Recommandations pour l’établissement d’une base de référence de sécurité
S’applique à la recommandation de liste de contrôle de sécurité Azure Well-Architected Framework :
| SE :01 | Établissez une base de référence de sécurité alignée sur les exigences de conformité, les normes du secteur et les recommandations de la plateforme. Mesurez régulièrement votre architecture et vos opérations de charge de travail par rapport à la base de référence pour maintenir ou améliorer votre posture de sécurité au fil du temps. |
|---|
Ce guide décrit les recommandations relatives à l’établissement d’une base de référence de sécurité. Une base de référence de sécurité est un document qui spécifie les exigences et les attentes de sécurité minimales de votre organization dans un éventail de domaines. Une bonne base de référence de sécurité vous aide à :
- Sécurisez vos données et vos systèmes.
- Se conformer aux exigences réglementaires.
- Réduire les risques de surveillance.
- Réduire la probabilité de violations et d’effets commerciaux ultérieurs.
Les bases de référence de sécurité doivent être publiées à grande échelle tout au long de votre organization afin que toutes les parties prenantes soient conscientes des attentes.
Ce guide fournit des recommandations sur la définition d’une base de référence de sécurité basée sur des facteurs internes et externes. Les facteurs internes incluent les exigences métier, les risques et l’évaluation des ressources. Les facteurs externes incluent les points de référence de l’industrie et les normes réglementaires.
Définitions
| Terme | Définition |
|---|---|
| Ligne de base | Niveau minimal d’affordances de sécurité qu’une charge de travail doit avoir pour éviter d’être exploitée. |
| Référence | Norme qui indique la posture de sécurité à laquelle aspire le organization. Il est évalué, mesuré et amélioré au fil du temps. |
| Commandes | Contrôles techniques ou opérationnels sur la charge de travail qui aident à prévenir les attaques et à augmenter les coûts des attaquants. |
| Exigences réglementaires | Un ensemble d’exigences commerciales, pilotées par les normes de l’industrie, que les lois et les autorités imposent. |
Stratégies de conception
Une base de référence de sécurité est un document structuré qui définit un ensemble de critères de sécurité et de fonctionnalités que la charge de travail doit remplir pour renforcer la sécurité. Sous une forme plus mature, vous pouvez étendre une base de référence pour inclure un ensemble de stratégies que vous utilisez pour définir des garde-fous.
La base de référence doit être considérée comme la norme pour mesurer votre posture de sécurité. L’objectif doit toujours être pleinement atteint tout en conservant une large portée.
Votre base de référence de sécurité ne doit jamais être un effort ad hoc. Les normes du secteur, les exigences de conformité (internes ou externes) ou réglementaires, les exigences régionales et les benchmarks de la plateforme cloud sont main moteurs de la base de référence. Parmi les exemples, citons les contrôles center for Internet Security (CIS), le National Institute of Standards and Technology (NIST) et les normes pilotées par la plateforme, telles que microsoft cloud security benchmark (MCSB). Toutes ces normes sont considérées comme un point de départ pour votre base de référence. Créez la base en incorporant les exigences de sécurité des exigences métier.
Pour obtenir des liens vers les ressources précédentes, consultez Liens associés.
Créez la base de référence en obtenant un consensus parmi les responsables commerciaux et techniques. La base de référence ne doit pas être limitée aux contrôles techniques. Il devrait également inclure les aspects opérationnels de la gestion et du maintien de la posture de sécurité. Par conséquent, le document de référence sert également d’engagement du organization à investir dans la sécurité des charges de travail. Le document de base de référence de sécurité doit être largement distribué au sein de votre organization pour vous assurer qu’il y a une prise de conscience de la posture de sécurité de la charge de travail.
À mesure que la charge de travail augmente et que l’écosystème évolue, il est essentiel de maintenir votre base de référence synchronisée avec les modifications pour vous assurer que les contrôles fondamentaux sont toujours efficaces.
La création d’une base de référence est un processus méthodique. Voici quelques recommandations concernant le processus :
Inventaire des ressources. Identifiez les parties prenantes des ressources de charge de travail et les objectifs de sécurité de ces ressources. Dans l’inventaire des ressources, classifiez par exigences de sécurité et par criticité. Pour plus d’informations sur les ressources de données, consultez Recommandations sur la classification des données.
Évaluation des risques. Identifier les risques potentiels associés à chaque ressource et les hiérarchiser.
Exigences de conformité. Basez toute réglementation ou conformité pour ces ressources et appliquez les meilleures pratiques du secteur.
Normes de configuration. Définissez et documentez des configurations et des paramètres de sécurité spécifiques pour chaque ressource. Si possible, modélisez ou trouvez un moyen reproductible et automatisé d’appliquer les paramètres de manière cohérente dans l’environnement.
Contrôle d’accès et authentification. Spécifiez les exigences du contrôle d’accès en fonction du rôle (RBAC) et de l’authentification multifacteur (MFA). Documentez ce que signifie juste assez d’accès au niveau de la ressource. Commencez toujours par le principe des privilèges minimum.
Gestion des correctifs. Appliquez les dernières versions sur tous les types de ressources pour renforcer les attaques.
Documentation et communication. Documentez toutes les configurations, stratégies et procédures. Communiquez les détails aux parties prenantes concernées.
Application et responsabilité. Établissez des mécanismes d’application clairs et les conséquences en cas de non-conformité avec la base de référence de sécurité. Tenir les individus et les équipes responsables du maintien des normes de sécurité.
Surveillance continue. Évaluez l’efficacité de la base de référence de sécurité par le biais de l’observabilité et apportez des améliorations au fil du temps.
Composition d’une base de référence
Voici quelques catégories courantes qui doivent faire partie d’une base de référence. La liste suivante n’est pas exhaustive. Il s’agit d’une vue d’ensemble de l’étendue du document.
Conformité aux normes
Une charge de travail peut être soumise à la conformité réglementaire pour des segments de secteur spécifiques, il peut y avoir des restrictions géographiques, etc. Il est essentiel de comprendre les exigences fournies dans les spécifications réglementaires, car elles influencent les choix de conception et, dans certains cas, doivent être incluses dans l’architecture.
La base de référence doit inclure une évaluation régulière de la charge de travail par rapport aux exigences réglementaires. Tirez parti des outils fournis par la plateforme, tels que Microsoft Defender pour le cloud, qui peuvent identifier les zones de non-conformité. Collaborez avec l’équipe de conformité du organization pour vous assurer que toutes les exigences sont remplies et maintenues.
Composants de l’architecture
La base de référence a besoin de recommandations normatives pour les composants main de la charge de travail. Ceux-ci incluent généralement des contrôles techniques pour la mise en réseau, l’identité, le calcul et les données. Référencez les bases de référence de sécurité fournies par la plateforme et ajoutez les contrôles manquants à l’architecture.
Reportez-vous à l’exemple.
Processus de développement
La base de référence doit avoir des recommandations concernant :
- Classification système.
- Ensemble approuvé de types de ressources.
- Suivi des ressources.
- Application de stratégies pour l’utilisation ou la configuration des ressources.
L’équipe de développement doit avoir une compréhension claire de l’étendue des vérifications de sécurité. Par exemple, la modélisation des menaces est requise pour s’assurer que les menaces potentielles sont identifiées dans le code et dans les pipelines de déploiement. Soyez précis sur les vérifications statiques et l’analyse des vulnérabilités dans votre pipeline, ainsi que sur la fréquence à laquelle l’équipe doit effectuer ces analyses.
Pour plus d’informations, consultez Recommandations relatives à l’analyse des menaces.
Le processus de développement doit également établir des normes sur les différentes méthodologies de test et leur cadence. Pour plus d’informations, consultez Recommandations sur les tests de sécurité.
Operations
La base de référence doit définir des normes sur l’utilisation des fonctionnalités de détection des menaces et le déclenchement d’alertes sur des activités anormales qui indiquent des incidents réels. La détection des menaces doit inclure toutes les couches de la charge de travail, y compris tous les points de terminaison accessibles à partir de réseaux hostiles.
La base de référence doit inclure des recommandations pour la configuration des processus de réponse aux incidents, notamment la communication et un plan de récupération, et les processus qui peuvent être automatisés pour accélérer la détection et l’analyse. Pour obtenir des exemples, consultez Vue d’ensemble des bases de référence de sécurité pour Azure.
La réponse aux incidents doit également inclure un plan de récupération et les exigences de ce plan, telles que les ressources permettant d’effectuer et de protéger régulièrement les sauvegardes.
Vous développez des plans de violation de données en utilisant les normes et recommandations du secteur fournies par la plateforme. L’équipe dispose ensuite d’un plan complet à suivre lorsqu’une violation est découverte. En outre, case activée avec votre organization pour voir s’il existe une couverture par le biais de la cyber-assurance.
Entrainement
Développez et gérez un programme de formation à la sécurité pour vous assurer que l’équipe de charge de travail dispose des compétences appropriées pour répondre aux exigences et aux objectifs de sécurité. L’équipe a besoin d’une formation fondamentale en matière de sécurité, mais utilisez ce que vous pouvez de votre organization pour prendre en charge des rôles spécialisés. La conformité à la formation en fonction du rôle et la participation à des exercices font partie de votre base de référence de sécurité.
Utiliser la base de référence
Utilisez la base de référence pour piloter des initiatives telles que :
Préparation aux décisions de conception. Créez la base de référence de sécurité et publiez-la avant de commencer le processus de conception de l’architecture. Assurez-vous que les membres de l’équipe sont pleinement conscients des attentes de votre organization tôt, ce qui évite les remaniements coûteux causés par un manque de clarté. Vous pouvez utiliser des critères de base comme exigences de charge de travail que le organization a validées, et concevoir et valider des contrôles par rapport à ces contraintes.
Mesurez votre conception. Classez les décisions actuelles par rapport à la base de référence actuelle. La base de référence définit les seuils réels pour les critères. Documenter les écarts qui sont différés ou jugés acceptables à long terme.
Améliorer les performances. Bien que la base de référence définisse des objectifs réalisables, il y a toujours des lacunes. Hiérarchiser les lacunes dans votre backlog et corriger en fonction de la hiérarchisation.
Suivez votre progression par rapport à la ligne de base. La surveillance continue des mesures de sécurité par rapport à une base de référence définie est essentielle. L’analyse des tendances est un bon moyen d’examiner la progression de la sécurité au fil du temps et peut révéler des écarts cohérents par rapport à la base de référence. Utilisez l’automatisation autant que possible, en extrayant les données de différentes sources, internes et externes, pour résoudre les problèmes actuels et préparer les menaces futures.
Définir des garde-fous. Lorsque cela est possible, vos critères de base doivent comporter des garde-fous. Les garde-fous appliquent les configurations, technologies et opérations de sécurité requises, en fonction de facteurs internes et externes. Les facteurs internes incluent les exigences métier, les risques et l’évaluation des actifs. Les facteurs externes incluent les points de référence, les normes réglementaires et l’environnement de menace. Les garde-fous permettent de réduire le risque de surveillance par inadvertance et d’amendes punitives en cas de non-conformité.
Explorez Azure Policy d’options personnalisées ou utilisez des initiatives intégrées telles que des benchmarks CIS ou Azure Security Benchmark pour appliquer les configurations de sécurité et les exigences de conformité. Envisagez de créer des stratégies et des initiatives Azure à partir de bases de référence.
Évaluer régulièrement la base de référence
Améliorez continuellement les normes de sécurité de façon incrémentielle vers l’état idéal pour garantir une réduction continue des risques. Effectuer des examens périodiques pour s’assurer que le système est à jour et conforme aux influences externes. Toute modification apportée à la base de référence doit être formelle, acceptée et envoyée par le biais de processus de gestion des modifications appropriés.
Mesurez le système par rapport à la nouvelle ligne de base et hiérarchisez les corrections en fonction de leur pertinence et de leur effet sur la charge de travail.
Assurez-vous que la posture de sécurité ne se dégrade pas au fil du temps en instaurant l’audit et la surveillance de la conformité aux normes de l’organisation.
Animation Azure
Microsoft Cloud Security Benchmark (MCSB) est une infrastructure complète des meilleures pratiques de sécurité que vous pouvez utiliser comme point de départ pour votre base de référence de sécurité. Utilisez-le avec d’autres ressources qui fournissent une entrée à votre base de référence.
Pour plus d’informations, consultez Présentation du benchmark de sécurité cloud Microsoft.
Utilisez le tableau de bord de conformité réglementaire Microsoft Defender pour le cloud (MDC) pour suivre ces bases de référence et être averti si un modèle en dehors d’une base de référence est détecté. Pour plus d’informations, consultez Personnaliser l’ensemble de normes dans votre tableau de bord de conformité réglementaire.
Autres fonctionnalités qui permettent d’établir et d’améliorer la base de référence :
Exemple
Ce diagramme logique montre un exemple de base de référence de sécurité pour les composants architecturaux qui englobent le réseau, l’infrastructure, le point de terminaison, l’application, les données et l’identité afin de montrer comment un environnement informatique commun peut être protégé de manière sécurisée. D’autres guides de recommandation s’appuient sur cet exemple.
Infrastructure
Un environnement informatique commun, avec une couche locale avec des ressources de base.
Services de sécurité Azure
Services et fonctionnalités de sécurité Azure selon les types de ressources qu’ils protègent.
Services de surveillance de la sécurité Azure
Les services de supervision disponibles sur Azure vont au-delà des services de supervision simples, y compris les solutions SIEM (Security Information Event Management) et SOAR (Security Orchestration Automated Response) et Microsoft Defender pour le cloud.
Menaces
Cette couche apporte une recommandation et un rappel que les menaces peuvent être mappées en fonction des préoccupations de votre organization concernant les menaces, quelle que soit la méthodologie ou la matrice d’attaque mitre ou la chaîne cyber-kill.
Alignement organisationnel
Cloud Adoption Framework fournit des conseils aux équipes centrales sur l’établissement d’une base de référence avec un modèle suggéré :
Liens connexes
Liens de la communauté
Liste de contrôle de sécurité
Reportez-vous à l’ensemble complet de recommandations.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour