Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le benchmark de sécurité cloud Microsoft (MCSB) fournit des bonnes pratiques et des recommandations normatives pour aider à améliorer la sécurité des charges de travail, des données et des services sur Azure et votre environnement multicloud. Ce benchmark se concentre sur les zones de contrôle cloud. Il apporte un ensemble complet d’informations relatives à la sécurité, qui proviennent de Microsoft et d’autres acteurs du secteur :
- Cloud Adoption Framework : conseils sur la sécurité, y compris la stratégie, les rôles et les responsabilités, les 10 meilleures pratiques de sécurité Azure et l’implémentation de référence.
- Azure Well-Architected Framework : Conseils sur la sécurisation de vos charges de travail sur Azure.
- Atelier du responsable de la sécurité des systèmes d’information (CISO) : orientations du programme et stratégies de référence pour accélérer la modernisation de la sécurité à l’aide des principes Zero Trust.
- Normes et cadre de bonnes pratiques de sécurité d’autres fournisseurs de services sectoriels et cloud : par exemple, le cadre Well-Architected d’Amazon Web Services (AWS), les contrôles du Center for Internet Security (CIS), le National Institute of Standards and Technology (NIST) et la norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS).
Nouveautés du benchmark de sécurité cloud Microsoft v1
Remarque
Le benchmark de sécurité cloud Microsoft est le successeur d’Azure Security Benchmark (ASB), qui a été renommé en octobre 2022.
La prise en charge de Google Cloud Platform dans MCSB est désormais disponible en tant que fonctionnalité d’aperçu à la fois dans les conseils de référence MCSB et dans Microsoft Defender pour le cloud.
Voici les nouveautés du benchmark de sécurité cloud Microsoft v1 :
Cadre de sécurité multicloud complet : les entreprises doivent souvent élaborer une norme de sécurité interne pour rapprocher les contrôles de sécurité sur plusieurs plateformes cloud afin de répondre aux exigences de sécurité et de conformité de chacune d’entre elles. Les équipes de sécurité doivent souvent répéter la même implémentation, le même monitoring et la même évaluation dans les différents environnements cloud (souvent pour différents standards de conformité). Cela crée des surcharges, des coûts et des efforts inutiles. Pour répondre à ce problème, nous avons amélioré l’ASB en MCSB pour vous aider à travailler rapidement avec différents clouds en :
- Fournit un framework de contrôle unique pour répondre facilement aux exigences des contrôles de sécurité des différents clouds
- Fournir une expérience utilisateur cohérente pour la surveillance et l’application du benchmark de sécurité multicloud dans Defender pour le cloud
- Reste aligné sur les normes du secteur (par exemple, CIS, NIST, PCI)
Surveillance automatisée du contrôle pour AWS dans Microsoft Defender pour le cloud : vous pouvez utiliser le tableau de bord de conformité réglementaire de Microsoft Defender pour le cloud pour surveiller votre environnement AWS par rapport à MCSB, tout comme vous surveillez votre environnement Azure. Dans le MCSB, nous avons créé environ 180 contrôles AWS pour les nouvelles instructions de sécurité AWS, ce qui vous permet de monitorer votre environnement et vos ressources AWS dans Microsoft Defender pour le cloud.
Une actualisation des conseils et des principes de sécurité Azure existants : nous avons également actualisé certains des conseils de sécurité et des principes de sécurité Azure existants au cours de cette mise à jour afin que vous puissiez rester à jour avec les dernières fonctionnalités et fonctionnalités Azure.
Contrôles
| Domaines de contrôle | Descriptif |
|---|---|
| Sécurité réseau (NS) | La sécurité réseau couvre les contrôles permettant de sécuriser et de protéger les réseaux, notamment la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation du DNS. |
| Gestion des identités (messagerie instantanée) | Identité et accès couvre les contrôles destinés à établir des contrôles d’identité et d’accès à l’aide de systèmes d’administration des identités et accès, y compris l’utilisation de l’authentification unique, des authentifications renforcées, des identités managées (et principaux de service) pour les applications, l’accès conditionnel et le monitoring des anomalies de compte. |
| Accès privilégié (PA) | L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires. |
| Protection des données (DP) | La protection des données couvre le contrôle de la protection des données au repos, en transit et via des mécanismes d’accès autorisés, notamment la découverte, la classification, la protection et la surveillance des ressources de données sensibles à l’aide du contrôle d’accès, du chiffrement, de la gestion des clés et de la gestion des certificats. |
| Gestion des ressources (AM) | Asset Management couvre les contrôles pour garantir la visibilité et la gouvernance de la sécurité sur vos ressources, notamment les recommandations sur les autorisations pour le personnel de sécurité, l’accès à la sécurité à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correct). |
| Journalisation et détection des menaces (LT) | La journalisation et la détection des menaces couvrent les contrôles de détection des menaces sur le cloud et l’activation, la collecte et le stockage des journaux d’audit pour les services cloud, notamment l’activation des processus de détection, d’investigation et de correction avec des contrôles pour générer des alertes de haute qualité avec détection des menaces natives dans les services cloud ; il inclut également la collecte des journaux avec un service de supervision cloud, la centralisation de l’analyse de la sécurité avec un SIEM, une synchronisation de temps et une rétention des journaux. |
| Réponse aux incidents (IR) | La réponse aux incidents couvre les contrôles dans le cycle de vie de la réponse aux incidents : préparation, détection et analyse, activités de confinement et post-incident, notamment l’utilisation de services Azure (tels que Microsoft Defender pour Cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités (PV) | Posture et Gestion des vulnérabilités se concentrent sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité cloud, notamment l’analyse des vulnérabilités, les tests de pénétration et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources cloud. |
| Sécurité des points de terminaison (ES) | La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud. |
| Sauvegarde et récupération (BR) | La sauvegarde et la récupération couvrent les contrôles pour garantir que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées. |
| Sécurité DevOps (DS) | Sécurité DevOps couvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, y compris le déploiement de vérifications de sécurité critiques (tels que les tests statiques de sécurité des applications, la gestion des vulnérabilités) avant la phase de déploiement afin de garantir la sécurité tout au long du processus DevOps. Elle inclut également des sujets communs comme la modélisation des menaces et la sécurité dans l’approvisionnement en logiciels. |
| Gouvernance et stratégie (GS) | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de la gouvernance documentée et guider et soutenir l’assurance sécurité, y compris l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes. |
Recommandations du benchmark de sécurité cloud Microsoft
Chaque recommandation comprend les informations suivantes :
- ID : ID du benchmark qui correspond à la recommandation.
- ID(s) CIS Controls v8 : contrôle(s) CIS Controls v8 qui correspondent à la recommandation.
- ID(s) CIS Controls v7.1 : contrôle(s) CIS Controls v7.1 correspondant à la recommandation (non disponible sur le web en raison de la raison de mise en forme).
- Identifiant(s)PCI-DSS v3.2.1 : Les contrôles PCI-DSS v3.2.1 qui correspondent à la recommandation.
- NIST SP 800-53 r4 ID(s) : Les commandes NIST SP 800-53 r4 (modérée et élevée) correspondent(s) à cette recommandation.
- Principe de sécurité : La recommandation s’est concentrée sur le « quoi », expliquant le contrôle au niveau indépendant de la technologie.
- Conseils Azure : La recommandation s’est concentrée sur la « façon », expliquant les fonctionnalités techniques et les principes de base de l’implémentation Azure.
- Conseils AWS : la recommandation s’est concentrée sur le « comment », en expliquant les fonctionnalités techniques AWS et les bases de la mise en œuvre.
- Implémentation et contexte supplémentaire : les détails de l’implémentation et d’autres contextes pertinents qui renvoient aux articles de documentation sur l’offre de services Azure et AWS.
- Parties prenantes de la sécurité des clients: les fonctions de sécurité de l’organisation client qui peuvent être redevables, responsables ou consultées pour le contrôle respectif. Il peut être différent de l’organisation à l’organisation en fonction de la structure de l’organisation de sécurité de votre entreprise, ainsi que des rôles et responsabilités que vous avez configurés liés à la sécurité Azure.
Les mappages de contrôle entre MCSB et les benchmarks du secteur (tels que CIS, NIST et PCI) indiquent uniquement qu’une ou plusieurs fonctionnalités Azure spécifiques peuvent être utilisées pour répondre entièrement ou partiellement à une exigence de contrôle définie dans ces benchmarks du secteur. Vous devez être conscient que cette implémentation ne se traduit pas nécessairement par la conformité complète des contrôles correspondants dans ces benchmarks du secteur.
Nous vous invitons à nous faire part de vos commentaires détaillés et à votre participation active à l’effort de référence de la sécurité cloud de Microsoft. Si vous souhaitez fournir des commentaires directs, veuillez nous envoyer un courriel à .benchmarkfeedback@microsoft.com
Télécharger
Vous pouvez télécharger la copie hors ligne du benchmark et de la baseline au format tableur.
Étapes suivantes
- Consultez le premier contrôle de sécurité : sécurité réseau
- Lire l’introduction du benchmark de sécurité cloud Microsoft
- Découvrir les principes de base de la sécurité Azure