Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pour une présentation du projet de benchmark de sécurité cloud Microsoft, y compris les concepts clés, les conseils d’implémentation et la terminologie, consultez l’introduction du benchmark de sécurité cloud Microsoft.
Le benchmark de sécurité cloud Microsoft v2 (préversion) fournit des conseils améliorés axés sur Azure avec des domaines de sécurité étendus et des détails d’implémentation technique complets. Cette version s'appuie sur la base du benchmark de sécurité cloud Microsoft avec des contrôles de sécurité affinés, des conseils de sécurité IA et des mappages Azure Policy étendus.
Fonctionnalités clés
Remarque
Microsoft Cloud Security Benchmark v2 (préversion) est désormais disponible. Explorez cette version et fournissez des commentaires pour nous aider à l’améliorer. Pour toute question ou commentaire, envoyez-nous un e-mail à benchmarkfeedback@microsoft.com.
Pour plus d’informations sur la version antérieure, consultez Vue d’ensemble du benchmark de sécurité cloud Microsoft v1.
Le benchmark de sécurité cloud Microsoft v2 (préversion) inclut les éléments suivants :
Artificial Intelligence Security - Un nouveau domaine de sécurité avec sept recommandations couvrant la sécurité de la plateforme IA, la sécurité des applications IA et la surveillance de la sécurité de l’IA pour répondre aux menaces et aux risques dans les déploiements d’intelligence artificielle.
Mappages Azure Policy complets : plus de 420 définitions intégrées Azure Policy pour vous aider à mesurer et à surveiller votre posture de sécurité dans Azure à l’aide d’Azure Policy et de Defender pour cloud.
Conseils sur les risques et les menaces - Recommandations complètes avec des exemples d’implémentation technique granulaires et des références détaillées pour vous aider à comprendre les risques et menaces de sécurité que chaque contrôle de sécurité atténue et comment implémenter les contrôles de sécurité dans votre environnement Azure.
Domaines de sécurité
| Domaine de sécurité | Descriptif |
|---|---|
| Sécurité réseau (NS) | La sécurité réseau couvre les contrôles permettant de sécuriser et de protéger les réseaux, notamment la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation du DNS. |
| Gestion des identités (messagerie instantanée) | Identity Management couvre les contrôles permettant d’établir des contrôles d’identité et d’accès sécurisés à l’aide de systèmes de gestion des identités et des accès, notamment l’utilisation de l’authentification unique, des authentifications fortes, des identités managées (et des principaux de service) pour les applications, l’accès conditionnel et la surveillance des anomalies de compte. |
| Accès privilégié (PA) | L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires. |
| Protection des données (DP) | La protection des données couvre le contrôle de la protection des données au repos, en transit et via des mécanismes d’accès autorisés, notamment la découverte, la classification, la protection et la surveillance des ressources de données sensibles à l’aide du contrôle d’accès, du chiffrement, de la gestion des clés et de la gestion des certificats. |
| Gestion des ressources (AM) | Asset Management couvre les contrôles pour garantir la visibilité et la gouvernance de la sécurité sur vos ressources, notamment les recommandations sur les autorisations pour le personnel de sécurité, l’accès à la sécurité à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correct). |
| Journalisation et détection des menaces (LT) | La journalisation et la détection des menaces couvrent les contrôles de détection des menaces sur le cloud, ainsi que l’activation, la collecte et le stockage des journaux d’audit pour les services cloud, notamment l’activation des processus de détection, d’investigation et de correction avec des contrôles permettant de générer des alertes de haute qualité avec la détection des menaces natives dans les services cloud. Il inclut également la collecte des journaux d’activité avec un service de supervision cloud, la centralisation de l’analyse de la sécurité avec un SIEM, une synchronisation de temps et une rétention des journaux. |
| Réponse aux incidents (IR) | La réponse aux incidents couvre les contrôles dans le cycle de vie de la réponse aux incidents : préparation, détection et analyse, activités de confinement et post-incident, notamment l’utilisation de services Azure (tels que Microsoft Defender pour Cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités (PV) | Posture et Gestion des vulnérabilités se concentrent sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité cloud, notamment l’analyse des vulnérabilités, les tests de pénétration et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources cloud. |
| Sécurité des points de terminaison (ES) | La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud. |
| Sauvegarde et récupération (BR) | La sauvegarde et la récupération couvrent les contrôles pour garantir que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées. |
| Sécurité DevOps (DS) | DevOps Security couvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, y compris le déploiement de vérifications de sécurité critiques (comme les tests de sécurité d’application statiques, la gestion des vulnérabilités) avant la phase de déploiement pour garantir la sécurité tout au long du processus DevOps. Il inclut également des sujets courants tels que la modélisation des menaces et la sécurité de l’approvisionnement logiciel. |
| Intelligence artificielle Sécurité (IA) | Artificial Intelligence Security couvre les contrôles pour garantir le développement, le déploiement et le fonctionnement sécurisés des modèles et services IA, notamment la sécurité de la plateforme IA, la sécurité des applications IA et la surveillance de la sécurité de l’IA. |
Structure de contrôle de sécurité dans le benchmark de sécurité cloud Microsoft v2 (préversion)
Chaque contrôle de sécurité dans le benchmark comprend les sections suivantes :
- ID : identificateur unique pour chaque contrôle de sécurité, constitué d’une abréviation de domaine et d’un numéro (par exemple, IA-1 pour le contrôle de sécurité d’intelligence artificielle 1, DP-1 pour le contrôle de protection des données 1, NS-2 pour le contrôle de sécurité réseau 2). Cet ID est utilisé dans la documentation pour référencer des contrôles de sécurité spécifiques.
- Azure Policy : liens vers des définitions de stratégie intégrées Azure que vous pouvez utiliser pour mesurer et appliquer le contrôle de sécurité. Notez que tous les contrôles de sécurité n'incluent pas un lien Azure Policy, car certains contrôles de sécurité fournissent des conseils pour les scénarios ou les configurations que l’automatisation d’Azure Policy ne peut pas appliquer.
- Principe de sécurité : description générale du contrôle de sécurité au niveau technologique indépendant, expliquant « quoi » et « pourquoi » du contrôle de sécurité.
- Risque à atténuer : risques de sécurité et menaces spécifiques que le contrôle de sécurité vise à résoudre.
- MITRE ATT&CK : tactiques, techniques et procédures (TSP) MITRE ATT&CK pertinentes pour les risques de sécurité. En savoir plus sur https://attack.mitre.org/.
- Conseils d’implémentation : conseils techniques détaillés spécifiques à Azure organisés en sous-sections numérotées (par exemple, NS-1.1, NS-1.2) expliquant comment implémenter le contrôle de sécurité à l’aide des fonctionnalités et services Azure.
- Exemple d’implémentation : scénario réel pratique illustrant comment implémenter le contrôle de sécurité, y compris le défi, l’approche de solution et le résultat.
- Niveau de criticité : indique l’importance relative du contrôle de sécurité pour la posture de sécurité. Les valeurs possibles sont « Doit avoir » (essentielle pour la sécurité de référence), « Doit avoir » (important pour une sécurité renforcée) ou « Nice à avoir » (avantageux pour les scénarios de sécurité avancés).
-
Mappage des contrôles : mappages aux normes et cadres de sécurité du secteur, notamment :
- NIST SP 800-53 Rev.5 : ID de contrôle de sécurité NIST SP 800-53 r5
- PCI-DSS v4 : ID de conditions requises PCI-DSS v4
- CIS Controls v8.1 : ID CIS Controls v8.1
- NIST CSF v2.0 : fonction et ID de catégorie NIST Cybersecurity Framework v2.0
- ISO 27001:2022 : ID de contrôle de sécurité ISO/IEC 27001:2022
- SOC 2 : Critères des services de confiance SOC 2
Les mappages de contrôle de sécurité entre mcSB et les benchmarks du secteur (tels que CIS, NIST, PCI, ISO et autres) indiquent uniquement que vous pouvez utiliser des fonctionnalités Azure spécifiques pour répondre entièrement ou partiellement à une exigence de contrôle de sécurité définie dans ces benchmarks du secteur. Cette implémentation ne se traduit pas nécessairement par la conformité complète des contrôles de sécurité correspondants dans ces benchmarks du secteur.
Nous vous accueillons vos commentaires détaillés et votre participation active au test de sécurité cloud Microsoft v2 (préversion). Si vous souhaitez fournir une entrée directe, envoyez-nous un e-mail à benchmarkfeedback@microsoft.com.
Étapes suivantes
- Passez en revue l’introduction du benchmark de sécurité cloud Microsoft pour obtenir des conseils généraux sur les concepts et l’implémentation de MCSB
- Explorer les domaines de sécurité à partir de la sécurité réseau
- En savoir plus sur les principes de base de la sécurité Azure