Vue d’ensemble des contrôles de sécurité Azure (v2)
Azure Security Benchmark (ASB) prescrit les bonnes pratiques et des recommandations pour améliorer la sécurité des charges de travail, des données et des services dans Azure.
Ce benchmark fait partie d’un ensemble de principes de sécurité globaux qui incluent aussi :
- Cloud Adoption Framework – Conseils de sécurité sur notamment la stratégie, les rôles et responsabilités, les 10 premières bonnes pratiques de sécurité Azure et l’implémentation de référence.
- Azure Well-Architected Framework – Conseils sur la sécurisation de vos charges de travail dans Azure.
- Bonnes pratiques de sécurité Microsoft – Recommandations avec des exemples sur Azure.
Azure Security Benchmark se concentre sur les zones de contrôle axées sur le cloud. Ces contrôles sont cohérents avec des points de benchmarks de sécurité bien connus, tels que ceux décrits dans la version 7.1 des contrôles CIS (Center for Internet Security) et dans la publication spéciale SP 800-53 du NIST (National Institute of Standards and Technology). Les contrôles suivants sont inclus dans Azure Security Benchmark :
| Domaines de contrôle ASB | Description |
|---|---|
| Sécurité réseau | La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux Azure, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation de DNS. |
| Gestion des identités | Identity Management couvre les contrôles permettant d’établir une identité et des contrôles d’accès sécurisés à l’aide d’Azure Active Directory, y compris l’utilisation de l’authentification unique, d’authentifications fortes, d’identités managées (et de principaux de service) pour les applications, d’accès conditionnel et de surveillance des anomalies de compte. |
| Accès privilégié | L’accès privilégié recouvre les contrôles destinés à protéger l’accès privilégié à votre locataire et vos ressources Azure, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires. |
| Protection des données | La protection des données recouvre le contrôle de la protection des données au repos, en transit et par le biais de mécanismes d’accès autorisés, ce qui inclut la découverte, la classification, la protection et la supervision des ressources de données sensibles en utilisant le contrôle d’accès, le chiffrement et la journalisation dans Azure. |
| Gestion des ressources | La gestion des ressources recouvre les contrôles destinés à assurer la visibilité et la gouvernance de la sécurité sur les ressources Azure, ce qui inclut des recommandations sur les autorisations pour le personnel de sécurité, l’accès sécurisé à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction). |
| Journalisation et détection des menaces | La journalisation et la détection des menaces recouvrent les contrôles destinés à détecter les menaces dans Azure et à activer, collecter et stocker les journaux d’audit pour les services Azure, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec Azure Monitor, la centralisation de l’analyse de la sécurité avec Azure Sentinel, la synchronisation de l’heure et la conservation des journaux. |
| Réponse aux incidents | La réponse aux incidents recouvre les contrôles du cycle de vie de la réponse aux incidents – préparation, détection et analyse, autonomie et activités post-incident, ce qui inclut l’utilisation de services Azure comme Azure Security Center et Sentinel pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités | La gestion des postures et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et améliorer la posture de sécurité d’Azure, ce qui inclut l’analyse des vulnérabilités, les tests et la correction des intrusions, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources Azure. |
| Sécurité des points de terminaison | La sécurité des points de terminaison recouvre les contrôles de détection et d’arrêt des menaces, notamment l’utilisation de la technologie EDR (Endpoint Detection and Response) et du service anti-programme malveillant pour les points de terminaison dans les environnements Azure. |
| Sauvegarde et récupération | La sauvegarde et la récupération recouvrent les contrôles destinés à s’assurer que les sauvegardes de données et de configurations aux différents niveaux de service sont effectuées, validées et protégées. |
| Gouvernance et stratégie | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de gouvernance documentée pour guider et soutenir l’assurance sécurité, ce qui inclut l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes. |
Recommandations relatives au benchmark de sécurité Azure
Chaque recommandation comprend les informations suivantes :
- Identifiant Azure : Identifiant de benchmark de sécurité Azure correspondant à la recommandation.
- ID des contrôles CIS v7.1 : Contrôle(s) CIS v7.1 correspondant à cette recommandation.
- ID NIST SP 800-53 r4 : Contrôle(s) NIST SP 800-53 r4 (modéré(s)) correspondant à cette recommandation.
- Détails : Raisons ayant motivé la recommandation et liens vers des conseils d’implémentation de celle-ci. Si la recommandation est prise en charge par Azure Security Center, l’information est également indiquée.
- Responsabilité : Client, fournisseur de service ou les deux en chargé de l’implémentation de cette recommandation. Les responsabilités en matière de sécurité sont partagées dans le cloud public. Certains contrôles de sécurité étant uniquement accessibles au fournisseur de services cloud, c’est lui qui en est responsable. Ces observations sont d’ordre général. Pour certains services individuels, la responsabilité sera différente de ce qui est indiqué dans le benchmark de sécurité Azure. Ces différences sont décrites dans les recommandations de référence pour les services individuels.
- Parties prenantes de la sécurité des clients : Fonctions de sécurité dans l’organisation du client qui peuvent être comptables, responsables ou consultées pour le contrôle concerné. Cela peut varier d’une organisation à une autre en fonction de la structure d’organisation de la sécurité de l’entreprise ainsi que des rôles et des responsabilités configurés par rapport à la sécurité Azure.
Notes
La correspondance des contrôles entre ASB et les benchmarks du secteur (tels que NIST et CIS) indique uniquement qu’une fonctionnalité Azure spécifique peut être utilisée pour répondre en tout ou partie à une spécification de contrôle définie dans NIST ou CIS. Vous devez avoir conscience que cette implémentation ne se traduit pas nécessairement par une conformité totale du contrôle correspondant dans CIS ou NIST.
Vos commentaires détaillés et votre participation active à la réussite du benchmark de sécurité Azure sont les bienvenus. Si vous souhaitez adresser un commentaire directement à l’équipe Azure Security Benchmark, remplissez le formulaire disponible à l’adresse https://aka.ms/AzSecBenchmark
Télécharger
Vous pouvez télécharger le benchmark de sécurité Azure au format de feuille de calcul.
Étapes suivantes
- Reportez-vous au premier contrôle de sécurité : Sécurité du réseau
- Lire l’introduction aux benchmarks de sécurité Azure
- Découvrir les Concepts de base de la sécurité Azure