Présentation de la base de référence de sécurité cloud Microsoft (v1)
MCSB (Microsoft Cloud Security Benchmark) prescrit des bonnes pratiques et des recommandations pour améliorer la sécurité des charges de travail, des données et des services sur Azure et dans votre environnement multicloud. Ce benchmark se concentre sur les zones de contrôle cloud. Il apporte un ensemble complet d’informations relatives à la sécurité, qui proviennent de Microsoft et d’autres acteurs du secteur :
- Cloud Adoption Framework : conseils sur la sécurité, y compris la stratégie, les rôles et les responsabilités, les 10 meilleures pratiques de sécurité Azure et l’implémentation de référence.
- Azure Well-Architected Framework : Conseils sur la sécurisation de vos charges de travail dans Azure.
- Atelier du directeur de la sécurité de l’information (CISO) : Guide et stratégies de référence du programme pour accélérer la modernisation de la sécurité à l’aide de principes de Confiance nulle.
- Les normes et l’infrastructure des meilleures pratiques de sécurité d’autres fournisseurs de services cloud et du secteur sont les suivantes : Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS), National Institute of Standards and Technology (NIST) et PCI-DSS (Payment Card Industry Data Security Standard).
Nouveautés du benchmark de sécurité cloud Microsoft v1
Notes
Microsoft Cloud Security Benchmark est le successeur d’Azure Security Benchmark (ASB), qui a été renommé en octobre 2022.
La prise en charge de Google Cloud Platform dans MCSB est désormais disponible en tant que fonctionnalité en préversion dans les conseils d’évaluation mcsb et Microsoft Defender pour le cloud.
Voici les nouveautés du benchmark de sécurité cloud Microsoft v1 (MCSB) :
Infrastructure de sécurité multicloud complète : les organisations doivent souvent créer des normes de sécurité interne dans le but d’harmoniser les contrôles de sécurité au sein des différentes plateformes cloud et répondre aux exigences de sécurité et de conformité de chacune d’elles. Les équipes de sécurité doivent souvent répéter la même implémentation, le même monitoring et la même évaluation dans les différents environnements cloud (souvent pour différents standards de conformité). Cela crée des surcharges, des coûts et des efforts inutiles. Pour résoudre ce problème, nous avons remplacé l’ASB par le MCSB afin de vous aider à travailler rapidement avec différents clouds. Le MCSB :
- Fournit un framework de contrôle unique pour répondre facilement aux exigences des contrôles de sécurité des différents clouds
- fournissant une expérience utilisateur cohérente pour le monitoring et l’application du point de référence de la sécurité multicloud sur Defender pour le cloud
- Reste aligné sur les normes du secteur (par exemple, CIS, NIST, PCI)
Supervision automatisée des contrôles pour AWS dans Microsoft Defender pour le cloud : vous pouvez utiliser Microsoft Defender tableau de bord de conformité réglementaire cloud pour surveiller votre environnement AWS par rapport à MCSB, comme vous surveillez votre environnement Azure. Dans le MCSB, nous avons créé environ 180 contrôles AWS pour les nouvelles instructions de sécurité AWS, ce qui vous permet de monitorer votre environnement et vos ressources AWS dans Microsoft Defender pour le cloud.
Actualisation des conseils et principes de sécurité Azure existants : nous avons également actualisé certains des conseils et principes de sécurité Azure existants pendant cette mise à jour afin que vous puissiez rester à jour avec les dernières fonctionnalités Et fonctionnalités Azure.
Contrôles
| Domaines de contrôle | Description |
|---|---|
| Sécurité réseau | La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation de DNS. |
| Gestion des identités | Identité et accès couvre les contrôles destinés à établir des contrôles d’identité et d’accès à l’aide de systèmes d’administration des identités et accès, y compris l’utilisation de l’authentification unique, des authentifications renforcées, des identités managées (et principaux de service) pour les applications, l’accès conditionnel et le monitoring des anomalies de compte. |
| Accès privilégié | L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires. |
| Protection des données | La protection des données couvre le contrôle de la protection des données au repos, en transit et par le biais de mécanismes d’accès autorisés, ce qui inclut la découverte, la classification, la protection et le Monitoring des ressources de données sensibles en utilisant le contrôle d’accès, le chiffrement et la gestion de certificats. |
| Gestion des ressources | Asset Management couvre les contrôles pour garantir la visibilité et la gouvernance de la sécurité sur vos ressources, notamment des recommandations sur les autorisations pour le personnel de sécurité, l’accès à la sécurité à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction). |
| Journalisation et détection des menaces | La journalisation et la détection des menaces couvrent les contrôles destinés à détecter les menaces sur le cloud et à activer, collecter et stocker les journaux d’audit pour les services cloud, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec un service de monitoring sur le cloud, la centralisation des analyses de la sécurité avec une gestion des événements de sécurité (SIEM), la synchronisation de l’heure et la conservation des journaux. |
| Réponse aux incidents | La réponse aux incidents couvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, autonomie et activités post-incident, y compris l’utilisation de services Azure (comme Microsoft Defender pour le cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités | La gestion des postures, des menaces et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et à améliorer la posture de sécurité cloud, ce qui inclut l’analyse des vulnérabilités, les tests d’intrusion et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction des ressources du cloud. |
| Sécurité des points de terminaison | La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud. |
| Sauvegarde et récupération | La sauvegarde et la récupération recouvrent les contrôles destinés à s’assurer que les sauvegardes de données et de configurations aux différents niveaux de service sont effectuées, validées et protégées. |
| Sécurité DevOps (DS) | La sécurité DevOps recouvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, y compris le déploiement de vérifications de sécurité critiques (tels que les tests statiques de sécurité des applications, la gestion des vulnérabilités) avant la phase de déploiement afin de garantir la sécurité tout au long du processus DevOps. Elle inclut également des sujets communs comme la modélisation des menaces et la sécurité dans l’approvisionnement en logiciels. |
| Gouvernance et stratégie | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de gouvernance documentée pour guider et soutenir l’assurance sécurité, ce qui inclut l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes. |
Recommandations dans le benchmark de sécurité cloud Microsoft
Chaque recommandation comprend les informations suivantes :
- ID : ID du benchmark qui correspond à la recommandation.
- ID CIS Controls v8 : Contrôle(s) CIS Controls v8 correspondant à la recommandation.
- ID CIS Controls v7.1 : Contrôle(s) CIS Controls v7.1 correspondant à la recommandation (non disponible sur le web pour des raisons de formatage).
- ID PCI-DSS v3.2.1 : Contrôle(s) PCI-DSS v3.2.1 correspondant à la recommandation.
- NIST SP 800-53 r4 ID(s) : le ou les contrôles NIST SP 800-53 r4 (modéré et élevé) correspondent à cette recommandation.
- Principe de sécurité : Recommandation axée sur le « quoi », expliquant le contrôle au niveau agnostique vis-à-vis de la technologie.
- Conseil d’Azure : Recommandation axée sur le « comment », détaillant les fonctionnalités techniques d’Azure et les bases de l’implémentation.
- Conseils AWS : la recommandation s’est concentrée sur le « comment », expliquant les fonctionnalités techniques aws et les principes de base de l’implémentation.
- Implémentation et contexte supplémentaire : les détails de l’implémentation et d’autres contextes pertinents qui renvoient aux articles de documentation sur l’offre de services Azure et AWS.
- Parties prenantes de la sécurité du client : Fonctions de sécurité dans l’organisation du client qui peuvent être imputables, responsables ou consultées pour le contrôle concerné. Cela peut varier d’une organisation à une autre en fonction de la structure d’organisation de la sécurité de l’entreprise ainsi que des rôles et des responsabilités configurés par rapport à la sécurité Azure.
Les mappages de contrôle entre MCSB et les benchmarks du secteur (tels que CIS, NIST et PCI) indiquent uniquement qu’une ou plusieurs fonctionnalités Azure spécifiques peuvent être utilisées pour répondre entièrement ou partiellement à une exigence de contrôle définie dans ces benchmarks sectoriels. Vous devez avoir conscience qu’une telle implémentation ne se traduit pas nécessairement par une conformité totale des contrôles correspondants dans ces points de référence du secteur.
Nous vous invitons à nous faire part de vos commentaires détaillés et de votre participation active à l’effort d’évaluation de la sécurité du cloud Microsoft. Si vous souhaitez fournir une entrée directe, envoyez-nous un e-mail à l’adresse benchmarkfeedback@microsoft.com.
Télécharger
Vous pouvez télécharger la copie hors connexion du benchmark et de la base de référence au format feuille de calcul.
Étapes suivantes
- Reportez-vous au premier contrôle de sécurité : Sécurité du réseau
- Lire l’introduction du benchmark de sécurité cloud Microsoft
- Découvrir les Concepts de base de la sécurité Azure