Contrôle de sécurité v3 : protection des données
La protection des données recouvre le contrôle de la protection des données au repos, en transit et par le biais de mécanismes d’accès autorisés, ce qui inclut la découverte, la classification, la protection et la supervision des ressources de données sensibles en utilisant le contrôle d’accès, le chiffrement et la gestion de certificat Azure.
DP-1 : Découvrir, classer et étiqueter des données sensibles
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.2, 3.7, 3.13 | RA-2, SC-28 | A3.2 |
Principe de sécurité : établissez et gérez un inventaire des données sensibles, en fonction de l’étendue des données sensibles définie. Utilisez les outils pour découvrir, classer et étiqueter les données sensibles dans l’étendue.
Conseils Azure : utilisez des outils tels que Microsoft Purview, Azure Information Protection et Azure SQL la découverte et la classification des données pour analyser, classifier et étiqueter de manière centralisée les données sensibles qui résident dans Azure, localement, Microsoft 365 et d’autres emplacements.
Implémentation et contexte supplémentaire :
- Vue d’ensemble de la classification des données
- Étiqueter vos données sensibles à l’aide de Microsoft Purview
- Étiqueter des informations sensibles à l’aide d’Azure Information Protection
- Guide pratique pour implémenter la recherche de données Azure SQL
- Sources de données Microsoft Purview
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevOps
- Sécurité des données
- Sécurité d’infrastructure et de point de terminaison
DP-2 : surveiller les anomalies et les menaces ciblant les données sensibles
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.13 | AC-4, SI-4 | A3.2 |
Principe de sécurité : détectez les anomalies autour des données sensibles, telles que le transferts non autorisés de données vers des emplacements situés hors du champ de visibilité ou de contrôle des entreprises. Cela implique généralement de surveiller des activités anormales (transferts volumineux ou inhabituels) qui pourraient être le signe d’une exfiltration de données non autorisée.
Conseils Azure : utilisez Azure information protection (AIP) pour surveiller les données classées et étiquetées.
Utilisez Azure Defender pour le stockage, Azure Defender pour SQL et Azure Cosmos DB pour alerter le transfert anormal d’informations qui peuvent indiquer des transferts non autorisés d’informations sur des données sensibles.
Remarque : si cela est nécessaire pour la conformité de la protection contre la perte de données (DLP), vous pouvez utiliser une solution DLP de la Place de marché Azure basée sur un hôte ou une solution DLP Microsoft 365 pour appliquer des contrôles de détection et/ou de prévention de façon à empêcher l’exfiltration de données.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Opérations de sécurité
- Sécurité des applications et DevOps
- Sécurité d’infrastructure et de point de terminaison
DP-3 : chiffrer les données sensibles en transit
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.10 | SC-8 | 3.5, 3.6, 4.1 |
Principe de sécurité : protégez les données en transit contre les attaques « hors bande » (telles que la capture de trafic) à l’aide du chiffrement pour empêcher les attaquants de facilement lire ou modifier les données.
Définissez la limite de réseau et l’étendue de service dans lesquelles le chiffrement des données en transit est obligatoire à l’intérieur et à l’extérieur du réseau. C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics.
Conseils Azure : appliquez le transfert sécurisé dans des services tels que le stockage Azure, où une fonctionnalité de chiffrement des données natives en transit est intégrée.
Appliquez HTTPs pour les services et application web de charge de travail en vous assurant que tous les clients qui se connectent à vos ressources Azure utilisent le protocole TLS v 1.2 ou une version ultérieure. Pour la gestion à distance de machines virtuelles, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré.
Remarque : le chiffrement de données en transit est activé pour l’ensemble du trafic Azure s’effectuant entre les centres de données Azure. TLS v 1.2 ou version ultérieure est activé par défaut sur la plupart des services Azure PaaS.
Implémentation et contexte supplémentaire :
- Double chiffrement pour les données Azure en transit
- Présentation du chiffrement en transit avec Azure
- Informations sur la sécurité TLS
- Appliquer le transfert sécurisé dans le stockage Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
- Sécurité des données
DP-4 : activer le chiffrement des données au repos par défaut
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-28 | 3.4, 3.5 |
Principe de sécurité : pour compléter les contrôles d’accès, les données au repos doivent être protégées contre les attaques « hors bande » (telles que l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela vise à empêcher que les attaquants puissent facilement lire ou modifier les données.
Conseils Azure : de nombreux services Azure disposent d’un chiffrement des données au repos activé par défaut au niveau de la couche d’infrastructure à l’aide d’une clé gérée par le service.
Vous pouvez activer le chiffrement des données au repos dans les services Azure ou dans vos machines virtuelles pour le niveau de stockage, le niveau de fichier ou le chiffrement au niveau de la base de données, lorsque que cela est techniquement possible et que le chiffrement n’est pas activé par défaut.
Implémentation et contexte supplémentaire :
- Présentation du chiffrement au repos dans Azure
- Double chiffrement des données au repos dans Azure
- Modèle de chiffrement et table de gestion des clés
- Architecture de la sécurité
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
- Sécurité des données
DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.11 | SC-12, SC-28 | 3.4, 3.5, 3.6 |
Principe de sécurité : si cela est nécessaire pour être en conformité réglementaire, définissez le cas d’usage et l’étendue du service où l’option de clé gérée par le client est requise. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans les services.
Conseils Azure : Azure fournit également l’option de chiffrement à l’aide de clés gérées par vous-même (clés gérées par le client) pour certains services. Toutefois, l’utilisation de l’option de clé gérée par le client nécessite des efforts opérationnels supplémentaires pour gérer le cycle de vie des clés. Cela peut inclure pour les clés de chiffrement : la génération, la rotation, la révocation et le contrôle d’accès, etc.
Implémentation et contexte supplémentaire :
- Modèle de chiffrement et table de gestion des clés
- Services prenant en charge le chiffrement à l’aide de clés gérées par le client
- Comment configurer des clés de chiffrement gérées par le client dans le stockage Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
- Architecture de la sécurité
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
- Sécurité des données
DP-6 : Utiliser un processus sécurisé de gestion de clés
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IA-5, SC-12, SC-28 | 3.6 |
Principe de sécurité : afin de contrôler le cycle de vie de vos clés documentez et implémentez un standard, des processus et des procédures de gestion de clés de chiffrement d’entreprise. Lorsqu’il est nécessaire d’utiliser une clé gérée par le client dans les services, utilisez un service de coffre de clés sécurisé pour la génération, la distribution et le stockage de clés. Faites pivoter et révoquez vos clés suivant la planification définie et en cas de suppression ou de compromission d’une clé.
Conseils Azure : utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, incluant la génération, la distribution et le stockage de clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction de la planification définie et en cas de suppression ou de compromission d’une clé.
Lorsqu’il est nécessaire d’utiliser la clé gérée par le client dans les services de charge de travail ou les applications, veillez à respecter les meilleures pratiques :
- Utilisez une hiérarchie de clés pour générer une clé de chiffrement de données distincte avec votre clé de chiffrement principale dans votre coffre de clés.
- Veillez à ce que les clés soient enregistrées dans Azure Key Vault et implémentez via des ID de clé dans chaque service ou application.
Si vous devez apporter votre propre clé (BYOK) aux services (c’est-à-dire importer des clés protégées par HSM à partir de vos HSM locaux dans Azure Key Vault), suivez les indications recommandées pour effectuer la génération et le transfert de clés.
Remarque : consultez les éléments ci-dessous pour le niveau FIPS 140-2 pour les types d’Azure Key Vault et le niveau de conformité FIPS.
- Clés protégées par logiciel dans les coffres (références SKU Premium & Standard) : FIPS 140-2 Niveau 1
- Clés protégées par HSM dans des coffres (SKU Premium) : FIPS 140-2 niveau 2
- Clés protégées par HSM dans un HSM managé : FIPS 140-2 niveau 3
Implémentation et contexte supplémentaire :
- Vue d’ensemble d’Azure Key Vault
- Chiffrement de données au repos Azure -- hiérarchie des clés
- Spécification Bring Your Own Key (BYOK)
- Gestion des identités et des clés
Parties prenantes de la sécurité des clients (En savoir plus) :
DP-7 : utiliser un processus de gestion des certificats sécurisé
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IA-5, SC-12, SC-17 | 3.6 |
Principe de sécurité : documentez et implémentez un standard, des processus et des procédures de gestion de certificat d’entreprise, ce qui inclut le contrôle du cycle de vie du certificat et les stratégies de certificat (si une infrastructure à clé publique est nécessaire).
Assurez-vous que les certificats utilisés par les services critiques de votre organisation sont inventoriés, suivis, surveillés et renouvelés en temps voulu à l’aide d’un mécanisme automatisé afin d’éviter toute interruption de service.
Conseils Azure : utilisez Azure Key Vault pour créer et contrôler le cycle de vie des certificats, y compris la création et importation, la rotation, la révocation, le stockage et la suppression définitive du certificat. Assurez-vous que générer des certificats respecte la norme définie sans utiliser de propriétés non sécurisées, telles que ’une taille de clé insuffisante, une période de validité trop longue, un chiffrement non sécurisé, etc. Configurez la rotation automatique du certificat dans Azure Key Vault et le service Azure (si pris en charge) en fonction de la planification définie et de l’expiration du certificat. Si la rotation automatique n’est pas prise en charge dans l’application principale, utilisez une rotation manuelle dans Azure Key Vault.
Évitez d’utiliser un certificat auto-signé et un certificat générique dans vos services critiques en raison de la garantie de sécurité limitée. Au lieu de cela, vous pouvez créer un certificat public signé dans Azure Key Vault. Les autorités de certification suivantes sont les actuels fournisseurs associés à Key Vault.
- DigiCert : Azure Key Vault propose des certificats OV TSL/SSL avec DigiCert.
- GlobalSign : Azure Key Vault propose des certificats OV TSL/SSL avec GlobalSign.
Remarque : n’utilisez que les autorités de certification approuvées et assurez-vous que les certificats intermédiaires/racine de l’autorité de certification reconnus non valides ainsi que les certificats émis par ces autorités de certification sont désactivés.
Implémentation et contexte supplémentaire :
- Prise en main des certificats Key Vault
- Contrôle d'accès aux certificats dans Azure Key Vault
- Gestion des identités et des clés
- Architecture de la sécurité
Parties prenantes de la sécurité des clients (En savoir plus) :
DP-8 : garantir la sécurité du référentiel de clés et de certificats
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | IA-5, SC-12, SC-17 | 3.6 |
Principe de sécurité : assurez la sécurité du service pour le coffre de clés utilisé pour la gestion des clés de chiffrement et le cycle de vie des certificats. Renforcez votre service de coffre de clés à l’aide du contrôle d’accès, de la sécurité réseau, de la journalisation, de la surveillance et de la sauvegarde, pour garantir la protection de sécurité maximale constante des clés et des certificats.
Conseils Azure : sécurisez vos clés de chiffrement et vos certificats en renforçant votre service Azure Key Vault à l’aide des contrôles suivants :
- Limitez l’accès aux clés et aux certificats dans Azure Key Vault à l’aide de stratégies d’accès intégrées ou Azure RBAC pour vous assurer que le principe des privilèges minimum est en place pour l’accès au plan de gestion et l’accès au plan de données.
- Sécurisez l’Azure Key Vault à l’aide de Private Link et d’un pare-feu Azure pour garantir une exposition minimale du service
- Assurez-vous que la séparation des tâches est effectuée pour les utilisateurs qui gèrent des clés de chiffrement n’aient pas la possibilité d’accéder aux données chiffrées, et vice versa.
- Utilisez l’identité managée pour accéder aux clés stockées dans Azure Key Vault dans vos applications de charge de travail.
- N’utilisez jamais les clés stockées au format texte en dehors du Azure Key Vault.
- Lors de la suppression définitive des données, assurez-vous que vos clés ne soient pas supprimées avant que les réelles données, les sauvegardes et les archives soient définitivement supprimées.
- Sauvegardez vos clés et certificats à l’aide du Azure Key Vault. Activez la suppression réversible et la protection contre la suppression définitive pour éviter la suppression accidentelle de clés.
- Activez la journalisation d’Azure Key Vault pour vous assurer que les activités des plans de gestion et de données critiques sont journalisées.
Implémentation et contexte supplémentaire :
- Vue d’ensemble d’Azure Key Vault
- Meilleures pratiques de sécurité Azure Key Vault
- Utiliser une identité managée pour accéder à Azure Key Vault
- Gestion des identités et des clés
Parties prenantes de la sécurité des clients (En savoir plus) :