Vue d’ensemble des contrôles de sécurité Azure (v3)

Article
30/01/2024

Azure Security Benchmark (ASB) prescrit les bonnes pratiques et des recommandations pour améliorer la sécurité des charges de travail, des données et des services dans Azure. Ce benchmark fait partie d’un ensemble de principes de sécurité globaux qui incluent aussi :

Cloud Adoption Framework : Conseils sur la sécurité, y compris la stratégie, les rôles et les responsabilités, les 10 meilleures pratiques de sécurité d’Azure et l’implémentation de référence.
Azure Well-Architected Framework : Conseils sur la sécurisation de vos charges de travail dans Azure.
Meilleures pratiques de sécurité de Microsoft : Recommandations avec des exemples sur Azure.
Architectures de référence de la cybersécurité de Microsoft (MCRA) : Diagrammes visuels et conseils pour les composants et les relations de sécurité

Azure Security Benchmark se concentre sur les zones de contrôle axées sur le cloud. Ces contrôles sont cohérents avec des points de référence de sécurité bien connus, tels que ceux décrits par les contrôles CIS (Center for Internet Security), le National Institute of Standards and Technology (NIST) et la norme de sécurité de l’industrie des cartes de paiement (PCI-DSS).

Nouveautés du Point de référence de sécurité Azure v3

Voici les nouveautés du Point de référence de sécurité Azure v3 :

Ajout de correspondances aux infrastructures du secteur PCI-DSS v3.2.1 et CIS Controls v8 en plus des correspondances existantes à CIS Controls v7.1 et NIST SP800-53 Rev4.
Affinage des conseils de contrôle pour qu’ils soient plus granulaires et exploitables, par exemple, les conseils en matière de sécurité sont désormais divisés en deux parties distinctes : Principe de sécurité et Conseil d’Azure. Le principe de sécurité est le « quoi », expliquant le contrôle au niveau agnostique vis-à-vis de la technologie. Le conseil d’Azure est axé sur le « comment », détaillant les fonctionnalités techniques pertinentes et les moyens d’implémenter les contrôles dans Azure.
Ajout de nouveaux contrôles, par exemple, la sécurité DevOps en tant que nouvelle famille de contrôles qui comprend également des sujets tels que la modélisation des menaces et la sécurité de la chaîne d’approvisionnement logiciel. La gestion des clés et des certificats a été introduite pour recommander les meilleures pratiques en matière de gestion des certificats et des clés dans Azure.

Contrôles

Les contrôles suivants sont inclus dans le Point de référence de sécurité Azure v3 :

Domaines de contrôle ASB	Description
Sécurité réseau	La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux Azure, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation de DNS.
Gestion des identités	Identity Management couvre les contrôles permettant d’établir une identité et des contrôles d’accès sécurisés à l’aide d’Azure Active Directory, y compris l’utilisation de l’authentification unique, d’authentifications fortes, d’identités managées (et de principaux de service) pour les applications, d’accès conditionnel et de surveillance des anomalies de compte.
Accès privilégié	L’accès privilégié recouvre les contrôles destinés à protéger l’accès privilégié à votre locataire et vos ressources Azure, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires.
Protection des données	La protection des données recouvre le contrôle de la protection des données au repos, en transit et par le biais de mécanismes d’accès autorisés, ce qui inclut la découverte, la classification, la protection et la supervision des ressources de données sensibles en utilisant le contrôle d’accès, le chiffrement et la gestion de certificat Azure.
Gestion des ressources	La gestion des ressources recouvre les contrôles destinés à assurer la visibilité et la gouvernance de la sécurité sur les ressources Azure, ce qui inclut des recommandations sur les autorisations pour le personnel de sécurité, l’accès sécurisé à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction).
Journalisation et détection des menaces	La journalisation et la détection des menaces recouvrent les contrôles destinés à détecter les menaces dans Azure et à activer, collecter et stocker les journaux d’audit pour les services Azure, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec Azure Monitor, la centralisation de l’analyse de la sécurité avec Azure Sentinel, la synchronisation de l’heure et la conservation des journaux.
Réponse aux incidents	La réponse aux incidents recouvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, confinement et activités post-incident, y compris l’utilisation de services Azure comme Microsoft Defender pour le cloud et Sentinel pour automatiser le processus de réponse aux incidents.
Gestion des postures et des vulnérabilités	La gestion des postures et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et améliorer la posture de sécurité d’Azure, ce qui inclut l’analyse des vulnérabilités, les tests et la correction des intrusions, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources Azure.
Sécurité des points de terminaison	La sécurité des points de terminaison recouvre les contrôles de détection et d’arrêt des menaces, notamment l’utilisation de la technologie EDR (Endpoint Detection and Response) et du service anti-programme malveillant pour les points de terminaison dans les environnements Azure.
Sauvegarde et récupération	La sauvegarde et la récupération recouvrent les contrôles destinés à s’assurer que les sauvegardes de données et de configurations aux différents niveaux de service sont effectuées, validées et protégées.
Sécurité DevOps (DS)	La sécurité DevOps recouvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, y compris le déploiement de vérifications de sécurité critiques (tels que les tests statiques de sécurité des applications, la gestion des vulnérabilités) avant la phase de déploiement afin de garantir la sécurité tout au long du processus DevOps. Elle inclut également des sujets communs comme la modélisation des menaces et la sécurité dans l’approvisionnement en logiciels.
Gouvernance et stratégie	La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de gouvernance documentée pour guider et soutenir l’assurance sécurité, ce qui inclut l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes.

Recommandations relatives au benchmark de sécurité Azure

Chaque recommandation comprend les informations suivantes :

ID ASB : Identifiant de Point de référence de sécurité Azure correspondant à la recommandation.
ID CIS Controls v8 : Contrôle(s) CIS Controls v8 correspondant à la recommandation.
ID CIS Controls v7.1 : Contrôle(s) CIS Controls v7.1 correspondant à la recommandation (non disponible sur le web pour des raisons de formatage).
ID PCI-DSS v3.2.1 : Contrôle(s) PCI-DSS v3.2.1 correspondant à la recommandation.
ID NIST SP 800-53 r4 : Contrôle(s) NIST SP 800-53 r4 (Modéré et Élevé) correspondant à cette recommandation.
Principe de sécurité : Recommandation axée sur le « quoi », expliquant le contrôle au niveau agnostique vis-à-vis de la technologie.
Conseil d’Azure : Recommandation axée sur le « comment », détaillant les fonctionnalités techniques d’Azure et les bases de l’implémentation.
Implémentation et contexte supplémentaire : Détails de l’implémentation et autre contexte pertinent qui renvoie aux articles de documentation de l’offre de services Azure.
Parties prenantes de la sécurité du client : Fonctions de sécurité dans l’organisation du client qui peuvent être imputables, responsables ou consultées pour le contrôle concerné. Cela peut varier d’une organisation à une autre en fonction de la structure d’organisation de la sécurité de l’entreprise ainsi que des rôles et des responsabilités configurés par rapport à la sécurité Azure.

Notes

La correspondance des contrôles entre le Point de référence de sécurité Azure et les points de référence du secteur (tels que CIS, NIST et PCI) indique uniquement qu’une ou plusieurs fonctionnalités Azure spécifiques peuvent être utilisées pour répondre en tout ou partie à une spécification de contrôle définie dans ces points de référence du secteur. Vous devez avoir conscience qu’une telle implémentation ne se traduit pas nécessairement par une conformité totale des contrôles correspondants dans ces points de référence du secteur.

Vos commentaires détaillés et votre participation active à la réussite du benchmark de sécurité Azure sont les bienvenus. Si vous souhaitez adresser un commentaire directement à l’équipe Azure Security Benchmark, remplissez le formulaire disponible à l’adresse https://aka.ms/AzSecBenchmark

Télécharger

Vous pouvez télécharger le benchmark de sécurité Azure au format de feuille de calcul.

Étapes suivantes

Reportez-vous au premier contrôle de sécurité : Sécurité du réseau
Lire l’introduction aux benchmarks de sécurité Azure
Découvrir les Concepts de base de la sécurité Azure

Ressources supplémentaires

Documentation

Benchmark de sécurité cloud Microsoft

Le benchmark de sécurité cloud Microsoft contient des recommandations qui vous aident à améliorer la sécurité de vos applications et données dans le cloud
Présentation du point de référence de sécurité Microsoft Cloud.

Vue d’ensemble du benchmark de sécurité cloud Microsoft
Vue d’ensemble des bases de référence de sécurité pour Azure

Vue d’ensemble des bases de référence de sécurité pour Azure
Présentation du benchmark de sécurité cloud Microsoft

Présentation du benchmark de sécurité cloud Microsoft
Benchmark de sécurité cloud Microsoft - Sécurité réseau

Benchmark de sécurité cloud Microsoft - Sécurité réseau
Vue d’ensemble d’Azure Security Benchmark V2

Vue d’ensemble d’Azure Security Benchmark V2
Base de référence de sécurité Azure pour Microsoft Defender pour le cloud

La base de référence Microsoft Defender pour la sécurité cloud fournit des conseils et des ressources en matière de procédure pour l’implémentation des recommandations de sécurité spécifiées dans le benchmark de sécurité cloud Microsoft.
Mappage d’Azure Security Benchmark v2 et CIS Microsoft Azure Foundations Benchmark

Mappage d’Azure Security Benchmark v2 et CIS Microsoft Azure Foundations Benchmark

Entrainement

Module

Créer des bases de référence de sécurité - Training

Dans ce module, vous allez découvrir comment créer des bases de référence de sécurité pour vos services Azure en vous assurant que vos paramètres répondent aux exigences minimales décrites dans le document Benchmarks CIS pour Azure v. 1.3.0.

Certification

Microsoft Certified: Azure Security Engineer Associate - Certifications

Démontrez les compétences nécessaires afin de mettre en œuvre des contrôles de sécurité, de maintenir la posture de sécurité d’une organisation, et d’identifier et de remédier aux vulnérabilités en matière de sécurité.

Partager via