Liste de contrôle de la sécurité opérationnelle Azure

Le déploiement d’une application cloud sur Azure est rapide, simple et rentable. Avant de déployer une application, il est utile d’avoir une liste de vérification. Une liste de vérification peut vous aider à évaluer votre application par rapport à une liste d’actions de sécurité essentielles et recommandées.

Introduction

Azure propose une suite de services d’infrastructure que vous pouvez utiliser pour déployer vos applications. Azure Operational Security renvoie aux services, contrôles et fonctionnalités auxquels les utilisateurs ont accès pour protéger leurs données, leurs applications et d’autres ressources dans Microsoft Azure.

Pour tirer au maximum profit de la plateforme cloud, nous vous recommandons d’utiliser les services Azure et de suivre la liste de vérification. Les organisations qui investissent du temps et des ressources pour évaluer la préparation opérationnelle de leurs applications avant le lancement enregistrent des taux de satisfaction plus élevés que celles qui ne le font pas. Lors de cette opération, les listes de contrôle peuvent se révéler être un mécanisme précieux pour garantir que les applications sont évaluées de façon cohérente et globale.

Liste de contrôle

Cette liste de contrôle est conçue pour aider les entreprises à penser aux différents aspects à prendre en compte en matière de sécurité opérationnelle à mesure qu’elles déploient des applications professionnelles élaborées sur Azure. Elle peut également être utilisée pour vous aider à créer une stratégie de fonctionnement et de migration cloud sécurisée pour votre organisation.

Catégorie de la liste de contrôle	Description
Rôles de sécurité et contrôles d’accès	Utilisez la fonction de contrôle d’accès en fonction du rôle d’Azure (Azure RBAC) pour assigner des autorisations aux utilisateurs, groupes et à des applications dans une certaine étendue.
Stockage de protection des données	Utilisez la sécurité du plan de gestion pour sécuriser votre compte de stockage à l’aide de la fonction de contrôle d’accès en fonction du rôle d’Azure (Azure RBAC). Utilisez la sécurité du plan de données pour sécuriser l’accès à vos données à l’aide des signatures d’accès partagé (SAP) et des stratégies d’accès stockées. Utilisez le chiffrement au niveau du transport : utilisation du protocole HTTPS et du chiffrement de SMB (protocoles Server Message Block) 3.0 pour des partages de fichiers Azure. Utilisez le chiffrement côté client pour sécuriser les données que vous envoyez aux comptes de stockage lorsque vous avez besoin d’un contrôle exclusif des clés de chiffrement. Utilisez Storage Service Encryption (SSE) pour chiffrer automatiquement des données dans le stockage Azure, et Azure Disk Encryption for Linux VMset Azure Disk Encryption for Windows VMs pour chiffrer les fichiers de disque de machine virtuelle pour les disques de système d’exploitation et de données. Utilisez Azure Storage Analytics pour surveiller le type d’autorisation ; comme avec le stockage Blob, vous pouvez voir si les utilisateurs ont fait appel à une signature d’accès partagé ou aux clés de compte de stockage. Utilisez le partage de ressources cross-origin (CORS) pour accéder aux ressources de stockage à partir de différents domaines.
Stratégies et recommandations de sécurité	Utilisez Microsoft Defender pour le cloud pour déployer des solutions de point de terminaison. Ajoutez un pare-feu d’applications web (WAF) pour sécuriser les applications web. Utilisez Pare-feu Azure pour augmenter vos protections de sécurité. Appliquez les coordonnées de sécurité pour votre abonnement Azure. Le Centre de réponse aux problèmes de sécurité Microsoft (MSRC) vous contacte s'il découvre que les données de votre client ont été consultées par un pirate ou une personne non autorisée.
Gestion des identités et des accès	Synchronisez votre répertoire local avec votre répertoire cloud à l’aide de Microsoft Entra ID. Utilisez l’authentification unique pour permettre aux utilisateurs d’accéder à leurs applications SaaS avec leur compte professionnel dans Azure AD. Utilisez le Rapport d’activité de l’enregistrement de la réinitialisation de mot de passe pour surveiller l’inscription des utilisateurs. Activez l’authentification multifacteur (MFA) pour les utilisateurs. Les développeurs peuvent se servir des fonctionnalités d’identification sécurisée pour les applications comme Microsoft Security Development Lifecycle (SDL). Surveillez activement les activités suspectes à l’aide des rapports d’anomalies Microsoft Entra ID P1 ou P2 et de la fonction de protection des identités Microsoft Entra ID.
Surveillance continue de la sécurité	Utilisez Journaux Azure Monitor de la solution Antimalware Assessment pour vérifier l’état de la protection de votre infrastructure contre les programmes malveillants. Utilisez Update Management pour déterminer rapidement l’exposition globale aux problèmes de sécurité potentiels, savoir si ces mises à jour sont importantes pour votre environnement et, le cas échéant, à quel point. Le centre d’administration Microsoft Entra offre une visibilité sur l’intégrité et la sécurité de l’annuaire de votre organisation.
Fonctionnalités de détection de Microsoft Defender pour le cloud	Utilisez la gestion de la posture de sécurité cloud (CSPM) pour des conseils sur la sécurisation renforcée qui vous aideront à améliorer efficacement votre sécurité. Utilisez des alertes pour être averti lorsque des menaces sont identifiées dans votre environnement cloud, hybride ou local. Utilisez des stratégies de sécurité, des initiatives et des recommandations pour améliorer votre posture de sécurité.

Conclusion

De nombreuses organisations ont correctement déployé et utilisé leurs applications cloud sur Azure. Les listes de contrôle fournies mettent en évidence plusieurs check-lists essentielles et vous permettent d’accroître la probabilité de réussite des déploiements, ainsi que des opérations conviviales. Nous vous recommandons vivement de tenir compte de ces considérations opérationnelles et stratégiques pour vos déploiements d’applications, nouveaux et existants, sur Azure.

Étapes suivantes

Pour plus d’informations sur la sécurité dans Azure, consultez les articles suivants :

• Responsabilité partagée dans le cloud.
• Sécurité de bout en bout dans Azure.
• Protection contre les ransomwares dans Azure