Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité cloud Microsoft v2 (préversion) est désormais disponible. Nous vous encourageons à explorer cette version et à fournir des commentaires pour nous aider à l’améliorer davantage. Pour toute question ou commentaire, envoyez-nous un e-mail à benchmarkfeedback@microsoft.com.
Le benchmark de sécurité cloud Microsoft fournit des bonnes pratiques et des recommandations prescriptives pour améliorer la sécurité des charges de travail, des données et des services sur Azure et votre environnement multicloud. Ce benchmark se concentre sur les domaines de sécurité axés sur le cloud, avec des contributions d'un ensemble de recommandations de sécurité holistiques de Microsoft et du secteur qui incluent :
- Framework d’adoption du cloud : conseils sur la sécurité, notamment la stratégie, les rôles et les responsabilités, les meilleures pratiques de sécurité Azure 10 et l’implémentation de référence.
- Azure Well-Architected Framework : Conseils sur la sécurisation de vos charges de travail sur Azure.
- Microsoft Secure Future Initiative (SFI) : SFI est une initiative interne Microsoft multi-années lancée pour incorporer la sécurité à chaque étape de la conception, du développement et des opérations des produits. SFI inclut les meilleures pratiques de sécurité internes microsoft que nous souhaitons également recommander à nos clients.
- Atelier directeur de la sécurité de l’information (CISO) : Conseils du programme et stratégies de référence pour accélérer la modernisation de la sécurité à l’aide des principes de confiance zéro.
- Autres normes et cadres de bonnes pratiques de sécurité pour les fournisseurs de services de l'industrie et les services cloud : exemples tels que le Well-Architected Framework d'Amazon Web Services (AWS), les contrôles du Center for Internet Security (CIS), le National Institute of Standards and Technology (NIST), et le Payment Card Industry Data Security Standard (PCI-DSS).
De nouveaux services et fonctionnalités sont publiés quotidiennement dans les plateformes des fournisseurs de services cloud et Azure. Les développeurs publient rapidement de nouvelles applications cloud basées sur ces services. Et les mauvais acteurs cherchent constamment de nouvelles façons d’exploiter des ressources mal configurées. Le cloud se déplace rapidement. Les développeurs avancent rapidement. Les mauvais acteurs se déplacent également rapidement. Comment vous assurer que vos déploiements cloud sont sécurisés ? Comment les pratiques de sécurité pour les systèmes cloud diffèrent-elles des systèmes locaux et différentes entre les fournisseurs de services cloud ? Comment surveiller votre charge de travail pour assurer la cohérence entre plusieurs plateformes cloud ?
Microsoft a constaté que l’utilisation de benchmarks de sécurité peut vous aider à sécuriser rapidement les déploiements cloud. Une infrastructure complète des meilleures pratiques de sécurité des fournisseurs de services cloud peut vous donner un point de départ pour sélectionner des paramètres de configuration de sécurité spécifiques dans votre environnement cloud, entre plusieurs fournisseurs de services. Il vous permet également de surveiller ces configurations à l’aide d’un seul volet de verre.
Benchmark de sécurité cloud Microsoft v2 (préversion)
Le benchmark de sécurité cloud Microsoft v2 (préversion) représente la dernière évolution du MCSB avec des conseils améliorés axés sur Azure, des domaines de sécurité étendus et des détails d’implémentation technique complets. Cette version introduit un nouveau domaine de sécurité De l’intelligence artificielle avec sept recommandations, plus de 420 définitions intégrées d’Azure Policy pour la surveillance automatisée de la conformité, ainsi que des conseils sur les risques et les menaces avec des exemples d’implémentation granulaires. Pour plus d’informations sur la structure de contrôle de sécurité, les descriptions de domaine et les conseils d’implémentation, consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft v2 (préversion).
Implémenter le Benchmark de sécurité cloud Microsoft
Les contrôles de sécurité dans MCSB s’appliquent généralement à vos charges de travail cloud. Chaque contrôle de sécurité identifie les parties prenantes qui sont généralement impliquées dans la planification, l’approbation ou l’implémentation. Ces informations aident les organisations à coordonner efficacement leurs efforts de sécurité.
- Planifiez votre implémentation MCSB en examinant la documentation relative aux contrôles de sécurité pour planifier votre cadre et la façon dont il est mappé à des conseils tels que le Center for Internet Security (CIS), le National Institute of Standards and Technology (NIST) et le cadre de sécurité des données du secteur des cartes de paiement (PCI-DSS).
- Surveillez votre conformité avec l’état MCSB (et d’autres jeux de contrôles) à l’aide du tableau de bord de conformité réglementaire Microsoft Defender pour cloud pour votre environnement multicloud.
- Établissez des garde-fous pour automatiser des configurations sécurisées et appliquer la conformité avec MCSB (et d’autres exigences de votre organisation) à l’aide de fonctionnalités telles qu’Azure Blueprints, Azure Policy ou les technologies équivalentes à partir d’autres plateformes cloud.
Cas d’utilisation courants
Utilisez le benchmark de sécurité cloud Microsoft pour relever les défis courants pour les clients ou les partenaires de service qui sont :
- Nouveautés d’Azure (et d’autres plateformes cloud majeures, telles que AWS) et recherchez les meilleures pratiques de sécurité pour garantir un déploiement sécurisé des services cloud et de votre propre charge de travail d’application.
- Cherchez à améliorer le niveau de sécurité des déploiements cloud existants pour hiérarchiser les principaux risques et les mesures d'atténuation.
- Utilisation d’environnements multiclouds (tels qu’Azure et AWS) et de défis liés à l’alignement de la surveillance et de l’évaluation des contrôles de sécurité à l’aide d’un seul volet de verre.
- Évaluation des fonctionnalités et fonctionnalités de sécurité d’Azure (et d’autres plateformes cloud majeures, telles que AWS) avant d’intégrer ou d’approuver un service dans le catalogue de services cloud.
- Avoir à respecter les exigences de conformité dans les secteurs hautement réglementés, tels que le gouvernement, les finances et les soins de santé. Ces clients doivent s’assurer que leurs configurations de service d’Azure et d’autres clouds répondent à la spécification de sécurité définie dans l’infrastructure telle que CIS, NIST ou PCI. MCSB offre une approche efficace avec les contrôles déjà préconfigurés pour ces benchmarks de l’industrie.
Terminologie
Le benchmark de sécurité cloud Microsoft utilise plusieurs termes clés pour organiser et décrire les conseils de sécurité. Il est important de comprendre comment MCSB utilise ces termes.
| Terme | Descriptif | Exemple : |
|---|---|---|
| Domaine de sécurité | Regroupement de haut niveau de contrôles de sécurité associés qui répondent à un domaine spécifique de préoccupation en matière de sécurité. | Artificial Intelligence Security est l’un des 12 domaines de sécurité dans MCSB v2. Il regroupe tous les contrôles de sécurité liés à la sécurisation des charges de travail et des services IA. |
| Contrôle de sécurité | Exigence ou recommandation de sécurité spécifique au sein d’un domaine à traiter. Les contrôles de sécurité sont des descriptions indépendantes de la technologie de ce que vous devez réaliser. | Dans le domaine de protection des données, « DP-1 : Découvrir, classifier et étiqueter des données sensibles » est un contrôle de sécurité qui décrit la nécessité d’identifier et de classer les informations sensibles. |
| Sous-contrôle de sécurité | Recommandations détaillées, granulaires ou conseils d’implémentation qui prennent en charge un contrôle de sécurité. Un sous-contrôle de sécurité fournit des étapes techniques ou procédurales spécifiques. | Sous contrôle de sécurité DP-1, le sous-contrôle de sécurité DP-1.1 fournit des conseils spécifiques pour l’implémentation de la classification des données à l’aide de Microsoft Purview ou d’outils similaires. |
| Ligne de base | Ensemble d’implémentations de contrôle de sécurité adaptées à un scénario, un framework de conformité ou un secteur spécifique. | Bien que les bases de référence pour MCSB v2 (préversion) ne soient pas encore disponibles, vous trouverez des informations sur les bases de référence MCSB v1 dans la vue d’ensemble du benchmark de sécurité cloud Microsoft v1. |
Nous vous invitons à nous faire part de vos commentaires sur le benchmark de sécurité cloud De Microsoft ! Nous vous encourageons à fournir des commentaires dans la zone de commentaires ci-dessous. Si vous préférez partager votre entrée plus en privé avec l’équipe de sécurité cloud Microsoft, envoyez-nous un e-mail à l’adresse benchmarkfeedback@microsoft.com.