Contrôle de sécurité : Gestion de la posture et des vulnérabilités

  • Article

La catégorie Gestion de la posture et des vulnérabilités regroupe essentiellement les contrôles utilisés pour évaluer et améliorer la posture de sécurité cloud, ce qui inclut l’analyse des vulnérabilités, les tests d’intrusion et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction des ressources du cloud.

PV-1 : Définir et établir des configurations sécurisées

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
4.1, 4.2 CM-2, CM-6 1,1

Principe de sécurité : définissez les bases de référence de configuration de la sécurité pour les différents types de ressources dans le cloud. Vous pouvez également utiliser les outils de gestion de la configuration pour établir automatiquement la ligne de base de configuration avant ou pendant le déploiement des ressources afin que l’environnement puisse être conforme par défaut après le déploiement.

Conseils Azure : Utilisez le benchmark de sécurité cloud Microsoft et la base de référence du service pour définir votre base de référence de configuration pour chaque offre ou service Azure respectif. Reportez-vous à l’architecture de référence Azure et à l’architecture de zone d’atterrissage Cloud Adoption Framework pour comprendre les configurations et les contrôles de sécurité critiques qui peuvent être nécessaires dans les ressources Azure.

Utilisez la zone d’atterrissage Azure (et les blueprints) pour accélérer le déploiement de la charge de travail en configurant la configuration des services et des environnements d’application, notamment les modèles Azure Resource Manager, les contrôles RBAC Azure et les Azure Policy.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : utilisez le benchmark de sécurité cloud Microsoft - conseils multicloud pour AWS et d’autres entrées pour définir votre base de référence de configuration pour chaque offre ou service AWS respectif. Reportez-vous au pilier de sécurité et aux autres piliers d’AWS Well-Architectured Framework pour comprendre les configurations et les contrôles de sécurité critiques qui peuvent être nécessaires entre les ressources AWS.

Utilisez des modèles AWS CloudFormation et des règles AWS Config dans la définition de zone d’atterrissage AWS pour automatiser le déploiement et la configuration des services et des environnements d’application.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : utilisez le benchmark de sécurité cloud Microsoft - conseils multicloud pour GCP et d’autres entrées pour définir votre base de référence de configuration pour chaque offre ou service GCP respectif. Reportez-vous aux piliers dans les blueprints de base des déploiements Google Cloud et la conception de zone d’atterrissage.

Utilisez des modules de blueprints Terraform pour Google Cloud et utilisez Google Cloud Deployment Manager natif pour automatiser le déploiement et la configuration des services et des environnements d’application.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :

PV-2 : auditer et appliquer les configurations sécurisées

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
4.1, 4.2 CM-2, CM-6 2,2

Principe de sécurité : surveillez et alertez en continu en cas de dérive par rapport à la base de référence de configuration définie. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou en déployant une configuration.

Conseils Azure : utilisez Microsoft Defender pour le cloud afin de configurer Azure Policy pour l’audit et l’application des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources.

Utilisez Azure Policy règles [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée entre les ressources Azure.

Pour l’audit et l’application de la configuration des ressources non pris en charge par Azure Policy, vous devrez peut-être écrire des scripts personnalisés ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : Utilisez des règles AWS Config pour auditer les configurations de vos ressources AWS. Vous pouvez aussi choisir de corriger la dérive de configuration en utilisant AWS Systems Manager Automation avec la règle AWS Config. Utilisez Amazon CloudWatch pour créer des alertes en cas de dérive de configuration détectée sur les ressources.

Pour l’audit et l’application de la configuration des ressources non pris en charge par AWS Config, vous devrez peut-être écrire des scripts personnalisés ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.

Vous pouvez également surveiller de manière centralisée la dérive de configuration en intégrant votre compte AWS à Microsoft Defender pour le cloud.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Utilisez le Centre de commandes de sécurité Google Cloud pour configurer GCP. Utilisez Google Cloud Monitoring dans Operations Suite pour créer des alertes en cas d’écart de configuration détecté sur les ressources.

Pour gouverner vos organisations, utilisez la stratégie organisationnelle pour centraliser et contrôler par programme les ressources cloud de votre organization. En tant qu’administrateur de stratégie organization, vous serez en mesure de configurer des contraintes sur l’ensemble de votre hiérarchie de ressources.

Pour l’audit et l’application de la configuration des ressources non pris en charge par la stratégie d’organisation, vous devrez peut-être écrire des scripts personnalisés ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :

PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
4,1 CM-2, CM-6 2,2

Principe de sécurité : définissez les bases de référence de configuration sécurisée pour vos ressources de calcul, comme les machines virtuelles et les conteneurs. Utilisez les outils de gestion de la configuration pour établir automatiquement la ligne de base de configuration avant ou pendant le déploiement des ressources de calcul afin que l’environnement puisse être conforme par défaut après le déploiement. Vous pouvez également utiliser une image préconfigurée pour créer la ligne de base de configuration souhaitée dans le modèle d’image de ressource de calcul.

Conseils Azure : Utilisez les bases de référence de sécurité du système d’exploitation recommandées Azure (pour Windows et Linux) comme point de référence pour définir votre base de référence de configuration des ressources de calcul.

En outre, vous pouvez utiliser une image de machine virtuelle personnalisée (à l’aide d’Azure Image Builder) ou une image conteneur avec Azure Automanage Machine Configuration (anciennement Azure Policy Guest Configuration) et Azure Automation State Configuration pour établir la configuration de sécurité souhaitée.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : Utilisez EC2 AWS Machine Images (AMI) provenant de sources approuvées sur la Place de marché comme point de référence pour définir votre base de référence de configuration EC2.

En outre, vous pouvez utiliser EC2 Image Builder pour créer un modèle AMI personnalisé avec un agent Systems Manager afin d’établir la configuration de sécurité souhaitée. Remarque : l’agent AWS Systems Manager est préinstallé sur certaines images machine Amazon (AMIs) fournies par AWS.

Pour les applications de charge de travail s’exécutant dans vos instances EC2, AWS Lambda ou votre environnement de conteneurs, vous pouvez utiliser AWS System Manager AppConfig pour définir la base de référence de configuration souhaitée.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Utilisez les bases de référence de sécurité du système d’exploitation recommandées par Google Cloud (pour Windows et Linux) comme point de référence pour définir votre base de référence de configuration des ressources de calcul.

En outre, vous pouvez utiliser une image de machine virtuelle personnalisée à l’aide de Packer Image Builder ou une image conteneur avec l’image conteneur Google Cloud Build pour établir la base de référence de configuration souhaitée.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :

PV-4 : auditer et appliquer des configurations sécurisées pour les ressources de calcul

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
4,1 CM-2, CM-6 2,2

Principe de sécurité : surveillez et alertez en continu en cas de dérive par rapport à la base de référence de configuration définie dans vos ressources de calcul. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou en déployant une configuration dans les ressources de calcul.

Conseils Azure : Utilisez Microsoft Defender pour le cloud et Azure Automanage Machine Configuration (anciennement Azure Policy Guest Configuration) pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs et autres. De plus, vous pouvez utiliser des modèles Azure Resource Manager, des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour tenir à jour la configuration de sécurité du système d’exploitation. Combinés avec Azure Automation State Configuration, les modèles de machine virtuelle Microsoft peuvent vous aider à satisfaire aux exigences de sécurité. Utilisez Suivi des modifications et inventaire dans Azure Automation pour suivre les modifications apportées aux machines virtuelles hébergées dans Azure, localement et dans d’autres environnements cloud pour vous aider à identifier les problèmes opérationnels et environnementaux liés aux logiciels gérés par le Gestionnaire de package de distribution. Installez l’agent d’attestation d’invité sur des machines virtuelles pour surveiller l’intégrité du démarrage sur les machines virtuelles confidentielles.

Remarque : les images de machines virtuelles de la Place de marché Azure publiées par Microsoft sont gérées et tenues à jour par Microsoft.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : utilisez la fonctionnalité State Manager d’AWS System Manager pour évaluer et corriger régulièrement les dérives de configuration sur vos instances EC2. De plus, vous pouvez utiliser des modèles CloudFormation ou des images de système d’exploitation personnalisées pour tenir à jour la configuration de sécurité du système d’exploitation. Combinés avec Systems Manager, les modèles AMI peuvent vous aider à satisfaire aux exigences de sécurité.

Vous pouvez également superviser et gérer de manière centralisée la dérive de configuration du système d’exploitation via Azure Automation State Configuration et intégrer les ressources applicables à la gouvernance de sécurité Azure à l’aide des méthodes suivantes :

  • Intégrer votre compte AWS à Microsoft Defender pour le cloud
  • Utiliser Azure Arc pour les serveurs pour connecter vos instances EC2 à Microsoft Defender pour le cloud

Pour les applications de charge de travail s’exécutant dans vos instances EC2, AWS Lambda ou votre environnement de conteneurs, vous pouvez utiliser AWS System Manager AppConfig pour auditer et appliquer la base de référence de configuration souhaitée.

Remarque : les API publiées par Amazon Web Services dans la Place de marché AWS sont gérées et gérées par Amazon Web Services.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Utilisez VM Manager et Google Cloud Security Command Center pour évaluer et corriger régulièrement l’écart de configuration de vos instances de moteur de calcul, conteneurs et contrats serverless. En outre, vous pouvez utiliser des modèles de machine virtuelle Deployment Manager, des images de système d’exploitation personnalisées pour maintenir la configuration de sécurité du système d’exploitation. Les modèles de machine virtuelle Deployment Manager conjointement avec VM Manager peuvent aider à répondre aux exigences de sécurité et à les maintenir.

Vous pouvez également superviser et gérer de manière centralisée la dérive de configuration du système d’exploitation via Azure Automation State Configuration et intégrer les ressources applicables à la gouvernance de sécurité Azure à l’aide des méthodes suivantes :

  • Intégrer votre projet GCP à Microsoft Defender pour le cloud
  • Utiliser Azure Arc pour les serveurs pour connecter vos instances de machine virtuelle GCP à Microsoft Defender pour le cloud

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :

PV-5 : effectuer des évaluations des vulnérabilités

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
5.5, 7.1, 7.5, 7.6 RA-3, RA-5 6.1, 6.2, 6.6

Principe de sécurité : évaluez les vulnérabilités à tous les niveaux de vos ressources cloud selon une planification fixe ou à la demande. Suivez et comparez les résultats de l’analyse pour vérifier que les vulnérabilités sont corrigées. L’évaluation doit inclure tous les types de vulnérabilités, telles que les vulnérabilités dans les services Azure, sur le réseau, sur le web, dans les systèmes d’exploitation, ainsi que les problèmes de configurations, etc.

Tenez compte des risques potentiels associés à l’accès privilégié utilisé par les analyseurs de vulnérabilité. Suivez les meilleures pratiques en matière de sécurité d’accès privilégié pour sécuriser les comptes d’administration utilisés pour l’analyse.

Conseils Azure : suivez les recommandations de Microsoft Defender pour le cloud relatives à l’évaluation des vulnérabilités sur vos machines virtuelles Azure, images conteneur et serveurs SQL. Microsoft Defender pour le cloud intègre un analyseur de vulnérabilité pour les machines virtuelles. Utilisez une solution tierce pour effectuer des évaluations des vulnérabilités sur les périphériques réseau et les applications (p. ex. : applications web)

Exportez les résultats de l’analyse à intervalles réguliers, et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous suivez les recommandations de gestion des vulnérabilités proposées par Microsoft Defender pour le cloud, vous pouvez pivoter vers le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.

Lors de l’exécution d’analyses à distance, n’utilisez pas un compte d’administration unique et perpétuel. Envisagez de mettre en place une méthodologie de provisionnement JIT (juste-à-temps) pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.

Remarque : les services Microsoft Defender (y compris Defender pour serveurs, conteneurs, App Service, base de données et DNS) incorporent certaines fonctionnalités d’évaluation des vulnérabilités. Les alertes générées à partir des services Azure Defender doivent être surveillées et revues avec le résultat de l’outil d’analyse des vulnérabilités de Microsoft Defender pour le cloud.

Remarque : Veillez à configurer Notifications par e-mail dans Microsoft Defender pour le cloud.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : utilisez Amazon Inspector pour analyser vos instances Amazon EC2 et vos images conteneur résidant dans Amazon Elastic Container Registry (Amazon ECR) afin de détecter les vulnérabilités logicielles et toute exposition réseau involontaire. Utilisez une solution tierce pour effectuer des évaluations des vulnérabilités sur les périphériques réseau et les applications (p. ex. : applications web)

Reportez-vous au contrôle ES-1, « Utiliser la détection et la réponse de point de terminaison (EDR) », pour intégrer votre compte AWS dans Microsoft Defender pour le cloud et déployer des Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégrés) dans vos instances EC2. Microsoft Defender pour serveurs fournit une fonctionnalité de gestion des menaces et des vulnérabilités native pour vos machines virtuelles. Le résultat de l’analyse des vulnérabilités sera consolidé dans le tableau de bord Microsoft Defender pour le cloud.

Suivez l’status des résultats des vulnérabilités pour vous assurer qu’ils sont correctement corrigés ou supprimés s’ils sont considérés comme faux positifs.

Lors de l’exécution d’analyses à distance, n’utilisez pas un compte d’administration unique et perpétuel. Envisagez d’implémenter une méthodologie d’approvisionnement temporaire pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Suivez les recommandations de Microsoft Defender pour le cloud ou/et google Cloud Security Command Center pour effectuer des évaluations des vulnérabilités sur vos instances du moteur de calcul. Security Command Center a intégré des évaluations des vulnérabilités sur les appareils réseau et les applications (par exemple, l’analyseur de sécurité web)

Exportez les résultats de l’analyse à intervalles réguliers, et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous utilisez les recommandations de gestion des vulnérabilités suggérées par Security Command Center, vous pouvez effectuer un pivot dans le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :

PV-6 : corriger rapidement et automatiquement les vulnérabilités

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
7.2, 7.3, 7.4, 7.7 RA-3, RA-5, SI-2: CORRECTION DES DÉFAUTS 6.1, 6.2, 6.5, 11.2

Principe de sécurité : déployez rapidement et automatiquement les correctifs et mises à jour disponibles pour corriger les vulnérabilités dans vos ressources cloud. Utilisez l’approche appropriée en fonction du risque pour hiérarchiser la correction des vulnérabilités. Par exemple, des vulnérabilités plus graves dans une ressource de valeur plus élevée doivent être traitées comme une priorité plus élevée.

Conseils Azure : Utilisez Azure Automation Update Management ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, assurez-vous que Windows Update a été activé et configuré pour être mis à jour automatiquement.

Pour les logiciels tiers, utilisez une solution de gestion des correctifs tierce ou Microsoft System Center Mises à jour Publisher pour Configuration Manager.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : utilisez AWS Systems Manager - Patch Manager pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos systèmes d’exploitation et applications. Patch Manager prend en charge les bases de référence des correctifs qui vous permettent de définir une liste de correctifs approuvés ou rejetés pour vos systèmes.

Vous pouvez aussi utiliser Azure Automation Update Management pour gérer de manière centralisée les correctifs et mises à jour de vos instances AWS EC2 Windows et Linux.

Pour les logiciels tiers, utilisez une solution de gestion des correctifs tierce ou Microsoft System Center Mises à jour Publisher pour Configuration Manager.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Utilisez la gestion des correctifs du système d’exploitation Google Cloud VM Manager ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, vérifiez que Windows Update a été activé et défini pour être mis à jour automatiquement.

Pour les logiciels tiers, utilisez une solution de gestion des correctifs tierce ou Microsoft System Center Mises à jour Publisher pour la gestion de la configuration.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :

PV-7 : effectuer des opérations d’équipe rouges régulières

ID des contrôles CIS v8 ID NIST SP 800-53 r4 PCI-DSS ID(s) v3.2.1
18.1, 18.2, 18.3, 18.4, 18.5 CA-8, RA-5 6.6, 11.2, 11.3

Principe de sécurité : simulez des attaques réelles pour fournir une vue plus complète de la vulnérabilité de votre organisation. Les tests d’exploitation et de pénétration de l’équipe Red Team complètent l’approche traditionnelle d’analyse des vulnérabilités pour découvrir les risques.

Suivez les meilleures pratiques du secteur pour concevoir, préparer et effectuer ce type de test pour vous assurer qu’il ne risque pas de nuire à votre environnement ou de le mettre hors service. Cela doit toujours inclure l’examen de l’étendue des tests et des contraintes avec les parties prenantes et les propriétaires des ressources concernés.

Conseils Azure : selon les besoins, effectuez des tests d’intrusion ou des activités Red Team sur vos ressources Azure et corrigez tous les problèmes de sécurité critiques détectés.

Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Implémentation Azure et contexte supplémentaire :

Conseils AWS : selon les besoins, effectuez des tests d’intrusion ou des activités Red Team sur vos ressources AWS et corrigez tous les problèmes de sécurité critiques détectés.

Suivez la stratégie de support technique AWS pour les tests d’intrusion pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies AWS.

Implémentation AWS et contexte supplémentaire :

Conseils GCP : Si nécessaire, effectuez des tests d’intrusion ou des activités d’équipe rouge sur votre ressource GCP et assurez la correction de toutes les découvertes de sécurité critiques.

Suivez la politique de support technique GCP pour les tests d’intrusion pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies GCP.

Implémentation GCP et contexte supplémentaire :

Parties prenantes de la sécurité des clients (En savoir plus) :