Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Posture et Gestion des vulnérabilités se concentrent sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité cloud, notamment l’analyse des vulnérabilités, les tests de pénétration et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources cloud.
PV-1 : Définir et établir des configurations sécurisées
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2 | CM-2, CM-6 | 1.1 |
Principe de sécurité : définissez les bases de référence de configuration de sécurité pour différents types de ressources dans le cloud. Vous pouvez également utiliser des outils de gestion de la configuration pour établir automatiquement la base de référence de configuration avant ou pendant le déploiement de ressources afin que l’environnement puisse être conforme par défaut après le déploiement.
Conseils Azure : Utilisez le benchmark microsoft Cloud Security et la base de référence du service pour définir votre base de référence de configuration pour chaque offre ou service Azure respectif. Reportez-vous à l’architecture de référence Azure et à l’architecture de zone d’atterrissage cloud Adoption Framework pour comprendre les contrôles et configurations de sécurité critiques qui peuvent être nécessaires dans les ressources Azure.
Utilisez la zone d’atterrissage Azure (et Blueprints) pour accélérer le déploiement de la charge de travail en configurant des services et des environnements d’application, notamment des modèles Azure Resource Manager, des contrôles RBAC Azure et Azure Policy.
Implémentation Azure et contexte supplémentaire :
- Illustration de l’implémentation des garde-fous dans une zone d’atterrissage à l’échelle d’entreprise
- Utilisation des stratégies de sécurité dans Microsoft Defender pour cloud
- Tutoriel : Créer et gérer des stratégies pour appliquer la conformité
- Azure Blueprints
Conseils AWS : Utilisez le benchmark microsoft Cloud Security - conseils multiclouds pour AWS et d’autres entrées pour définir votre base de référence de configuration pour chaque offre ou service AWS respectif. Reportez-vous au pilier de sécurité et aux autres piliers de l’infrastructure AWS Well-Architectured Framework pour comprendre les contrôles et configurations de sécurité critiques qui peuvent être nécessaires dans les ressources AWS.
Utilisez des modèles AWS CloudFormation et des règles AWS Config dans la définition de zone d’atterrissage AWS pour automatiser le déploiement et la configuration des services et des environnements d’application.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez le benchmark microsoft Cloud Security : conseils multiclouds pour GCP et d’autres entrées pour définir votre base de référence de configuration pour chaque offre ou service GCP respectif. Reportez-vous aux piliers des blueprints de base des déploiements Google Cloud et à la conception de zone d’atterrissage.
Utilisez les modules blueprints Terraform pour Google Cloud et utilisez Google Cloud Deployment Manager natif pour automatiser le déploiement et la configuration des services et des environnements d’application.
Implémentation GCP et contexte supplémentaire :
- Conception de zone d’atterrissage dans Google Cloud. Plans et modules Terraform pour Google Cloud. https://cloud.google.com/docs/terraform/blueprints/terraform-blueprints
- Blueprint des bases de sécurité
- Gestionnaire de déploiement Google Cloud
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-2 : auditer et appliquer les configurations sécurisées
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
4.1, 4.2 | CM-2, CM-6 | 2,2 |
Principe de sécurité : Surveillez et alertez en continu lorsqu’il existe un écart par rapport à la ligne de base de configuration définie. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou en déployant une configuration.
Conseils Azure : Utilisez Microsoft Defender pour cloud pour configurer Azure Policy pour auditer et appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources.
Utilisez Azure Policy [refuser] et [déployer s’il n’existe pas] règles pour appliquer une configuration sécurisée sur les ressources Azure.
Pour l’audit et l’application de la configuration des ressources non pris en charge par Azure Policy, vous devrez peut-être écrire des scripts personnalisés ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.
Implémentation Azure et contexte supplémentaire :
- Comprendre les effets d’Azure Policy
- Créer et gérer des stratégies pour appliquer la conformité
- Obtenir les données de conformité des ressources Azure
Conseils AWS : Utilisez des règles AWS Config pour auditer les configurations de vos ressources AWS. Vous pouvez également choisir de résoudre la dérive de configuration à l’aide d’AWS Systems Manager Automation associé à la règle AWS Config. Utilisez Amazon CloudWatch pour créer des alertes en cas d’écart de configuration détecté sur les ressources.
Pour l’audit et l’application de la configuration des ressources non pris en charge par AWS Config, vous devrez peut-être écrire des scripts personnalisés ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.
Vous pouvez également surveiller de manière centralisée votre dérive de configuration en intégrant votre compte AWS à Microsoft Defender pour Cloud.
Implémentation AWS et contexte supplémentaire :
- Correction des ressources AWS non conformes par les règles de configuration AWS
- Détection des modifications de configuration non managées apportées aux piles et aux ressources
- Pack de conformité AWS Config
Conseils GCP : Utilisez Google Cloud Security Command Center pour configurer GCP. Utilisez Google Cloud Monitoring dans Operations Suite pour créer des alertes en cas d’écart de configuration détecté sur les ressources.
Pour gérer vos organisations, utilisez la stratégie organisationnelle pour centraliser et contrôler par programmation les ressources cloud de votre organisation. En tant qu’administrateur de stratégie d’organisation, vous pourrez configurer des contraintes dans l’ensemble de votre hiérarchie de ressources.
Pour l’audit et l’application de la configuration des ressources non pris en charge par la stratégie d’organisation, vous devrez peut-être écrire des scripts personnalisés ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.
Implémentation GCP et contexte supplémentaire :
- Présentation du service de stratégie d’organisation.
- Centre de ressources de conformité.
- Suite d’opérations de Google Cloud (anciennement Stackdriver)
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-3 : Définir et établir des configurations sécurisées pour les ressources de calcul
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
4,1 | CM-2, CM-6 | 2,2 |
Principe de sécurité : Définissez les bases de référence de configuration sécurisées pour vos ressources de calcul, telles que les machines virtuelles et les conteneurs. Utilisez les outils de gestion de la configuration pour établir automatiquement la base de référence de configuration avant ou pendant le déploiement de ressources de calcul afin que l’environnement puisse être conforme par défaut après le déploiement. Vous pouvez également utiliser une image préconfigurée pour générer la base de référence de configuration souhaitée dans le modèle d’image de ressource de calcul.
Conseils Azure : Utilisez les bases de référence de sécurité du système d’exploitation recommandées Azure (pour Windows et Linux) comme référence pour définir votre base de référence de configuration des ressources de calcul.
En outre, vous pouvez utiliser une image de machine virtuelle personnalisée (à l’aide d’Azure Image Builder) ou une image conteneur avec Azure Automanage Machine Configuration (anciennement azure Policy Guest Configuration) et Azure Automation State Configuration pour établir la configuration de sécurité souhaitée.
Implémentation Azure et contexte supplémentaire :
- Base de référence de la configuration de la sécurité du système d’exploitation Linux
- Base de référence de la configuration de la sécurité du système d’exploitation Windows
- Recommandation de configuration de la sécurité pour les ressources de calcul
- Vue d’ensemble d’Azure Automation State Configuration
Conseils AWS : Utilisez EC2 AWS Machine Images (AMI) à partir de sources approuvées sur la Place de marché comme benchmark pour définir votre base de référence de configuration EC2.
En outre, vous pouvez utiliser EC2 Image Builder pour créer un modèle AMI personnalisé avec un agent Systems Manager pour établir la configuration de sécurité souhaitée. Remarque : l’agent AWS Systems Manager est préinstallé sur certaines images amazon machine (AMIs) fournies par AWS.
Pour les applications de charge de travail exécutées dans vos instances EC2, votre environnement AWS Lambda ou conteneurs vous permet d’utiliser AWS System Manager AppConfig pour établir la base de référence de configuration souhaitée.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez les bases de référence de sécurité du système d’exploitation recommandées par Google Cloud (pour Windows et Linux) comme point de référence pour définir votre base de référence de configuration des ressources de calcul.
En outre, vous pouvez utiliser une image de machine virtuelle personnalisée à l’aide du Générateur d’images Packer ou de l’image conteneur avec l’image conteneur Google Cloud Build pour établir la base de référence de configuration souhaitée.
Implémentation GCP et contexte supplémentaire :
- Images du moteur de calcul Google.
- Meilleures pratiques de gestion des images
- Générez des images de conteneur.
- Création d’images de machine virtuelle à l’aide de Packer
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-4 : Auditer et appliquer des configurations sécurisées pour les ressources de calcul
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
4,1 | CM-2, CM-6 | 2,2 |
Principe de sécurité : surveillez et alertez en continu lorsqu’il existe un écart par rapport à la base de référence de configuration définie dans vos ressources de calcul. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou en déployant une configuration dans les ressources de calcul.
Conseils Azure : Utilisez Microsoft Defender pour cloud et Azure Automanage Machine Configuration (anciennement Azure Policy Guest Configuration) pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs et d’autres. En outre, vous pouvez utiliser des modèles Azure Resource Manager, des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation. Les modèles de machine virtuelle Microsoft conjointement avec Azure Automation State Configuration peuvent aider à répondre aux exigences de sécurité et à les maintenir. Utilisez Change Tracking et Inventory dans Azure Automation pour suivre les modifications apportées aux machines virtuelles hébergées dans Azure, localement et dans d’autres environnements cloud pour vous aider à identifier les problèmes opérationnels et environnementaux liés aux logiciels gérés par le Gestionnaire de package de distribution. Installez l’agent d’attestation invité sur les machines virtuelles pour surveiller l’intégrité du démarrage sur les machines virtuelles confidentielles.
Remarque : Les images de machine virtuelle Azure Marketplace publiées par Microsoft sont gérées et entretenues par Microsoft.
Implémentation Azure et contexte supplémentaire :
- Comment implémenter des recommandations d’évaluation des vulnérabilités Microsoft Defender pour cloud
- Création d’une machine virtuelle Azure à partir d’un modèle ARM
- Vue d’ensemble d’Azure Automation State Configuration
- Créer une machine virtuelle Windows dans le portail Azure
- sécurité de conteneur dans Microsoft Defender pour Cloud
- Vue d’ensemble du suivi des modifications et de l’inventaire
- attestation d’invité pour les machines virtuelles confidentielles
Conseils AWS : Utilisez la fonctionnalité State Manager d’AWS System Manager pour évaluer et corriger régulièrement les écarts de configuration sur vos instances EC2. En outre, vous pouvez utiliser des modèles CloudFormation, des images de système d’exploitation personnalisées pour maintenir la configuration de sécurité du système d’exploitation. Les modèles AMI conjointement avec Systems Manager peuvent aider à répondre aux exigences de sécurité et à maintenir les exigences de sécurité.
Vous pouvez également surveiller et gérer de manière centralisée la dérive de configuration du système d’exploitation via Azure Automation State Configuration et intégrer les ressources applicables à la gouvernance de sécurité Azure à l’aide des méthodes suivantes :
- Intégrer votre compte AWS à Microsoft Defender pour Cloud
- Utiliser Azure Arc pour les serveurs pour connecter vos instances EC2 à Microsoft Defender pour Cloud
Pour les applications de charge de travail s’exécutant dans vos instances EC2, l’environnement AWS Lambda ou conteneurs, vous pouvez utiliser AWS System Manager AppConfig pour auditer et appliquer la base de référence de configuration souhaitée.
Remarque : les AMIs publiées par Amazon Web Services dans AWS Marketplace sont gérées et maintenues par Amazon Web Services.
Implémentation AWS et contexte supplémentaire :
- AWS System Manager State Manager
- connecter vos comptes AWS à Microsoft Defender pour Cloud
- Activer Azure Automation State Configuration
Conseils GCP : Utilisez VM Manager et Google Cloud Security Command Center pour évaluer et corriger régulièrement l’écart de configuration de vos instances, conteneurs et contrats serverless du moteur de calcul. En outre, vous pouvez utiliser des modèles de machine virtuelle Deployment Manager, des images de système d’exploitation personnalisées pour maintenir la configuration de sécurité du système d’exploitation. Les modèles de machines virtuelles de Deployment Manager, utilisés conjointement avec VM Manager, peuvent aider à répondre aux exigences de sécurité et à les maintenir.
Vous pouvez également surveiller et gérer de manière centralisée la dérive de configuration du système d’exploitation via Azure Automation State Configuration et intégrer les ressources applicables à la gouvernance de sécurité Azure à l’aide des méthodes suivantes :
- Intégrer votre projet GCP à Microsoft Defender pour Cloud
- Utiliser Azure Arc pour les serveurs pour connecter vos instances de machine virtuelle GCP à Microsoft Defender pour cloud
Implémentation GCP et contexte supplémentaire :
- vue d’ensemble du Centre de commandes Google Cloud.
- Google Cloud VM Manager
- Google Cloud Deployment Manager :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-5 : Effectuer des évaluations des vulnérabilités
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Principe de sécurité : effectuez une évaluation des vulnérabilités pour vos ressources cloud à tous les niveaux dans une planification fixe ou à la demande. Suivez et comparez les résultats de l’analyse pour vérifier que les vulnérabilités sont corrigées. L’évaluation doit inclure tous les types de vulnérabilités, tels que les vulnérabilités dans les services Azure, le réseau, le web, les systèmes d’exploitation, les configurations incorrectes, etc.
Tenez compte des risques potentiels associés à l’accès privilégié utilisé par les scanneurs de vulnérabilité. Suivez la bonne pratique de sécurité d’accès privilégié pour sécuriser tous les comptes d’administration utilisés pour l’analyse.
Conseils Azure : Suivez les recommandations de Microsoft Defender pour Cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure, images conteneur et serveurs SQL. Microsoft Defender pour Cloud dispose d’un scanneur de vulnérabilités intégré pour les machines virtuelles. Utiliser une solution tierce pour effectuer des évaluations des vulnérabilités sur les appareils et applications réseau (par exemple, les applications web)
Exportez les résultats de l’analyse à intervalles cohérents et comparez les résultats avec les analyses précédentes pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous utilisez des recommandations de gestion des vulnérabilités suggérées par Microsoft Defender pour cloud, vous pouvez pivoter dans le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.
Lors de l’exécution d’analyses à distance, n’utilisez pas de compte administratif unique et perpétuel. Envisagez d’implémenter la méthodologie d’approvisionnement JIT (juste-à-temps) pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.
Remarque : les services Microsoft Defender (y compris Defender pour serveurs, conteneurs, App Service, base de données et DNS) incorporent certaines fonctionnalités d’évaluation des vulnérabilités. Les alertes générées à partir des services Azure Defender doivent être surveillées et examinées avec le résultat de Microsoft Defender pour l’outil d’analyse des vulnérabilités cloud.
Remarque : Veillez à configurer les notifications par e-mail dans Microsoft Defender pour Cloud.
Implémentation Azure et contexte supplémentaire :
- Comment implémenter des recommandations d’évaluation des vulnérabilités Microsoft Defender pour cloud
- analyseur de vulnérabilité intégré pour les machines virtuelles
- d’évaluation des vulnérabilités SQL
- Exportation des résultats de l’analyse des vulnérabilités Microsoft Defender pour cloud
Conseils AWS : Utilisez Amazon Inspector pour analyser vos instances Et images conteneur Amazon EC2 résidant dans Amazon Elastic Container Registry (Amazon ERC) pour détecter les vulnérabilités logicielles et l’exposition réseau involontaire. Utiliser une solution tierce pour effectuer des évaluations des vulnérabilités sur les appareils et applications réseau (par exemple, les applications web)
Reportez-vous au contrôle ES-1, « Utiliser la détection et la réponse des points de terminaison (EDR) », pour intégrer votre compte AWS dans Microsoft Defender pour cloud et déployer Microsoft Defender pour les serveurs (avec Microsoft Defender pour point de terminaison intégré) dans vos instances EC2. Microsoft Defender pour serveurs fournit une fonctionnalité native de gestion des menaces et des vulnérabilités pour vos machines virtuelles. Le résultat de l’analyse des vulnérabilités sera consolidé dans le tableau de bord Microsoft Defender pour cloud.
Suivez l’état des résultats des vulnérabilités pour vous assurer qu’ils sont correctement corrigés ou supprimés s’ils sont considérés comme faux positifs.
Lors de l’exécution d’analyses à distance, n’utilisez pas de compte administratif unique et perpétuel. Envisagez d’implémenter une méthodologie d’approvisionnement temporaire pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.
Implémentation AWS et contexte supplémentaire :
- l’inspecteur Amazon
- Examiner les faiblesses avec les de gestion des menaces et des vulnérabilités de Microsoft Defender pour point de terminaison
Conseils GCP : Suivez les recommandations de Microsoft Defender pour cloud ou/et google Cloud Security Command Center pour effectuer des évaluations des vulnérabilités sur vos instances du moteur de calcul. Security Command Center a des évaluations intégrées des vulnérabilités sur les appareils réseau et les applications (par exemple, Web Security Scanner)
Exportez les résultats de l’analyse à intervalles cohérents et comparez les résultats avec les analyses précédentes pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous utilisez des recommandations de gestion des vulnérabilités suggérées par security Command Center, vous pouvez pivoter dans le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.
Implémentation GCP et contexte supplémentaire :
- vue d’ensemble du Centre de commande Google Cloud Security. Vue d’ensemble dedu scanneur de sécurité web
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-6 : Corriger rapidement et automatiquement les vulnérabilités
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2 : CORRECTION DES DÉFAUTS | 6.1, 6.2, 6.5, 11.2 |
Principe de sécurité : Déployez rapidement et automatiquement des correctifs et des mises à jour pour corriger les vulnérabilités dans vos ressources cloud. Utilisez l’approche appropriée basée sur les risques pour hiérarchiser la correction des vulnérabilités. Par exemple, des vulnérabilités plus graves dans une ressource à valeur plus élevée doivent être traitées comme une priorité plus élevée.
Conseils Azure : Utilisez Azure Automation Update Management ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, vérifiez que Windows Update a été activé et défini pour mettre à jour automatiquement.
Pour les logiciels tiers, utilisez une solution de gestion des correctifs tiers ou un éditeur de mise à jour Microsoft System Center pour Configuration Manager.
Implémentation Azure et contexte supplémentaire :
- Comment configurer Update Management pour les machines virtuelles dans Azure
- Gérer les mises à jour et les correctifs pour vos machines virtuelles Azure
Conseils AWS : Utilisez AWS Systems Manager - Patch Manager pour vous assurer que les dernières mises à jour de sécurité sont installées sur vos systèmes d’exploitation et applications. Patch Manager prend en charge les bases de référence des correctifs pour vous permettre de définir une liste de correctifs approuvés et rejetés pour vos systèmes.
Vous pouvez également utiliser Azure Automation Update Management pour gérer de manière centralisée les correctifs et mises à jour de vos instances Windows et Linux AWS EC2.
Pour les logiciels tiers, utilisez une solution de gestion des correctifs tiers ou un éditeur de mise à jour Microsoft System Center pour Configuration Manager.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez la gestion des correctifs du système d’exploitation Google Cloud VM Manager ou une solution tierce pour vous assurer que les dernières mises à jour de sécurité sont installées sur les machines virtuelles Windows et Linux. Pour la machine virtuelle Windows, vérifiez que Windows Update a été activé et défini pour mettre à jour automatiquement.
Pour les logiciels tiers, utilisez une solution de gestion des correctifs tiers ou microsoft System Center Updates Publisher pour la gestion de la configuration.
Implémentation GCP et contexte supplémentaire :
- Gestionnaire de machines virtuelles.
- gestion des correctifs de système d’exploitation
- Google Kubernetes Engine (GKE). Correctifs de sécurité
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-7 : Effectuer des opérations régulières de l’équipe rouge
ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
---|---|---|
18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Principe de sécurité : simuler des attaques réelles pour fournir une vue plus complète de la vulnérabilité de votre organisation. Les opérations d’équipe rouge et les tests d’intrusion complètent l’approche traditionnelle de l’analyse des vulnérabilités pour détecter les risques.
Suivez les meilleures pratiques du secteur pour concevoir, préparer et effectuer ce type de test pour vous assurer qu’il ne provoquera pas de dommages ou d’interruptions dans votre environnement. Cela doit toujours inclure la discussion sur l’étendue et les contraintes de test avec les parties prenantes et les propriétaires de ressources pertinents.
Conseils Azure : En fonction des besoins, effectuez des tests d’intrusion ou des activités d’équipe rouge sur vos ressources Azure et assurez la correction de toutes les conclusions de sécurité critiques.
Suivez les règles d’engagement des tests d’intrusion microsoft Cloud pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies Microsoft. Utilisez la stratégie et l’exécution de Red Teaming et des tests d’intrusion de site en direct sur l’infrastructure, les services et les applications cloud gérés par Microsoft.
Implémentation Azure et contexte supplémentaire :
- Test d’intrusion dans Azure
- Règles d'engagement pour les tests d'intrusion
- Microsoft Cloud Red Teaming
- Guide technique sur les tests et l’évaluation de la sécurité des informations
Conseils AWS : En fonction des besoins, effectuez des tests d’intrusion ou des activités d’équipe rouge sur vos ressources AWS et assurez la correction de toutes les conclusions de sécurité critiques.
Suivez la stratégie de support client AWS pour les tests d’intrusion pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies AWS.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : En fonction des besoins, effectuez des tests d’intrusion ou des activités d’équipe rouge sur votre ressource GCP et assurez la correction de toutes les conclusions de sécurité critiques.
Suivez la stratégie de support client GCP pour les tests d’intrusion pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies GCP.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :