Contrôle de sécurité v3 : Gouvernance et stratégie
La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de gouvernance documentée pour guider et soutenir l’assurance sécurité, ce qui inclut l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes.
GS-1 : Aligner les rôles et les responsabilités de l’organisation
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 14.9 | PL-9, PM-10, PM-13, AT-1, AT-3 | 2.4 |
Conseil d’Azure : Veillez à définir et à communiquer une stratégie claire pour les rôles et responsabilités au sein de votre organisation de sécurité. Veillez à définir clairement les responsabilités pour les décisions relatives à la sécurité, à former tout le monde au modèle de responsabilité partagée et à former les équipes techniques à la technologie permettant de sécuriser le cloud.
Implémentation et contexte supplémentaire :
- Meilleures pratiques pour la sécurité Azure 1 – Personnes : Former les équipes pour le parcours vers la sécurité dans le cloud
- Meilleures pratiques pour la sécurité Azure 2 – Personnes : Former les équipes pour les technologies de sécurité dans le cloud
- Meilleures pratiques pour la sécurité Azure 3 – Processus : Affecter les responsabilités pour les décisions de sécurité dans le cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-2 : Définir et implémenter une stratégie de segmentation/séparation des tâches d’entreprise
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3,12 | AC-4, SC-7, SC-2 | 1.2, 6.4 |
Conseil d’Azure : Établissez une stratégie à l’échelle de l’entreprise pour segmenter l’accès aux ressources en utilisant une combinaison de contrôles d’identité, de réseau, d’application, d’abonnement, de groupe d’administration et autres.
Trouvez le bon équilibre entre la nécessité de séparation sur le plan de la sécurité et la nécessité d'exécuter quotidiennement les systèmes qui doivent communiquer entre eux et accéder aux données.
Veillez à ce que la stratégie de segmentation soit implémentée de manière cohérente dans la charge de travail, y compris la sécurité du réseau, les modèles d’identité et d’accès, les modèles de permission d’application/d’accès aux applications, ainsi que les contrôles des processus humains.
Implémentation et contexte supplémentaire :
- Sécurité dans le Cloud Adoption Framework Microsoft pour Azure – Segmentation : Séparer pour protéger
- Sécurité dans le Cloud Adoption Framework Microsoft pour Azure – Architecture : Définir une stratégie de sécurité unique et unifiée
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-3 : Définir et implémenter une stratégie de protection des données
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.1, 3.7, 3.12 | AC-4, SI-4, SC-8, SC-12, SC-17, SC-28, RA-2 | 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, A3.2 |
Conseil d’Azure : Établissez une stratégie à l’échelle de l’entreprise pour la protection des données dans Azure :
- Définissez et appliquez la norme de classification et de protection des données conformément à la norme de gestion des données d’entreprise et à la conformité réglementaire pour dicter les contrôles de sécurité requis pour chaque niveau de la classification des données.
- Configurez votre hiérarchie de gestion des ressources cloud en la faisant correspondre à la stratégie de segmentation de l’entreprise. La stratégie de segmentation de l’entreprise doit aussi être informée de l’emplacement des systèmes et données sensibles ou vitaux de l’entreprise.
- Définissez et appliquez les principes de confiance zéro applicables dans votre environnement cloud pour éviter d’implémenter une approbation basée sur l’emplacement réseau dans un périmètre. Utilisez plutôt les revendications d’approbation des appareils et des utilisateurs pour contrôler l’accès aux données et aux ressources.
- Suivez et réduisez au minimum l’empreinte des données sensibles (stockage, transmission et traitement) dans toute l’entreprise afin de réduire la surface d’attaque et le coût de la protection des données. Envisagez des techniques telles que le hachage unidirectionnel, la troncation et la segmentation du texte en unités lexicales dans la charge de travail, dans la mesure du possible, afin d’éviter de stocker et de transmettre des données sensibles sous leur forme originale.
- Veillez à disposer d’une stratégie complète de contrôle du cycle de vie pour garantir la sécurité des données et des clés d’accès.
Implémentation et contexte supplémentaire :
- Benchmark de sécurité Azure - Protection des données
- Cloud Adoption Framework - Meilleures pratiques en matière de chiffrement et de sécurité des données Azure
- Notions de base de la sécurité Azure - Sécurité, chiffrement et stockage des données Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-4 : Définir et implémenter une stratégie de sécurité réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 12.2, 12.4 | AC-4, AC-17, CA-3, CM-1, CM-2, CM-6, CM-7, SC-1, SC-2, SC-5, SC-7, SC-20, SC-21, SI-4 | 1.1, 1.2, 1.3, 1.5, 4.1, 6.6, 11.4, A2.1, A2.2, A2.3, A3.2 |
Conseil d’Azure : Établissez une stratégie de sécurité réseau Azure dans le cadre de la stratégie de sécurité globale de votre organisation pour le contrôle d’accès. Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :
- Un modèle centralisé/décentralisé de responsabilité de gestion et de sécurité du réseau pour déployer et gérer les ressources du réseau.
- Un modèle de segmentation de réseau virtuel correspondant à la stratégie de segmentation de l’entreprise.
- Une stratégie de périphérie, d’entrée et de sortie d’Internet.
- Une stratégie de cloud hybride et d’interconnexion locale.
- Une stratégie de surveillance et de journalisation du réseau.
- Des artefacts de sécurité réseau à jour (par exemple, diagrammes réseau, architecture de réseau de référence).
Implémentation et contexte supplémentaire :
- Meilleures pratiques pour la sécurité Azure 11 – Architecture. Stratégie de sécurité unifiée unique
- Benchmark de sécurité Azure – Sécurité réseau
- Vue d’ensemble de la sécurité réseau d’Azure
- Stratégie d’architecture de réseau d’entreprise
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-5 : Définir et implémenter une stratégie de gestion des postures de sécurité
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CA-1, CA-8, CM-1, CM-2, CM-6, RA-1, RA-3, RA-5, SI-1, SI-2, SI-5 | 1.1, 1.2, 2.2, 6.1, 6.2, 6.5, 6.6, 11.2, 11.3, 11.5 |
Conseil d’Azure : Établissez une stratégie, une procédure et une norme pour garantir que la gestion des configurations de sécurité et la gestion des vulnérabilités sont en place dans votre mandat de sécurité du cloud.
La gestion des configurations de sécurité dans Azure doit inclure les éléments suivants :
- Définissez les bases de référence de configuration sécurisées pour différents types de ressources dans le cloud, tels que le portail Azure, le plan de gestion et de contrôle et les ressources qui s’exécutent dans les services IaaS, PaaS et SaaS.
- Assurez-vous que les bases de référence de sécurité traitent les risques dans différents domaines de contrôle, tels que la sécurité du réseau, la gestion des identités, l’accès privilégié, la protection des données, etc.
- Utilisez des outils pour mesurer, auditer et appliquer la configuration en permanence afin d’éviter que la configuration ne s’écarte de la base de référence.
- Développez une cadence pour rester à jour en ce qui concerne les fonctionnalités de sécurité d’Azure, par exemple en vous abonnant aux mises à jour des services.
- Utilisez le score sécurisé dans Microsoft Defender pour le cloud pour examiner régulièrement la posture de configuration de sécurité d’Azure et corriger les lacunes identifiées.
La gestion des vulnérabilités dans Azure doit inclure les aspects de sécurité suivants :
- Évaluez et corrigez régulièrement les vulnérabilités de tous les types de ressources cloud, tels que les services natifs Azure, les systèmes d’exploitation et les composants d’application.
- Utilisez une approche basée sur les risques pour hiérarchiser l’évaluation et la correction.
- Abonnez-vous aux avis et blogs de sécurité Microsoft/Azure pertinents pour recevoir les mises à jour de sécurité les plus récentes concernant Azure.
- Assurez-vous régulièrement que l’évaluation des vulnérabilités et la correction (telles que la planification, l’étendue et les techniques) répondent aux exigences de votre organisation en matière de conformité.
Implémentation et contexte supplémentaire :
- Benchmark de sécurité Azure - Gestion de la posture et des vulnérabilités
- Meilleures pratiques pour la sécurité Azure 9 – Processus : Définir la gestion de la posture de sécurité
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-6 : Définir et implémenter une stratégie d’identité et d’accès privilégié
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.6, 6.5, 6.7 | AC-1, AC-2, AC-3, AC-4, AC-5, AC-6, IA-1, IA-2, IA-4, IA-5, IA-8, IA-9, SI-4 | 7.1, 7.2, 7.3, 8.1, 8.2, 8.3, 8.4, 8.5, 8.6, 8.7, 8.8, A3.4 |
Conseil d’Azure : Établissez une approche des identités et des accès privilégiés Azure dans le cadre de la stratégie globale de votre organisation relative au contrôle d’accès de sécurité. Cette stratégie doit inclure des conseils, une stratégie et des normes documentées pour les aspects suivants :
- Système centralisé d’identité et d’authentification (Azure AD) et son interconnexion avec d’autres systèmes d’identité internes et externes
- Gouvernance des identités et des accès privilégiés (comme la demande, la révision et l’approbation des accès)
- Comptes privilégiés en situation d’urgence (compte de secours)
- Méthodes d’authentification forte (authentification sans mot de passe et authentification multifacteur) dans différents cas d’usage et conditions
- Accès sécurisé par des opérations d’administration via Portail Azure, CLI et API
Pour les cas d’exception, lorsqu’un système d’entreprise n’est pas utilisé, assurez-vous que des contrôles de sécurité adéquats sont en place pour la gestion des identités, des authentifications et des accès, ainsi que pour la gouvernance. Ces exceptions doivent être approuvées et révisées régulièrement par l’équipe de l’entreprise. Ces exceptions correspondent généralement aux cas suivants :
- Utilisation d’un système d’identité et d’authentification non défini par l’entreprise, tel que des systèmes tiers basés sur le cloud (peut introduire des risques inconnus)
- Utilisateurs privilégiés authentifiés localement et/ou utilisant d’autres méthodes que les méthodes d’authentification forte
Implémentation et contexte supplémentaire :
- Benchmark de sécurité Azure - Gestion des identités
- Benchmark de sécurité Azure - Accès privilégié
- Meilleures pratiques pour la sécurité Azure 11 – Architecture. Stratégie de sécurité unifiée unique
- Vue d’ensemble de la sécurité et de la gestion des identités Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-7 : Définir et implémenter une stratégie de journalisation, de détection des menaces et de réponse aux incidents
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 8.1, 13.1, 17.2, 17.4,17.7 | AU-1, IR-1, IR-2, IR-10, SI-1, SI-5 | 10.1, 10.2, 10.3, 10.4, 10.5, 10.6, 10.7, 10.8, 10.9, 12.10, A3.5 |
Conseil d’Azure : Établissez une stratégie de journalisation, de détection des menaces et de réponse aux incidents pour détecter et corriger rapidement les menaces et répondre aux exigences de conformité. L’équipe chargée des opérations de sécurité (SecOps/SOC) doit privilégier les alertes de haute qualité et les expériences transparentes afin de pouvoir se concentrer sur les menaces plutôt que sur l’intégration des journaux et les étapes manuelles.
Cette stratégie doit inclure une stratégie, une procédure et des normes documentées pour les aspects suivants :
- Rôle et responsabilités de l’organisation d’opérations de sécurité (SecOps)
- Plan de réponse aux incidents correctement défini et régulièrement testé et processus de gestion conformes au NIST ou à d’autres infrastructures du secteur.
- Plan de communication et de notification avec vos clients, vos fournisseurs et les parties publiques pertinentes.
- Préférence pour l’utilisation de capacités de détection et de réponse étendues (XDR) comme les capacités d’Azure Defender pour détecter les menaces dans les différents domaines.
- Utilisation des capacités natives d’Azure (par exemple, Microsoft Defender pour le cloud) et de plateformes tierces pour le traitement des incidents, comme la journalisation et la détection des menaces, la forensique et la correction et l’éradication des attaques.
- Définissez des scénarios clés (tels que la détection des menaces, la réponse aux incidents et la conformité) et configurez la capture et la rétention des journaux pour répondre aux exigences des scénarios.
- Visibilité centralisée et mise en corrélation des informations relatives aux menaces, en utilisant une solution SIEM, la capacité native de détection des menaces d’Azure et d’autres sources.
- Activités post-incident, telles que les enseignements tirés et la conservation des preuves.
Implémentation et contexte supplémentaire :
- Benchmark de sécurité Azure - Journalisation et détection des menaces
- Benchmark de sécurité Azure - Réponse aux incidents
- Meilleures pratiques pour la sécurité Azure 4 – Processus. Mise à jour des processus de réponse aux incidents pour le cloud
- Guide pour le cadre d’adoption d’Azure, la journalisation et la prise de décision pour les rapports
- Mise à l’échelle, gestion et surveillance d’entreprise Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-8 : Définir et implémenter une stratégie de sauvegarde et de récupération
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 11,1 | CP-1, CP-9, CP-10 | 3.4 |
Conseil d’Azure : Établissez une stratégie de sauvegarde et de récupération Azure pour votre organisation. Cette stratégie doit inclure des conseils, une stratégie et des normes documentées pour les aspects suivants :
- Définitions de l’objectif de temps de récupération (RTO) et de l’objectif de point de récupération (RPO) conformément aux objectifs de résilience de votre entreprise et aux exigences de conformité réglementaire.
- Conception de la redondance (y compris la sauvegarde, la restauration et la réplication) dans vos applications et votre infrastructure, tant dans le cloud que localement. Envisagez une récupération régionale, par paires de régions ou interrégionale et un emplacement de stockage hors site dans le cadre de votre stratégie.
- Protection des sauvegardes contre les accès non autorisés et les altérations à l’aide de contrôles tels que le contrôle de l’accès aux données, le chiffrement et la sécurité du réseau.
- Utilisation de la sauvegarde et de la récupération pour atténuer les risques liés aux menaces émergentes, telles que les attaques par ransomware. Et également sécurisation des données de sauvegarde et de récupération elles-mêmes contre ces attaques.
- Surveillance des données et opérations de sauvegarde et de récupération à des fins d’audit et d’alerte.
Implémentation et contexte supplémentaire :
- Benchmark de sécurité Azure - Sauvegarde et récupération
- Azure Well-Architecture Framework - Sauvegarde et récupération d’urgence pour les applications Azure
- Azure Adoption Framework – Continuité d’activité et reprise d’activité
- Plan de sauvegarde et de restauration pour la protection contre les ransomware
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-9 : Définir et implémenter une stratégie de sécurité des points de terminaison
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4.4, 10.1 | SI-2, SI-3, SC-3 | 5.1, 5.2, 5.3, 5.4, 11.5 |
Conseil d’Azure : Établissez une stratégie de sécurité des points de terminaison cloud qui comprend les aspects suivants :
- Déployez la fonctionnalité Détection de point de terminaison et réponse et la capacité anti-programme malveillant dans votre point de terminaison et intégrez-les à la solution SIEM et de détection des menaces et au processus d’opérations de sécurité.
- Suivez le Point de référence de sécurité Azure pour vous assurer que les paramètres de sécurité liés aux points de terminaison dans d’autres domaines respectifs (tels que la sécurité du réseau, la gestion des vulnérabilités de la posture, l’identité et l’accès privilégié, ainsi que la journalisation et la détection des menaces) sont également en place pour assurer une défense en profondeur de votre point de terminaison.
- Donnez la priorité à la sécurité des points de terminaison dans votre environnement de production, mais assurez-vous que les environnements hors production (tels que les environnements de test et de génération utilisés dans le processus DevOps) sont également sécurisés et surveillés, car ils peuvent également être utilisés pour introduire des programmes malveillants et des vulnérabilités dans la production.
Implémentation et contexte supplémentaire :
- Point de référence de sécurité Azure : Sécurité des points de terminaison
- Bonnes pratiques pour la sécurité des points de terminaison sur Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
GS-10 : Définir et implémenter une stratégie de sécurité DevOps
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2, 16.1, 16.2 | SA-12, SA-15, CM-1, CM-2, CM-6, AC-2, AC-3, AC-6, SA-11, AU-6, AU-12, SI-4 | 2.2, 6.1, 6.2, 6.3, 6.5, 7.1, 10.1, 10.2, 10.3, 10.6, 12.2 |
Conseil d’Azure : Rendez obligatoires les contrôles de sécurité dans le cadre de la norme d’ingénierie et d’exploitation DevOps de l’organisation. Définissez les objectifs de sécurité, les exigences de contrôle et les spécifications d’outils conformément aux normes de sécurité de l’entreprise et du cloud dans votre organisation.
Encouragez l’utilisation de DevOps comme modèle d’exploitation essentiel dans votre organisation pour ses avantages en matière d’identification et de correction rapides des vulnérabilités grâce à différents types d’automatisations (par exemple, l’approvisionnement d’infrastructure en tant que code et l’analyse automatisée SAST et DAST) tout au long du flux de travail CI/CD. Cette approche de « décalage vers la gauche » augmente également la visibilité et la possibilité d’appliquer des vérifications de sécurité cohérentes dans votre pipeline de déploiement, en déployant efficacement et à l’avance des garde-fous de sécurité dans l’environnement pour éviter les surprises de dernière minute en matière de sécurité lors du déploiement d’une charge de travail en production.
Lorsque vous déplacez des contrôles de sécurité vers la gauche vers les phases de prédéploiement, implémentez des garde-fous de sécurité pour garantir le déploiement et l’application des contrôles tout au long de votre processus DevOps. Cette technologie peut inclure des modèles Azure ARM pour définir des garde-fous dans l’infrastructure en tant que code (IaC), l’approvisionnement en ressources et Azure Policy pour auditer et limiter les services ou les configurations qui peuvent être approvisionnés dans l’environnement.
Pour les contrôles de sécurité à l’exécution de votre charge de travail, suivez le Point de référence de sécurité Azure pour concevoir et implémenter des contrôles efficaces, tels que l’identité et l’accès privilégié, la sécurité du réseau, la sécurité des points de terminaison et la protection des données au sein de vos applications et services de charge de travail.
Implémentation et contexte supplémentaire :
- Point de référence de sécurité Azure : Sécurité DevOps
- DevOps sécurisé
- Cloud Adoption Framework – Contrôles DevSecOps
Parties prenantes de la sécurité des clients (En savoir plus) :