Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette base de référence de sécurité applique les instructions du benchmark de sécurité cloud Microsoft version 1.0 au HSM dédié Azure. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables au HSM dédié Azure.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles de référence de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Notes
Les fonctionnalités non applicables au HSM dédié Azure ont été exclues. Pour voir comment Azure Dedicated HSM est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier complet de mappage de la base de référence de la sécurité HSM dédié Azure.
Profil de sécurité
Le profil de sécurité résume les comportements à impact élevé du HSM dédié Azure, qui peuvent entraîner des considérations de sécurité accrues.
| Attribut de comportement du service | Valeur |
|---|---|
| Catégorie de produit | Sécurité |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | Vrai |
| Stocke le contenu client au repos | Vrai |
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité réseau.
NS-1 : Établir des limites de segmentation réseau
Fonctionnalités
Intégration du réseau virtuel
Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Vrai | Microsoft |
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Référence : Déploiement de HSM dans un réseau virtuel existant à l’aide d’Azure CLI
Prise en charge des groupes de sécurité réseau
Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Remarques sur les fonctionnalités : Bien qu’Azure Dedicated HSM ne prend pas en charge cette fonctionnalité, d’autres restrictions réseau sont disponibles. Pour plus d’informations, consultez Restrictions de mise en réseau.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Azure Private Link
Description : Fonctionnalité de filtrage IP native de service pour filtrer le trafic réseau (à ne pas confondre avec NSG ou Pare-feu Azure). Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Désactiver l’accès public au réseau
Description : Le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage ACL IP de niveau de service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ». Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-1 : utiliser le système centralisé d’identité et d’authentification
Fonctionnalités
Azure AD Authentication requis pour l’accès au plan de données
Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Notes de fonctionnalité : Consultez la documentation Thales pour plus d’informations sur cette fonctionnalité : DHSM Docs ; Thales Docs
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Méthodes d’authentification locales pour l’accès au plan de données
Description : méthodes d’authentification locale prises en charge pour l’accès au plan de données, telles qu’un nom d’utilisateur et un mot de passe locaux. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | False | Customer |
Remarques de fonctionnalité : Évitez l’utilisation de méthodes ou de comptes d’authentification locaux. Ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier si possible.
Conseils de configuration : Il n’existe aucune aide Microsoft actuelle pour cette configuration de fonctionnalité. Vérifiez et déterminez si votre organization souhaite configurer cette fonctionnalité de sécurité.
Référence : Authentification
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès privilégié.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
Fonctionnalités
Comptes Administration locaux
Description : Le service a le concept d’un compte d’administration local. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Vrai | Microsoft |
Remarques de fonctionnalité : Le HSM dédié Azure est un HSM pour les services de location. Vous trouverez toute la documentation relative à l’installation et à la configuration dans la documentation du fournisseur Thales.
Pour plus d’informations, consultez Vue d’ensemble du produit Thales - Authentification par mot de passe Éviter l’utilisation de méthodes ou de comptes d’authentification locaux, ceux-ci doivent être désactivés dans la mesure du possible. Utilisez plutôt Azure AD pour vous authentifier si possible.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| True | Vrai | Microsoft |
Notes de fonctionnalité : Consultez la documentation du fournisseur Thales concernant l’utilisation du canal de transport sécurisé.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de la sécurité Azure