gestion et de la maintenance de la posture de sécurité. Ainsi, le document de base sert également d’engagement de l’organisation à investir dans la sécurité des charges de travail. Le document de base de référence de sécurité doit être distribué largement au sein de votre organisation pour vous assurer qu’il existe une connaissance de la posture de sécurité de la charge de travail.
À mesure que la charge de travail augmente et que l’écosystème évolue, il est essentiel de maintenir votre base de référence synchronisée avec les modifications pour vous assurer que les contrôles fondamentaux sont toujours efficaces.
La création d’une ligne de base est un processus méthode. Voici quelques recommandations sur le processus :
Inventaire des biens. Identifiez les parties prenantes des ressources de charge de travail et les objectifs de sécurité de ces ressources. Dans l’inventaire des ressources, classifiez les exigences de sécurité et la criticité. Pour plus d’informations sur les ressources de données, consultez Recommandations sur la classification des données.
Évaluation des risques. Identifier les risques potentiels associés à chaque ressource et les hiérarchiser.
Exigences de conformité. Référencez toute réglementation ou conformité pour ces ressources et appliquez les meilleures pratiques du secteur.
Normes de configuration. Définissez et documentez des configurations et des paramètres de sécurité spécifiques pour chaque ressource. Si possible, templatez ou trouvez une méthode automatisée reproductible pour appliquer les paramètres de manière cohérente dans l’environnement.
Contrôle d’accès et authentification. Spécifiez les exigences du contrôle d’accès en fonction du rôle (RBAC) et de l’authentification multifacteur (MFA). Documentez ce que signifie un accès suffisant au niveau de la ressource. Commencez toujours par le principe des privilèges minimum.
Gestion des correctifs. Appliquez les dernières versions sur tous les types de ressources pour renforcer contre les attaques.
Documentation et communication. Documentez toutes les configurations, stratégies et procédures. Communiquez les détails aux parties prenantes concernées.
Application et responsabilité. Établissez des mécanismes d’application clairs et des conséquences pour la non-conformité avec la base de référence de sécurité. Tenez les individus et les équipes responsables de la maintenance des normes de sécurité.
Surveillance continue. Évaluez l’efficacité de la base de référence de sécurité par le biais de l’observabilité et apportez des améliorations supplémentaires.
Définir la base de référence
Voici quelques catégories courantes qui doivent faire partie d’une ligne de base. La liste suivante n’est pas exhaustive. Elle est destinée à une vue d’ensemble de l’étendue du document.
Conformité réglementaire
Une charge de travail peut être soumise à une conformité réglementaire pour des segments de secteur spécifiques, il peut y avoir des restrictions géographiques, et ainsi de suite. Il est essentiel de comprendre les exigences comme indiqué dans les spécifications réglementaires, car elles influencent les choix de conception et, dans certains cas, doivent être incluses dans l’architecture.
La base de référence doit inclure une évaluation régulière de la charge de travail par rapport aux exigences réglementaires. Tirez parti des outils fournis par la plateforme, tels que Microsoft Defender pour le cloud, qui peuvent identifier les zones de non-conformité. Collaborez avec l’équipe de conformité de l’organisation pour vous assurer que toutes les exigences sont remplies et gérées.
Composants de l’architecture
La base de référence a besoin de recommandations prescriptives pour les principaux composants de la charge de travail. Elles incluent généralement des contrôles techniques pour la mise en réseau, l’identité, le calcul et les données. Référencez les bases de référence de sécurité fournies par la plateforme et ajoutez les contrôles manquants à l’architecture.
Processus de développement
La base de référence doit avoir des recommandations sur les points suivants :
- Classification du système.
- Ensemble approuvé de types de ressources.
- Suivi des ressources.
- Application de stratégies pour l’utilisation ou la configuration des ressources.
L’équipe de développement doit avoir une compréhension claire de l’étendue des vérifications de sécurité. Par exemple, la modélisation des menaces est une exigence pour s’assurer que les menaces potentielles sont identifiées dans le code et dans les pipelines de déploiement. Soyez spécifique aux vérifications statiques et à l’analyse des vulnérabilités dans votre pipeline et à la fréquence à laquelle l’équipe doit effectuer ces analyses.
Pour plus d’informations, consultez Recommandations sur l’analyse des menaces.
Le processus de développement doit également définir des normes sur différentes méthodologies de test et leur cadence. Pour plus d’informations, consultez Recommandations sur les tests de sécurité.
Opérations
La base de référence doit définir des normes sur l’utilisation des fonctionnalités de détection des menaces et déclencher des alertes sur des activités anormales qui indiquent des incidents réels. La détection des menaces doit inclure toutes les couches de la charge de travail, y compris tous les points de terminaison accessibles à partir de réseaux hostiles.
La base de référence doit inclure des recommandations pour la configuration des processus de réponse aux incidents, notamment la communication et un plan de récupération, et celles-ci peuvent être automatisées pour accélérer la détection et l’analyse. Pour obtenir des exemples, consultez La vue d’ensemble des bases de référence de sécurité pour Azure.
La réponse aux incidents doit également inclure un plan de récupération et les exigences de ce plan, telles que les ressources pour la prise et la protection régulières des sauvegardes.
Vous développez des plans de violation de données à l’aide des normes et recommandations du secteur fournies par la plateforme. L’équipe dispose ensuite d’un plan complet à suivre lorsqu’une violation est détectée. Vérifiez également auprès de votre organisation s’il existe une couverture par le biais de cyberinsurance.
Formation
Développez et maintenez un programme de formation de sécurité pour vous assurer que l’équipe de charge de travail dispose des compétences appropriées pour prendre en charge les objectifs et les exigences de sécurité. L’équipe a besoin d’une formation de sécurité fondamentale, mais utilisez ce que votre organisation peut vous fournir pour prendre en charge des rôles spécialisés. La conformité de la formation en matière de sécurité basée sur les rôles et la participation aux exercices font partie de votre base de référence de sécurité.
Appliquer la base de référence
Utilisez la base de référence pour stimuler des initiatives, telles que :
Préparation aux décisions de conception. Créez la base de référence de sécurité et publiez-la avant de commencer le processus de conception d’architecture. Assurez-vous que les membres de l’équipe sont pleinement conscients des attentes de votre organisation dès le début, ce qui évite les travaux coûteux causés par un manque de clarté. Vous pouvez utiliser des critères de référence comme exigences de charge de travail que l’organisation s’est engagée à effectuer et à concevoir et valider des contrôles sur ces contraintes.
Mesurez votre conception. Classez les décisions actuelles par rapport à la base de référence actuelle. La base de référence définit les seuils réels pour les critères. Documentez les écarts qui sont différés ou jugés acceptables à long terme.
Améliorer les performances. Même si la base de référence définit des objectifs pouvant être atteints, il existe toujours des lacunes. Hiérarchiser les lacunes dans votre backlog et corriger en fonction de la hiérarchisation.
Suivez votre progression par rapport à la ligne de base. La surveillance continue des mesures de sécurité par rapport à une base de référence définie est essentielle. L’analyse des tendances est un bon moyen d’examiner la progression de la sécurité au fil du temps et peut révéler des écarts cohérents par rapport à la base de référence. Utilisez l’automatisation autant que possible, en extrayant les données de différentes sources, internes et externes, pour résoudre les problèmes actuels et préparer les menaces futures.
Définir des garde-fous. Si possible, vos critères de base doivent avoir des garde-fous. Les garde-fous appliquent les configurations de sécurité requises, les technologies et les opérations, en fonction de facteurs internes et externes. Les facteurs internes incluent les exigences métier, les risques et l’évaluation des ressources. Les facteurs externes incluent des benchmarks, des normes réglementaires et un environnement de menace. Les garde-fous contribuent à réduire le risque de surveillance accidentelle et d’amendes punitives en cas de non-conformité.
Explorez Azure Policy pour des options personnalisées ou utilisez des initiatives intégrées telles que des benchmarks CIS ou azure Security Benchmark pour appliquer les configurations de sécurité et les exigences de conformité. Envisagez de créer des stratégies et des initiatives Azure hors des bases de référence.
Évaluer régulièrement la base de référence
Améliorez en permanence les normes de sécurité de manière incrémentielle vers l’état idéal pour garantir une réduction continue des risques. Effectuez des examens périodiques pour vous assurer que le système est à jour et conforme aux influences externes. Toute modification apportée à la base de référence doit être formelle, acceptée et envoyée par le biais de processus de gestion des changements appropriés.
Mesurez le système par rapport à la nouvelle ligne de base et hiérarchiser les corrections en fonction de leur pertinence et de leur effet sur la charge de travail.
Assurez-vous que la posture de sécurité ne se dégrade pas au fil du temps en mettant en place l’audit et la surveillance de la conformité aux normes organisationnelles.
Facilitation Azure
Le benchmark de sécurité cloud Microsoft (MCSB) est une infrastructure complète de bonnes pratiques de sécurité que vous pouvez utiliser comme point de départ pour votre base de référence de sécurité. Utilisez-la avec d’autres ressources qui fournissent une entrée à votre base de référence.
Pour plus d’informations, consultez Présentation du benchmark de sécurité cloud Microsoft.
Utilisez le tableau de bord de conformité réglementaire Microsoft Defender pour le cloud (MDC) pour suivre ces bases de référence et être alerté si un modèle en dehors d’une base de référence est détecté. Pour plus d’informations, consultez le tableau de bord Personnaliser l’ensemble de normes dans votre tableau de bord de conformité réglementaire.
Autres fonctionnalités qui aident à établir et à améliorer la base de référence :
Exemple
Ce diagramme logique montre un exemple de base de sécurité pour les composants architecturaux qui englobent le réseau, l’infrastructure, le point de terminaison, l’application, les données et l’identité afin de montrer comment un environnement informatique commun peut être protégé en toute sécurité. D’autres guides de recommandation s’appuient sur cet exemple.
Infrastructure
Environnement informatique courant, avec une couche locale avec des ressources de base.
Services de sécurité Azure
Services et fonctionnalités de sécurité Azure par les types de ressources qu’ils protègent.
Services de surveillance de la sécurité Azure
Les services de surveillance disponibles sur Azure qui vont au-delà des services de surveillance simples, notamment la gestion des événements d’information de sécurité (SIEM) et les solutions de réponse automatisée de l’orchestration de la sécurité (SOAR) et Microsoft Defender pour le cloud.
Threats
Cette couche apporte une recommandation et rappelle que les menaces peuvent être mappées en fonction des préoccupations de votre organisation en ce qui concerne les menaces, quelle que soit la méthodologie ou la matrice de la matrice mitre attack matrix ou cyber kill chain.
Liens connexes
Vue d'ensemble des bases de référence de sécurité pour Azure
Qu’est-ce que la réponse aux incidents ? Planifier et étapes
Liens de la communauté
Liste de contrôle de sécurité
Reportez-vous à l’ensemble complet de recommandations.