Base de référence de sécurité Azure pour Azure Network Function Manager
Article
Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Azure Network Function Manager. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Azure Network Function Manager.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Le profil de sécurité résume les comportements à fort impact d’Azure Network Function Manager, ce qui peut entraîner des considérations de sécurité accrues.
Attribut de comportement du service
Valeur
Catégorie de produit
DevOps, hybride/multicloud, mise en réseau
Le client peut accéder à HOST/OS
Aucun accès
Le service peut être déployé dans le réseau virtuel du client
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Azure Private Link
Description : Fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (à ne pas confondre avec le groupe de sécurité réseau ou Pare-feu Azure).
Plus d’informations
Pris en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-1 : Découvrir, classer et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description : Les outils (comme Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Protection contre les fuites/pertes de données
Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client).
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données.
Plus d’informations
Pris en charge
Activé par défaut
Responsabilité de la configuration
True
True
Microsoft
Remarques sur les fonctionnalités : Azure Network Function Manager a imposé l’implémentation du protocole TLS (Transport Layer Security) version 1.2 sur tout le trafic réseau, garantissant ainsi le chiffrement des données en transit.
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge, tout contenu client au repos est chiffré avec ces clés gérées par Microsoft.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
True
Microsoft
Remarques sur les fonctionnalités : Dans Azure Network Function Manager, les données sont sécurisées par défaut via le chiffrement avec une clé managée de plateforme (PMK).
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : Il est probablement possible de créer à nouveau des stratégies des ressources et des propriétés ANFM Microsoft.Hybridnetworking, mais elle n’est pas testée ni documentée sur Learn.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-1 : activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics.
Plus d’informations
Pris en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
BR-1 : Garantir des sauvegardes automatiques régulières
Fonctionnalités
Sauvegarde Azure
Description : le service peut être sauvegardé par le service Sauvegarde Azure.
Plus d’informations
Pris en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Remarques sur les fonctionnalités : Les clients qui utilisent Azure Network Function Manager ne peuvent pas utiliser Sauvegarde Azure pour la protection de leurs données. Toutefois, des sauvegardes périodiques doivent être configurées pour les appareils Azure Stack Edge sur lesquels les fonctions réseau sont déployées. Pour plus d’informations, consultez la page Benchmark de sécurité Azure pour Azure Stack Edge.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Fonctionnalité de sauvegarde native du service
Description : le service prend en charge sa propre fonctionnalité de sauvegarde native (s’il n’utilise pas Sauvegarde Azure).
Plus d’informations
Pris en charge
Activé par défaut
Responsabilité de la configuration
Faux
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Démontrez les compétences nécessaires afin de mettre en œuvre des contrôles de sécurité, de maintenir la posture de sécurité d’une organisation, et d’identifier et de remédier aux vulnérabilités en matière de sécurité.