Base de référence de sécurité Azure pour Azure Sphere

Cette base de référence de sécurité applique les instructions du benchmark de sécurité cloud Microsoft version 1.0 à Azure Sphere. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Azure Sphere.

Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.

Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles de référence de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les fonctionnalités non applicables à Azure Sphere ont été exclues. Pour voir comment Azure Sphere est entièrement mappé au benchmark de sécurité cloud Microsoft, consultez le fichier de mappage complet de la base de référence de sécurité Azure Sphere.

Profil de sécurité

Le profil de sécurité résume les comportements à impact élevé d’Azure Sphere, qui peuvent entraîner des considérations de sécurité accrues.

Attribut de comportement du service Valeur
Catégorie de produit IoT, Sécurité
Le client peut accéder à HOST/OS Aucun accès
Le service peut être déployé dans le réseau virtuel du client False
Stocke le contenu client au repos False

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.

IM-1 : utiliser le système centralisé d’identité et d’authentification

Fonctionnalités

Azure AD Authentication requis pour l’accès au plan de données

Description : Le service prend en charge l’utilisation de l’authentification Azure AD pour l’accès au plan de données. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

IM-3 : gérer les identités d’application de façon sécurisée et automatique

Fonctionnalités

Identités managées

Description : les actions de plan de données prennent en charge l’authentification à l’aide d’identités managées. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Principaux de service

Description : Le plan de données prend en charge l’authentification à l’aide de principaux de service. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

IM-8 : restreindre l’exposition des informations d’identification et des secrets

Fonctionnalités

Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault

Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Protection des données

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.

DP-4 : activer le chiffrement des données au repos par défaut

Fonctionnalités

Chiffrement des données au repos à l’aide de clés de plateforme

Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

DP-7 : utiliser un processus de gestion des certificats sécurisé

Fonctionnalités

Gestion des certificats dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour tous les certificats clients. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : journalisation et détection des menaces.

LT-4 : Activer la journalisation pour l’examen de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Prise en charge Activé par défaut Responsabilité de la configuration
False Non applicable Non applicable

Remarques sur les fonctionnalités : Le journal des ressources n’est pas pris en charge dans Azure Sphere. Toutefois, des journaux de diagnostic sont disponibles au niveau de l’appareil. Reportez-vous à Gérer les fichiers journaux.

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

Étapes suivantes