Outils de protection des données Microsoft et Azure
À mesure que Contoso déplace davantage de données vers le cloud, elle souhaite être sûre qu’elle n’encoure aucun risque de sécurité ou de conformité. Elle a besoin d’un partenaire pour l’aider à protéger ses données à mesure que des changements se produisent dans son environnement et ses activités. Microsoft peut fournir des outils, des services et des plans pour aider Contoso à atteindre ses objectifs de conformité de confidentialité des données et de protection des données.
Microsoft subit des audits réguliers et soumet des auto-évaluations à des auditeurs tiers dans le cadre de ses services cloud comme Microsoft Azure, Microsoft 365 et Microsoft Dynamics 365. Ce processus permet à Microsoft de garantir le respect de toutes les exigences de sécurité et de conformité applicables à son rôle de fournisseur de services cloud.
Microsoft collabore également de manière proactive avec des leaders du secteur et des organismes gouvernementaux dans le monde entier afin d’anticiper les exigences de conformité futures susceptibles d’affecter Microsoft ou ses clients. Microsoft est souvent le premier fournisseur de services cloud au monde à adopter de nouveaux frameworks et normes.
Ressources de conformité Microsoft
Les organismes de réglementation internationaux mettent souvent à jour leurs législations et réglementations, et il peut être difficile pour les organisations de déterminer les modifications qui leur sont applicables. Le personnel en charge de la conformité doit travailler avec soin pour répondre aux besoins en constante évolution. Microsoft aide ses clients à rester à jour en matière d’obligations de conformité en fournissant des outils, de l’aide et une documentation complète.
Centre de gestion de la confidentialité Microsoft
Le Centre de gestion de la confidentialité Microsoft fournit des informations détaillées sur les engagements en matière de sécurité, de confidentialité, de conformité et de transparence de Microsoft pour ses produits et services cloud. Le Centre de gestion de la confidentialité contient des informations sur toutes les certifications, attestations et autres offres de conformité actuelles pour les services cloud Microsoft.
Portail d’approbation de services
Le portail d’approbation de services contient des informations exhaustives sur les normes et réglementations courantes du secteur. Les rapports d’audit, Azure Security Blueprints et les documents d’approbation vous aident à comprendre les fonctionnalités du cloud et à comparer les exigences techniques de conformité et de contrôle aux exigences. Une aide et des outils supplémentaires permettent aux clients Azure et des autres services cloud Microsoft à répondre à leurs besoins en matière de sécurité, de conformité et de confidentialité.
Protection des données dans Azure
Azure utilise la séparation, le chiffrement, la redondance et la destruction des données pour protéger les données client dans les applications, les plateformes, les systèmes et le stockage.
Ségrégation des données
Azure est un service multi-locataire qui utilise l’isolation logique pour séparer les données de chaque client des données d’autres clients. Cette séparation permet de s’assurer que les données d’un client ne sont pas combinées avec les données d’autres clients et qu’elles ne sont pas accessibles par d’autres clients.
Chiffrement des données
Azure offre un large éventail de fonctionnalités et d’options pour le chiffrement des données au repos et en transit. Azure prend en charge différents modèles de chiffrement, notamment le chiffrement côté client et côté serveur, et prend en charge des clés de chiffrement gérées par Microsoft et gérées par le client. Pour les données au repos, Azure propose plusieurs options de chiffrement flexibles.
- Azure Disk Encryption utilise la fonctionnalité standard BitLocker pour Windows ou la fonctionnalité DM-Crypt pour Linux pour assurer le chiffrement des volumes des disques de système d’exploitation et de données.
- Le chiffrement transparent des données (TDE) permet de protéger les bases de données Azure SQL.
- Azure Key Vault vous aide à rationaliser facilement et à moindre coût la gestion des clés de chiffrement en conservant le contrôle des clés de chiffrement des données utilisées par les applications et services cloud.
Protocoles de communication
Azure utilise des protocoles de transport standard pour les données en transit, notamment Transport-Layer Security (TLS) 1.2+ dans les centres de données Microsoft et entre les appareils et les centres de données. Vous pouvez également activer le chiffrement pour le trafic entre des machines virtuelles et des utilisateurs.
Pour les machines virtuelles Windows Server 2012 ou version ultérieure, vous pouvez sécuriser les transferts de données à l’aide de Server Message Block (SMB) 3.0 pour chiffrer les données en transit sur des réseaux virtuels Azure. Les administrateurs réseau peuvent activer le chiffrement SMB pour l’ensemble d’un serveur ou des partages spécifiques. Pour vous connecter à des machines virtuelles Linux dans Azure, vous pouvez utiliser Secure Shell (SSH), un protocole de connexion chiffré qui vous permet de vous connecter en toute sécurité par le biais d’une connexion non sécurisée.
Le chiffrement VPN Azure crée un tunnel sécurisé et chiffré qui permet de protéger les données envoyées sur un réseau. Les VPN de site à site utilisent IPsec pour le chiffrement du transport. Vous pouvez configurer la passerelle VPN Azure pour utiliser une stratégie IPsec/IKE (Internet Key Exchange) personnalisée avec des algorithmes de chiffrement et des forces de clé spécifiques. Les réseaux privés virtuels (VPN) point à site utilisent le protocole SSTP (Secure Socket Tunneling Protocol) pour créer un tunnel VPN qui permet aux ordinateurs clients individuels d’accéder à un réseau virtuel Azure.
Redondance des données
Vous pouvez opter pour le stockage dans le pays ou la région de vos données au repos pour prendre en compte les considérations relatives à la conformité ou à la latence. Vous pouvez également utiliser un stockage hors pays/région à des fins de sécurité ou de récupération d’urgence. À des fins de redondance, vous pouvez répliquer les données à plusieurs reprises dans une zone géographique sélectionnée. Les données d’un compte Stockage Azure sont toujours répliquées dans la région principale pour assurer leur durabilité et leur haute disponibilité. Les options de réplication des régions principales et secondaires sont les suivantes :
- Stockage localement redondant
- Stockage redondant interzone
- Stockage géoredondant
- Stockage géoredondant interzone
- Stockage géoredondant avec accès en lecture et stockage géoredondant interzone avec accès en lecture
Sécurité du stockage des données
Azure propose plusieurs services qui permettent de superviser la sécurité du stockage des données, notamment Microsoft Defender pour Stockage et Microsoft Defender pour SQL Database.
Microsoft Defender pour Stockage fournit une couche de veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès aux comptes de stockage ou d’exploitation de ceux-ci. Cette couche de protection vous permet de traiter les menaces sans pour autant être un expert en sécurité ni avoir besoin de gérer des systèmes de supervision de la sécurité. Microsoft Defender pour Stockage détecte les anomalies d’activité et déclenche des alertes de sécurité qui s’intègrent à Microsoft Defender pour le cloud et sont envoyées par e-mail aux administrateurs d’abonnement. Les alertes contiennent des détails sur l’activité suspecte et des recommandations sur la façon d’examiner et de corriger les menaces.
Microsoft Defender pour SQL fait partie d’un package unifié de sécurité des données qui fournit des fonctionnalités de sécurité Azure SQL avancées. Microsoft Defender pour SQL détecte les activités anormales qui pourraient indiquer des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données, et fournit des alertes correspondantes. Ces alertes permettent aux clients de détecter les menaces potentielles et d’y répondre.
Destruction de données
Quand vous supprimez des données ou que vous quittez Azure, Microsoft suit les processus standard de remplacement des ressources de stockage avant leur réutilisation. Microsoft suit également les conseils de la publication National Institute of Standards and Technology Special Publication 800-88 lors de la destruction d’un support de stockage.