Base de référence de sécurité Azure pour Microsoft Azure Attestation
Article
Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Microsoft Azure Attestation. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Microsoft Azure Attestation.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire de la page Microsoft Defender pour le portail cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité avec les contrôles et recommandations du benchmark de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Le profil de sécurité résume les comportements à fort impact de Microsoft Azure Attestation, ce qui peut entraîner des considérations de sécurité accrues.
Attribut de comportement du service
Valeur
Catégorie de produit
Sécurité
Le client peut accéder à HOST/OS
Aucun accès
Le service peut être déployé dans le réseau virtuel du client
Description : Le service prend en charge le déploiement dans le Réseau virtuel privé (VNet) du client.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
Prise en charge des groupes de sécurité réseau
Description : Le trafic réseau de service respecte l’attribution de règles groupes de sécurité réseau sur ses sous-réseaux.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
NS-2 : Sécuriser les services cloud avec des contrôles réseau
Fonctionnalités
Azure Private Link
Description : Fonctionnalité de filtrage IP native du service pour le filtrage du trafic réseau (à ne pas confondre avec le groupe de sécurité réseau ou Pare-feu Azure).
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
Description : le service prend en charge la désactivation de l’accès au réseau public à l’aide d’une règle de filtrage de liste de contrôle d’accès IP au niveau du service (pas de groupe de sécurité réseau ou de Pare-feu Azure) ou à l’aide d’un commutateur bascule « Désactiver l’accès réseau public ».
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
Fonctionnalités
RBAC Azure pour le plan de données
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer l’accès aux actions de plan de données du service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Vrai
False
Customer
Remarques sur les fonctionnalités : l’utilisateur qui crée un fournisseur d’attestation doit disposer de niveaux d’accès suffisants sur l’abonnement pour créer une ressource (par exemple, propriétaire/contributeur).
Conseils de configuration : Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour gérer l’accès aux ressources Azure via des attributions de rôles intégrées. Les rôles RBAC Azure peuvent être attribués à des utilisateurs, des groupes, des principaux de service et des identités managées.
Remarque : une fois qu’un fournisseur d’attestation est créé dans ce groupe de ressources, un utilisateur Azure AD doit avoir le rôle Contributeur d’attestation sur le fournisseur pour effectuer des opérations telles que la gestion des certificats de configuration de stratégie/signature de stratégie. Ces autorisations peuvent également être héritées avec des rôles, tels que Propriétaire (autorisations génériques)/Contributeur (autorisations génériques) sur l’abonnement/le groupe de ressources.
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud
Fonctionnalités
Customer Lockbox
Description : Customer Lockbox peut être utilisé pour l’accès au support Microsoft.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-1 : Découvrir, classer et étiqueter des données sensibles
Fonctionnalités
Découverte et classification des données sensibles
Description : Les outils (tels qu’Azure Purview ou Azure Information Protection) peuvent être utilisés pour la découverte et la classification des données dans le service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles
Fonctionnalités
Protection contre les fuites/pertes de données
Description : Le service prend en charge la solution DLP pour surveiller le déplacement des données sensibles (dans le contenu du client).
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-4 : activer le chiffrement des données au repos par défaut
Fonctionnalités
Chiffrement des données au repos à l’aide de clés de plateforme
Description : Le chiffrement des données au repos à l’aide de clés de plateforme est pris en charge. Tout contenu client au repos est chiffré avec ces clés gérées par Microsoft.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
True
Vrai
Microsoft
Conseils de configuration : Aucune configuration supplémentaire n’est requise, car elle est activée sur un déploiement par défaut.
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
Fonctionnalités
Chiffrement des données au repos à l’aide de CMK
Description : le chiffrement des données au repos à l’aide de clés gérées par le client est pris en charge pour le contenu client stocké par le service.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
False
Non applicable
Non applicable
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics.
Plus d’informations
Prise en charge
Activé par défaut
Responsabilité de la configuration
Vrai
False
Customer
Remarques sur les fonctionnalités : les clients peuvent activer la journalisation à l’aide de commandes powershell ou de la fonctionnalité Log Analytics dans le portail .
Conseils de configuration : Activez les journaux de ressources pour le service. Par exemple, Key Vault prend en charge des journaux de ressources supplémentaires pour les actions qui obtiennent un secret à partir d’un coffre de clés ou Azure SQL a des journaux de ressources qui effectuent le suivi des demandes adressées à une base de données. Le contenu des journaux de ressources varie en fonction du service Azure et du type de ressource.
Explorez le filtrage du trafic avec groupe de sécurité réseau, configurez Microsoft Defender pour le cloud, créez un espace de travail Log Analytics, configurez l’intégration de l’agent Log Analytics, mettez en réseau Azure Key Vault et connectez un serveur Azure SQL à l’aide du point de terminaison privé Azure dans le Portail Azure. Améliorez efficacement la sécurité du cloud. (SC-5002)