Base de référence de sécurité Azure pour Azure Sphere
Article
Cette base de référence de sécurité applique les instructions du benchmark de sécurité cloud Microsoft version 1.0 à Azure Sphere. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Azure Sphere.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles de référence de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
IM-1 : utiliser le système centralisé d’identité et d’authentification
Fonctionnalités
Azure AD Authentication requis pour l’accès au plan de données
Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
IM-3 : gérer les identités d’application de façon sécurisée et automatique
Fonctionnalités
Identités managées
Description : les actions de plan de données prennent en charge l’authentification à l’aide d’identités managées.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Principaux de service
Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
IM-8 : restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-7 : utiliser un processus de gestion des certificats sécurisé
Fonctionnalités
Gestion des certificats dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Remarques sur les fonctionnalités : Le journal des ressources n’est pas pris en charge dans Azure Sphere. Toutefois, des journaux de diagnostic sont disponibles au niveau de l’appareil. Reportez-vous à Gérer les fichiers journaux.
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Démontrez les compétences nécessaires afin de mettre en œuvre des contrôles de sécurité, de maintenir la posture de sécurité d’une organisation, et d’identifier et de remédier aux vulnérabilités en matière de sécurité.