Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une charge de travail Well-Architected doit être créée avec une approche de confiance zéro. Une charge de travail sécurisée est résiliente aux attaques et intègre les principes de sécurité liés à la confidentialité, à l’intégrité et à la disponibilité (également appelé triad de la CIA) en plus de répondre aux objectifs métier. Tout incident de sécurité peut devenir une violation majeure qui endommage la marque et la réputation de la charge de travail ou de l’organisation. Pour mesurer l’efficacité de la sécurité de votre stratégie globale pour une charge de travail, commencez par les questions suivantes :
Vos investissements défensifs fournissent-ils des coûts et des frictions significatifs pour empêcher les attaquants de compromettre votre charge de travail ?
Vos mesures de sécurité seront-ils efficaces pour limiter le rayon d’explosion d’un incident ?
Comprenez-vous comment contrôler la charge de travail pourrait être utile pour un attaquant ? Comprenez-vous l’impact sur votre entreprise si la charge de travail et ses données sont volées, indisponibles ou falsifiées ?
La charge de travail et les opérations peuvent-elles rapidement détecter des perturbations, y répondre et récupérer suite à celles-ci ?
Lorsque vous concevez votre système, utilisez le modèle Microsoft Zero Trust comme boussole pour atténuer les risques de sécurité :
Vérifiez explicitement afin que seules les identités approuvées effectuent des actions prévues et autorisées provenant d’emplacements attendus. Cette protection rend plus difficile pour les attaquants d’usurper l’identité d’utilisateurs et de comptes légitimes.
Utilisez l’accès avec privilèges minimum pour les identités appropriées, avec le jeu d’autorisations approprié, pour la durée appropriée et les ressources appropriées. La limitation des autorisations permet d’empêcher les attaquants d’abuser des autorisations dont les utilisateurs légitimes n’ont même pas besoin.
Supposer une compromission des contrôles de sécurité et concevoir des mesures compensatoires pour limiter les risques et les dommages si une couche principale de défense échoue. Cela vous aide à mieux défendre votre charge de travail en pensant comme un attaquant intéressé par le succès (quelle que soit la manière dont il l’obtient).
La sécurité n’est pas un effort ponctuel. Vous devez mettre en œuvre ces conseils de manière récurrente. Améliorez continuellement vos connaissances en matière de défense et de sécurité pour protéger votre charge de travail des attaquants qui accèdent constamment à des vecteurs d’attaque innovants au fur et à mesure qu’ils sont développés et ajoutés aux kits d’attaque automatisés.
Les principes de conception sont destinés à établir un état d’esprit de sécurité continu pour vous aider à améliorer en permanence la posture de sécurité de votre charge de travail à mesure que les tentatives d’attaquants évoluent en permanence. Ces principes doivent guider la sécurité de votre architecture, vos choix de conception et vos processus opérationnels. Commencez par les approches recommandées et justifiez les avantages d’un ensemble d’exigences de sécurité. Après avoir défini votre stratégie, effectuez des actions à l’aide de la liste de contrôle sécurité comme étape suivante.
Si ces principes ne sont pas appliqués correctement, on peut s’attendre à un impact négatif sur les opérations commerciales et les revenus. Certaines conséquences peuvent être évidentes, comme les sanctions liées à la charge de travail réglementaire. D’autres peuvent ne pas être si évidentes et pourraient entraîner des problèmes de sécurité en cours avant qu’ils ne soient détectés.
Dans de nombreuses charges de travail critiques, la sécurité est la principale préoccupation, aux côtés de la fiabilité, étant donné que certains vecteurs d’attaque, comme l’exfiltration de données, n’affectent pas la fiabilité. La sécurité et la fiabilité peuvent tirer une charge de travail dans des directions opposées, car une conception axée sur la sécurité peut introduire des points de défaillance et accroître la complexité opérationnelle. L’effet de la sécurité sur la fiabilité est souvent indirect, introduit par le biais de contraintes opérationnelles. Considérez attentivement les compromis entre sécurité et fiabilité.
En suivant ces principes, vous pouvez améliorer l’efficacité de la sécurité, renforcer les ressources de charge de travail et instaurer la confiance avec vos utilisateurs.
Planifier votre préparation à la sécurité
S’efforcez d’adopter et d’implémenter des pratiques de sécurité dans les décisions et opérations de conception architecturale avec un minimum de frictions. |
|---|
En tant que propriétaire de charge de travail, vous avez une responsabilité partagée avec l’organisation de protéger les ressources. Créez un plan de préparation de la sécurité aligné sur les priorités de l’entreprise. Il conduira à des processus bien définis, à des investissements adéquats et à des responsabilités appropriées. Le plan doit fournir les exigences de charge de travail à l’organisation, qui partagent également la responsabilité de la protection des ressources. Les plans de sécurité doivent tenir compte de votre stratégie pour la fiabilité, la modélisation de la santé et l'auto-préservation.
En plus des ressources organisationnelles, la charge de travail elle-même doit être protégée contre les attaques d’intrusion et d’exfiltration. Toutes les facettes de la confiance zéro et de la triade de la CIA doivent être considérées dans le plan.
Les exigences fonctionnelles et non fonctionnelles, les contraintes budgétaires et d’autres considérations ne doivent pas restreindre les investissements en sécurité ni diluer les garanties. En même temps, vous devez concevoir et planifier des investissements en matière de sécurité avec ces contraintes et restrictions à l’esprit.
| Approche | Avantage |
|---|---|
|
Utilisez la segmentation comme stratégie pour planifier les limites de sécurité dans l’environnement de charge de travail, les processus et la structure d’équipe pour isoler l’accès et la fonction. Votre stratégie de segmentation doit être pilotée par les exigences métier. Vous pouvez la baser sur la criticité des composants, la division du travail, les préoccupations relatives à la vie privée et d’autres facteurs. |
Vous serez en mesure de minimiser les frictions opérationnelles en définissant des rôles et en établissant des lignes claires de responsabilité. Cet exercice vous aide également à identifier le niveau d’accès pour chaque rôle, en particulier pour les comptes à impact critique. L’isolation vous permet de limiter l’exposition des flux sensibles aux seuls rôles et ressources qui ont besoin d’un accès. Une exposition excessive pourrait entraîner par inadvertance une divulgation de flux d’informations. Pour résumer, vous pourrez adapter les efforts de sécurité pour qu'ils correspondent aux besoins de chaque segment. |
| Créez en permanence des compétences par le biais d’une formation de sécurité basée sur les rôles qui répond aux exigences de l’organisation et aux cas d’usage de la charge de travail. | Une équipe hautement qualifiée peut concevoir, implémenter et surveiller les contrôles de sécurité qui restent efficaces contre les attaquants, qui recherchent constamment de nouvelles façons d’exploiter le système. La formation à l’échelle de l’organisation se concentre généralement sur le développement d’un ensemble de compétences plus large pour sécuriser les éléments communs. Toutefois, avec la formation basée sur les rôles, vous vous concentrez sur le développement d’une expertise approfondie dans les offres de plateforme et les fonctionnalités de sécurité qui répondent aux problèmes de charge de travail. Vous devez implémenter les deux approches pour se défendre contre les adversaires par le biais d’une bonne conception et d’opérations efficaces. |
|
Vérifiez qu’il existe un plan de réponse aux incidents pour votre charge de travail. Utilisez des infrastructures industrielles qui définissent la procédure d’exploitation standard pour la préparation, la détection, l’endiguement, l’atténuation des risques et l’activité post-incident. |
Au moment de la crise, la confusion doit être évitée. Si vous disposez d’un plan bien documenté, les rôles responsables peuvent se concentrer sur l’exécution sans perdre de temps sur les actions incertaines. En outre, un plan complet peut vous aider à vous assurer que toutes les exigences de correction sont remplies. |
| Renforcez votre posture de sécurité en comprenant les exigences de conformité de la sécurité imposées par des influences en dehors de l’équipe de charge de travail, telles que les stratégies organisationnelles, la conformité réglementaire et les normes du secteur. | La clarté sur les exigences de conformité vous aidera à concevoir les garanties de sécurité appropriées et à empêcher les problèmes de non-conformité , ce qui pourrait entraîner des pénalités. Les normes du secteur peuvent fournir une base de référence et influencer votre choix d’outils, de stratégies, de garanties de sécurité, de directives, d’approches de gestion des risques et de formation. Si vous savez que la charge de travail respecte la conformité, vous serez en mesure d’inculquer la confiance dans votre base d’utilisateurs. |
|
Définissez et appliquez des normes de sécurité au niveau de l’équipe dans le cycle de vie et les opérations de la charge de travail. Recherchez des pratiques cohérentes dans les opérations telles que le codage, les approbations contrôlées, la gestion des mises en production et la protection et la rétention des données. |
La définition de bonnes pratiques de sécurité peut réduire la négligence et la surface d’exposition pour les erreurs potentielles. L’équipe optimisera les efforts et le résultat sera prévisible , car les approches sont plus cohérentes. L’observation des normes de sécurité au fil du temps vous permettra d’identifier les opportunités d’amélioration, éventuellement l’automatisation, ce qui simplifie les efforts et augmente la cohérence. |
| Alignez votre réponse aux incidents avec la fonction centralisée SOC (Security Operation Center) dans votre organisation. | La centralisation des fonctions de réponse aux incidents vous permet de tirer parti des professionnels de l’informatique spécialisés qui peuvent détecter des incidents en temps réel pour traiter les menaces potentielles le plus rapidement possible. |
Concevoir pour protéger la confidentialité
|
Empêchez l’exposition à la confidentialité, à la réglementation, à l’application et aux informations propriétaires par le biais de restrictions d’accès et de techniques d’obfuscation. |
|---|
Les données de charge de travail peuvent être classées par utilisateur, utilisation, configuration, conformité, propriété intellectuelle, etc. Ces données ne peuvent pas être partagées ou accessibles au-delà des limites d’approbation établies. Les efforts visant à protéger la confidentialité doivent se concentrer sur les contrôles d’accès, l’opacité et la conservation d’une piste d’audit des activités relatives aux données et au système.
| Approche | Avantage |
|---|---|
| Implémentez des contrôles d’accès forts qui accordent l’accès uniquement en fonction d’un besoin de connaissance. |
Privilège minimum. La charge de travail sera protégée contre l’accès non autorisé et les activités interdites. Même lorsque l’accès provient d’identités approuvées, les autorisations d’accès et le temps d’exposition sont réduits , car le chemin de communication est ouvert pendant une période limitée. |
|
Classifiez les données en fonction de son type, de sa sensibilité et du risque potentiel. Attribuez un niveau de confidentialité pour chacun d’eux. Incluez les composants système qui sont dans l’étendue du niveau identifié. |
Vérifiez explicitement. Cette évaluation vous aide à prendre des mesures de sécurité de taille appropriée. Vous serez également en mesure d’identifier les données et les composants qui ont un impact potentiel élevé et/ou une exposition au risque. Cet exercice ajoute de la clarté à votre stratégie de protection des informations et contribue à garantir l’accord. |
| Protégez vos données au repos, en transit et pendant le traitement à l’aide du chiffrement. Basez votre stratégie au niveau de confidentialité attribué. |
Supposez une violation. Même si un attaquant obtient l’accès, il ne pourra pas lire correctement les données sensibles chiffrées. Les données sensibles comprennent des informations de configuration utilisées pour accéder au cœur du système. Le chiffrement des données peut vous aider à contenir des risques. |
| Protégez-vous contre les exploits susceptibles d’entraîner une exposition injustifiée d’informations. |
Vérifiez explicitement. Il est essentiel de réduire les vulnérabilités dans les implémentations d’authentification et d’autorisation, le code, les configurations, les opérations et ceux qui proviennent des habitudes sociales des utilisateurs du système. Les mesures de sécurité à jour vous permettent de bloquer les vulnérabilités de sécurité connues d’entrer dans le système. Vous pouvez également atténuer les nouvelles vulnérabilités qui peuvent apparaître au fil du temps en implémentant des opérations de routine tout au long du cycle de développement, ce qui améliore continuellement les garanties de sécurité. |
| Protégez-vous contre l’exfiltration des données résultant d’un accès malveillant ou involontaire aux données. |
Supposez une violation. Vous serez en mesure de contenir un rayon d’explosion en bloquant le transfert de données non autorisé. En outre, les contrôles appliqués à la mise en réseau, à l’identité et au chiffrement protègent les données à différentes couches. |
| Maintenez le niveau de confidentialité à mesure que les données transitent par différents composants du système. |
Supposez une violation. L’application des niveaux de confidentialité dans tout le système vous permet de fournir un niveau cohérent de renforcement. Cela peut empêcher les vulnérabilités qui peuvent résulter du déplacement de données vers un niveau de sécurité inférieur. |
| Maintenez une piste d’audit de tous les types d’activités d’accès. |
Supposez une violation. Les journaux d’audit prennent en charge la détection et la récupération plus rapides en cas d’incidents et aident à surveiller la sécurité en cours. |
Concevoir pour protéger l’intégrité
|
Empêchez l’altération de la conception, de l’implémentation, des opérations et des données afin d’éviter les interruptions qui peuvent empêcher le système de livrer son utilitaire prévu ou de le faire fonctionner en dehors des limites prescrites. Le système doit fournir une assurance des informations tout au long du cycle de vie de la charge de travail. |
|---|
La clé consiste à implémenter des contrôles qui empêchent la falsification de la logique métier, des flux, des processus de déploiement, des données et même des composants de pile inférieurs, comme le système d’exploitation et la séquence de démarrage. Le manque d’intégrité peut introduire des vulnérabilités pouvant entraîner des violations de confidentialité et de disponibilité.
| Approche | Avantage |
|---|---|
|
Implémentez des contrôles d’accès forts qui authentifient et autorisent l’accès au système. Réduisez l’accès en fonction des privilèges, de l’étendue et du temps. |
Privilège minimum. Selon la force des contrôles, vous serez en mesure d’empêcher ou de réduire les risques liés aux modifications non approuvées. Cela permet de s’assurer que les données sont cohérentes et fiables. La réduction des limites d’accès limite l’étendue de la corruption potentielle. |
|
Protégez en permanence contre les vulnérabilités et détectez-les dans votre chaîne d’approvisionnement pour empêcher les attaquants d’injecter des erreurs logicielles dans votre infrastructure, créer un système, des outils, des bibliothèques et d’autres dépendances. La chaîne logistique doit analyser les vulnérabilités pendant le temps de compilation et le temps d'exécution. |
Supposez une violation. Connaître l’origine du logiciel et vérifier son authenticité tout au long du cycle de vie fournira une prévisibilité. Vous saurez bien à l’avance sur les vulnérabilités afin de pouvoir les corriger de manière proactive et sécuriser le système en production. |
|
Établissez l’approbation et la vérification à l’aide de techniques de chiffrement telles que l’attestation, la signature de code, les certificats et le chiffrement. Protégez ces mécanismes en autorisant le déchiffrement fiable. |
Vérifiez explicitement les privilèges minimum. Vous savez que les modifications apportées aux données ou à l’accès au système sont vérifiées par une source approuvée. Même si les données chiffrées sont interceptées en transit par un acteur malveillant, l’acteur ne pourra pas déverrouiller ou déchiffrer le contenu. Vous pouvez utiliser des signatures numériques pour vous assurer que les données n’ont pas été falsifiées pendant la transmission. |
| Vérifiez que les données de sauvegarde sont immuables et chiffrées lorsque les données sont répliquées ou transférées. |
Vérifiez explicitement. Vous serez en mesure de récupérer des données avec confiance que les données de sauvegarde n’ont pas été modifiées au repos, par inadvertance ou malveillante. |
| Évitez ou atténuez les implémentations système qui permettent à votre charge de travail de fonctionner en dehors de ses limites et objectifs prévus. |
Vérifiez explicitement. Lorsque votre système dispose de protections fortes qui vérifient si l’utilisation s’aligne sur ses limites et objectifs prévus, l’étendue de l’abus ou de la falsification potentiels de votre calcul, de votre réseau et de vos magasins de données est réduite. |
Concevoir pour protéger la disponibilité
|
Empêchez ou réduisez le temps d’arrêt du système et de la charge de travail et la dégradation en cas d’incident de sécurité à l’aide de contrôles de sécurité forts. Vous devez maintenir l’intégrité des données pendant l’incident et après la récupération du système. |
|---|
Vous devez équilibrer les choix d’architecture de disponibilité avec les choix d’architecture de sécurité. Le système doit disposer de garanties de disponibilité pour s’assurer que les utilisateurs ont accès aux données et que ces données sont accessibles. Du point de vue de la sécurité, les utilisateurs doivent opérer dans le cadre de l’accès autorisé et les données doivent être fiables. Les contrôles de sécurité doivent bloquer les acteurs malveillants, mais ils ne doivent pas empêcher les utilisateurs légitimes d’accéder au système et aux données.
| Approche | Avantage |
|---|---|
|
Empêchez les identités compromises d'utiliser abusivement l'accès pour prendre le contrôle du système. Vérifiez l'étendue et les limites de temps excessivement étendues pour réduire l'exposition aux risques. |
Privilège minimum. Cette stratégie atténue les risques d’autorisations d’accès excessives, inutiles ou incorrectes sur les ressources cruciales. Les risques incluent des modifications non autorisées et même la suppression de ressources. Profitez des modes de sécurité juste-à-temps (JIT), juste-assez-accès (JEA) et basés sur le temps fournis par la plateforme pour remplacer les autorisations permanentes dans la mesure du possible. |
| Utilisez des contrôles de sécurité et des modèles de conception pour empêcher les attaques et les failles de code de provoquer l’épuisement des ressources et bloquer l’accès. |
Vérifiez explicitement. Le système n’aura pas de temps d’arrêt provoqué par des actions malveillantes, comme les attaques par déni de service distribué (DDoS). |
| Implémentez des mesures préventives pour les vecteurs d’attaque qui exploitent les vulnérabilités dans le code de l’application, les protocoles réseau, les systèmes d’identité, la protection contre les programmes malveillants et d’autres domaines. |
Supposez une violation. Implémentez des scanneurs de code, appliquez les derniers correctifs de sécurité, mettez à jour les logiciels logiciels et protégez votre système avec un logiciel anti-programme malveillant efficace en continu. Vous serez en mesure de réduire la surface d’attaque pour garantir la continuité de l’activité. |
| Hiérarchiser les contrôles de sécurité sur les composants critiques et les flux dans le système qui sont susceptibles d’être exposés aux risques. |
Supposez une violation, vérifiez explicitement. Les exercices de détection et de hiérarchisation réguliers peuvent vous aider à appliquer l’expertise en matière de sécurité aux aspects critiques du système. Vous serez en mesure de vous concentrer sur les menaces les plus probables et nuisibles et de commencer votre atténuation des risques dans les domaines qui ont besoin de la plus grande attention. |
| Appliquez au moins le même niveau de rigueur de sécurité dans vos ressources et processus de récupération que vous le faites dans l’environnement principal, notamment les contrôles de sécurité et la fréquence de sauvegarde. |
Supposez une violation. Vous devriez avoir un état de système intact et conservé disponible pour la récupération d’urgence. Si vous le faites, vous pouvez basculer vers un système secondaire sécurisé ou un emplacement ou restaurer des sauvegardes qui n’entraînent pas de menace. Un processus bien conçu peut empêcher un incident de sécurité d’entraver le processus de récupération. Les données de sauvegarde endommagées ou les données chiffrées qui ne peuvent pas être déchiffrées peuvent ralentir la récupération. |
Maintenir et faire évoluer votre posture de sécurité
|
Intégrez l’amélioration continue et appliquez la vigilance pour rester à l’avance des attaquants qui évoluent continuellement leurs stratégies d’attaque. |
|---|
Votre posture de sécurité ne doit pas se dégrader au fil du temps. Vous devez continuellement améliorer les opérations de sécurité afin que de nouvelles interruptions soient gérées plus efficacement. S’efforcez d’aligner les améliorations sur les phases définies par les normes du secteur. Cela conduit à une meilleure préparation, à un temps réduit pour la détection des incidents, ainsi qu'à un confinement et une atténuation efficaces. L’amélioration continue doit s’appuyer sur les enseignements tirés des incidents passés.
Il est important de mesurer votre posture de sécurité, d’appliquer des stratégies pour maintenir cette posture et de valider régulièrement vos atténuations de sécurité et les contrôles de compensation afin d’améliorer continuellement votre posture de sécurité face aux menaces en constante évolution.
| Approche | Avantage |
|---|---|
|
Créez et gérez un inventaire complet des ressources qui inclut des informations classifiées sur les ressources, les emplacements, les dépendances, les propriétaires et d’autres métadonnées pertinentes pour la sécurité. Autant que possible, automatisez l’inventaire pour dériver les données du système. |
Un inventaire bien organisé fournit une vue holistique de l’environnement, qui vous place dans une position avantageuse contre les attaquants, en particulier pendant les activités post-incident. Il crée également un rythme métier pour stimuler la communication, l’entretien des composants critiques et la désaffectation des ressources orphelines. |
| Effectuez une modélisation des menaces pour identifier et atténuer les menaces potentielles. | Vous disposez d’un rapport de vecteurs d’attaque hiérarchisés par leur niveau de gravité. Vous serez en mesure d’identifier rapidement les menaces et les vulnérabilités et de configurer des contre-mesures. |
|
Capturez régulièrement des données pour quantifier votre état actuel par rapport à votre base de référence de sécurité établie et définissez des priorités pour les corrections. Tirez parti des fonctionnalités fournies par la plateforme pour la gestion de la posture de sécurité et l’application de la conformité imposée par les organisations externes et internes. |
Vous avez besoin de rapports précis qui apportent de la clarté et du consensus aux domaines de focus. Vous serez en mesure d’exécuter immédiatement des corrections techniques, en commençant par les éléments de priorité les plus élevés. Vous identifierez également les lacunes qui offrent des possibilités d’amélioration. La mise en œuvre des mesures d'application aide à prévenir les violations et les régressions, ce qui préserve votre posture de sécurité. |
|
Exécutez des tests de sécurité périodiques effectués par des experts externes à l’équipe de charge de travail qui tentent de pirater le système de manière éthique. Effectuez une analyse des vulnérabilités de routine et intégrée pour détecter les attaques dans l’infrastructure, les dépendances et le code d’application. |
Ces tests vous permettent de valider les défenses de sécurité en simulant des attaques réelles à l’aide de techniques telles que les tests de pénétration. Les menaces peuvent être introduites dans le cadre de votre gestion des changements. L’intégration de scanneurs dans les pipelines de déploiement vous permet de détecter automatiquement les vulnérabilités et même de mettre en quarantaine l’utilisation jusqu’à ce que les vulnérabilités soient supprimées. |
| Détecter, répondre et récupérer avec des opérations de sécurité rapides et efficaces. | L’avantage principal de cette approche est qu’elle vous permet de préserver ou de restaurer les garanties de sécurité du triad de la CIA pendant et après une attaque. Vous devez être alerté dès qu’une menace est détectée afin de pouvoir démarrer vos enquêtes et prendre les mesures appropriées. |
| Effectuez des activités post-incident telles que des analyses de cause racine, des postmortems et des rapports d’incident. | Ces activités fournissent un aperçu de l’impact de la violation et des mesures de résolution, ce qui favorise les améliorations apportées aux défenses et aux opérations. |
|
Mettez-vous à jour et restez informé. Restez à jour sur les mises à jour, la mise à jour corrective et les correctifs de sécurité. Évaluez en permanence le système et améliorez-le en fonction des rapports d’audit, de l’analyse comparative et des leçons tirées des activités de test. Envisagez l’automatisation, le cas échéant. Utilisez le renseignement sur les menaces alimenté par l’analytique de sécurité pour la détection dynamique des menaces. À intervalles réguliers, passez en revue la conformité de la charge de travail aux meilleures pratiques sdl (Security Development Lifecycle). |
Vous serez en mesure de vous assurer que votre posture de sécurité ne se dégrade pas au fil du temps. En intégrant les résultats des attaques réelles et des activités de test, vous serez en mesure de combattre les attaquants qui améliorent et exploitent continuellement de nouvelles catégories de vulnérabilités. L’automatisation des tâches répétitives réduit le risque d’erreur humaine qui peut créer un risque. Les révisions SDL apportent de la clarté sur les fonctionnalités de sécurité. SDL peut vous aider à gérer un inventaire des ressources de charge de travail et de leurs rapports de sécurité, qui couvrent l’origine, l’utilisation, les faiblesses opérationnelles et d’autres facteurs. |