Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous envisagez et évaluez les services cloud publics, il est essentiel de comprendre le modèle de responsabilité partagée et les tâches de sécurité que le fournisseur de cloud gère et quelles tâches vous gérez. Les responsabilités de charge de travail varient selon que la charge de travail est hébergée sur Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS) ou dans un centre de données local :
- IaaS (Infrastructure as a Service) : vous gérez des machines virtuelles, des systèmes d’exploitation et des applications. Les exemples incluent les machines virtuelles Azure, le stockage sur disque Azure et les réseaux virtuels.
- PaaS (Platform as a Service) : vous déployez des applications sans gérer des machines virtuelles ou des systèmes d’exploitation. Les exemples incluent Azure App Service, Azure Functions, Azure SQL Database et Stockage Azure.
- SaaS (Software as a Service) : vous utilisez des applications prêtes à l’emploi. Les exemples incluent Microsoft 365, Dynamics 365 et d’autres applications cloud.
De nombreuses solutions Azure utilisent une combinaison de modèles de service. Pour obtenir des conseils plus détaillés sur le choix des services de calcul, consultez Choisir un service de calcul Azure.
Répartition de la responsabilité
Dans un centre de données local, vous être propriétaire de la pile entière. À mesure que vous passez au cloud, certaines responsabilités sont transférées à Microsoft. Le schéma suivant illustre les domaines de responsabilité entre vous et Microsoft, selon le type de déploiement de votre pile.
Pour tous les types de déploiement cloud, vous possédez vos données et identités. Vous êtes responsable de la protection de la sécurité de vos données et identités, des ressources locales et des composants cloud que vous contrôlez. Les composants cloud que vous contrôlez varient selon le type de service.
Matrice de responsabilités
Le tableau suivant détaille la division de responsabilité entre vous et Microsoft pour chaque zone de votre pile :
| Zone de responsabilité | On-premises | IaaS | PaaS | SaaS |
|---|---|---|---|---|
| Données client | Client | Client | Client | Client |
| Configurations et paramètres | Client | Client | Client | Client |
| Identités et utilisateurs | Client | Client | Client | Client |
| Périphériques clients | Client | Client | Client | Shared |
| Applications | Client | Client | Shared | Shared |
| Contrôles de réseau | Client | Client | Shared | Microsoft |
| Système d’exploitation | Client | Client | Microsoft | Microsoft |
| Hôtes physiques | Client | Microsoft | Microsoft | Microsoft |
| Réseau physique | Client | Microsoft | Microsoft | Microsoft |
| Centre de données physique | Client | Microsoft | Microsoft | Microsoft |
Responsabilités que vous conservez toujours
Quel que soit le type de déploiement, vous conservez toujours les responsabilités suivantes :
- Données : vous êtes responsable de vos données, notamment la classification des données, la protection des données, les décisions de chiffrement et la conformité aux exigences de gouvernance des données.
- Points de terminaison : vous êtes responsable de la protection des appareils clients et des points de terminaison qui accèdent à vos services cloud, notamment les appareils mobiles, les ordinateurs portables et les ordinateurs de bureau.
- Comptes : vous êtes responsable de la gestion des comptes d’utilisateur, notamment la création, la gestion et la suppression de l’accès utilisateur.
- Gestion des accès : vous êtes responsable de l’implémentation et de la gestion des contrôles d’accès, notamment le contrôle d’accès en fonction du rôle (RBAC), l’authentification multifacteur et les stratégies d’accès conditionnel.
Explication des responsabilités partagées
Certaines responsabilités sont partagées entre vous et Microsoft, avec la division variable par modèle de service :
- Applications : dans IaaS, vous êtes entièrement responsable des applications déployées. Dans PaaS et SaaS, Microsoft gère des parties de la pile d’applications, mais vous êtes responsable de la configuration de l’application, de la sécurité du code et des contrôles d’accès.
- Contrôles réseau : dans IaaS, vous configurez toute la sécurité réseau, y compris les pare-feu et la segmentation du réseau. Dans PaaS, Microsoft fournit une sécurité réseau de référence, mais vous configurez des contrôles réseau au niveau de l’application. Dans SaaS, Microsoft gère la sécurité réseau.
- Appareils clients : dans les scénarios SaaS, Microsoft peut fournir certaines fonctionnalités de gestion des appareils, mais vous êtes responsable de la protection et de la conformité des points de terminaison.
Responsabilités de Microsoft
Microsoft est responsable de l’infrastructure cloud sous-jacente, notamment :
- Sécurité physique : sécurisation des centres de données, y compris les installations, les contrôles d’accès physique et les contrôles environnementaux.
- Réseau physique : gestion de l’infrastructure réseau, notamment des routeurs, des commutateurs et des câbles au sein des centres de données.
- Hôtes physiques : gestion et maintenance des serveurs physiques qui hébergent les services cloud.
- Hyperviseur : gestion de la couche de virtualisation qui active les machines virtuelles dans IaaS et PaaS.
- Services de plateforme : Dans PaaS et SaaS, Microsoft gère les systèmes d’exploitation, les environnements d’exécution et les intergiciels.
Responsabilité partagée de l’IA
Lors de l’utilisation de services IA, le modèle de responsabilité partagée introduit des considérations uniques au-delà des iaaS, PaaS et SaaS traditionnels. Microsoft est responsable de la sécurisation de l’infrastructure IA, de l’hébergement de modèles et des protections au niveau de la plateforme. Les clients restent toutefois responsables de la manière dont l'IA est appliquée dans leur environnement ; cela inclut la protection des données sensibles, la gestion de la sécurité des alertes, l'atténuation des risques d'injection d'alertes et la garantie de la conformité aux exigences organisationnelles et réglementaires.
Étant donné que les responsabilités diffèrent considérablement pour les charges de travail IA, vous devez passer en revue le modèle de responsabilité partagée IA pour obtenir des conseils détaillés sur les rôles, les meilleures pratiques et la gestion des risques.
Avantages du cloud en matière de sécurité
Le cloud offre des avantages significatifs pour résoudre les problèmes de sécurité des informations de longue date. Dans un environnement local, les organisations ont probablement des responsabilités non satisfaites et des ressources limitées disponibles pour investir dans la sécurité, ce qui crée un environnement où les attaquants sont en mesure d’exploiter des vulnérabilités à toutes les couches.
Voici quelques exemples courants de responsabilités non satisfaites dans les environnements locaux traditionnels :
- Mise à jour corrective différée : les mises à jour de sécurité ne sont pas appliquées rapidement en raison d’un temps d’arrêt limité du personnel informatique ou de problèmes liés au temps d’arrêt du système, laissant des vulnérabilités connues exposées.
- Sécurité physique insuffisante : les salles de serveur peuvent ne pas avoir de contrôles d’accès appropriés, de surveillance de l’environnement ou de surveillance en raison de contraintes budgétaires.
- Surveillance réseau incomplète : les organisations peuvent ne pas avoir d’outils ou d’expertises pour détecter les intrusions, surveiller les anomalies de trafic ou répondre aux menaces en temps réel.
- Matériel obsolète : l’infrastructure vieillissante peut ne plus recevoir de mises à jour de sécurité des fournisseurs, ce qui crée des lacunes de sécurité permanentes.
- Sauvegarde et récupération d’urgence insuffisantes : les sauvegardes peuvent être peu fréquentes, non testées ou stockées sur site, laissant les données vulnérables aux ransomwares ou aux catastrophes physiques.
Le diagramme suivant montre une approche traditionnelle où de nombreuses responsabilités de sécurité ne sont pas satisfaites en raison de ressources limitées. Dans l’approche compatible avec le cloud, vous pouvez passer des responsabilités de sécurité quotidiennes à votre fournisseur de cloud et réallouer vos ressources.
Dans l’approche basée sur le cloud, vous pouvez également appliquer des fonctionnalités de sécurité basées sur le cloud pour améliorer l’efficacité et utiliser l’intelligence cloud pour améliorer votre temps de détection et de réponse des menaces. En transférant les responsabilités au fournisseur de cloud, les organisations peuvent optimiser leur couverture de sécurité, ce qui leur permet de réaffecter des ressources de sécurité et leur budget à d'autres priorités de l’entreprise.
Étape suivante
En savoir plus sur la responsabilité partagée et les stratégies pour améliorer votre posture de sécurité dans la vue d'ensemble du pilier de sécurité du cadre bien conçu.