Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le benchmark de sécurité cloud Microsoft (MCSB) fournit des bonnes pratiques et des recommandations prescriptives pour améliorer la sécurité des charges de travail, des données et des services sur Azure et votre environnement multicloud. Ce benchmark se concentre sur les domaines de contrôle centrés sur le cloud en s'appuyant sur un ensemble de directives de sécurité holistiques de Microsoft et du secteur qui incluent :
- Framework d’adoption du cloud : conseils sur la sécurité, notamment la stratégie, les rôles et les responsabilités, les meilleures pratiques de sécurité Azure 10 et l’implémentation de référence.
- Azure Well-Architected Framework : Conseils sur la sécurisation de vos charges de travail sur Azure.
- Atelier directeur de la sécurité de l’information (CISO) : Conseils du programme et stratégies de référence pour accélérer la modernisation de la sécurité à l’aide des principes de confiance zéro.
- Autres normes et cadres de bonnes pratiques de sécurité pour les fournisseurs de services de l'industrie et les services cloud : exemples tels que le Well-Architected Framework d'Amazon Web Services (AWS), les contrôles du Center for Internet Security (CIS), le National Institute of Standards and Technology (NIST), et le Payment Card Industry Data Security Standard (PCI-DSS).
Nouveautés du benchmark de sécurité cloud Microsoft v1
Note
Le benchmark de sécurité cloud Microsoft est le successeur d’Azure Security Benchmark (ASB), qui a été renommé en octobre 2022.
La prise en charge de Google Cloud Platform dans MCSB est désormais disponible en préversion, à la fois dans les guides de référence MCSB et Microsoft Defender pour le Cloud.
Voici les nouveautés du benchmark de sécurité cloud Microsoft v1 :
Infrastructure de sécurité multicloud complète : les organisations doivent souvent créer une norme de sécurité interne pour rapprocher les contrôles de sécurité sur plusieurs plateformes cloud afin de répondre aux exigences de sécurité et de conformité de chacun d’entre eux. Cela nécessite souvent que les équipes de sécurité répètent la même implémentation, la surveillance et l’évaluation dans les différents environnements cloud (souvent pour différentes normes de conformité). Cela crée une surcharge, un coût et un effort inutiles. Pour résoudre ce problème, nous avons amélioré l’ASB à MCSB pour vous aider à travailler rapidement avec différents clouds en procédant comme suit :
- Fourniture d’une infrastructure de contrôle unique pour répondre facilement aux contrôles de sécurité entre les clouds
- Fournir une expérience utilisateur cohérente pour la surveillance et l’application du benchmark de sécurité multicloud dans Defender pour cloud
- Rester aligné sur les normes du secteur (par exemple, CIS, NIST, PCI)
Surveillance automatisée des contrôles pour AWS dans Microsoft Defender pour cloud : vous pouvez utiliser Le tableau de bord de conformité réglementaire Microsoft Defender pour le cloud pour surveiller votre environnement AWS sur MCSB comme vous surveillez votre environnement Azure. Nous avons développé environ 180 vérifications AWS pour obtenir les nouvelles instructions de sécurité AWS dans MCSB, ce qui vous permet de surveiller votre environnement ET vos ressources AWS dans Microsoft Defender pour Cloud.
Actualisation des principes de sécurité et conseils Azure existants : nous avons également actualisé certains des principes de sécurité et de sécurité Azure existants pendant cette mise à jour afin de pouvoir rester à jour avec les fonctionnalités et fonctionnalités Azure les plus récentes.
Contrôles
| Domaines de contrôle | Descriptif |
|---|---|
| Sécurité réseau | La sécurité réseau couvre les contrôles permettant de sécuriser et de protéger les réseaux, notamment la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation du DNS. |
| Gestion des identités | Identité et accès couvre les contrôles destinés à établir des contrôles d’identité et d’accès à l’aide de systèmes d’administration des identités et accès, y compris l’utilisation de l’authentification unique, des authentifications renforcées, des identités managées (et principaux de service) pour les applications, l’accès conditionnel et le monitoring des anomalies de compte. |
| Accès privilégié | L’accès privilégié couvre les contrôles pour protéger l’accès privilégié à votre locataire et à vos ressources, y compris une plage de contrôles pour protéger votre modèle d’administration, vos comptes administratifs et vos stations de travail d’accès privilégié contre un risque délibéré et involontaire. |
| Protection des données | La protection des données couvre le contrôle de la protection des données au repos, en transit et via des mécanismes d’accès autorisés, notamment la découverte, la classification, la protection et la surveillance des ressources de données sensibles à l’aide du contrôle d’accès, du chiffrement, de la gestion des clés et de la gestion des certificats. |
| Gestion des ressources | Gestion des actifs couvre les contrôles pour garantir la visibilité et la gouvernance de la sécurité sur vos ressources, notamment les recommandations sur les autorisations pour le personnel de sécurité, l’accès de sécurité à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction). |
| Journalisation et détection des menaces | La journalisation et la détection des menaces couvrent les contrôles de détection des menaces sur le cloud et l’activation, la collecte et le stockage des journaux d’audit pour les services cloud, notamment l’activation des processus de détection, d’investigation et de correction avec des contrôles pour générer des alertes de haute qualité avec détection des menaces natives dans les services cloud ; il inclut également la collecte des journaux avec un service de supervision cloud, la centralisation de l’analyse de la sécurité avec un SIEM, une synchronisation de temps et une rétention des journaux. |
| Réponse aux incidents | La réponse aux incidents couvre les contrôles dans le cycle de vie de la réponse aux incidents : préparation, détection et analyse, activités de confinement et post-incident, notamment l’utilisation de services Azure (tels que Microsoft Defender pour Cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités | Posture et Gestion des vulnérabilités se concentrent sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité cloud, notamment l’analyse des vulnérabilités, les tests de pénétration et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources cloud. |
| Sécurité des points de terminaison | Endpoint Security couvre les contrôles dans la détection et la réponse des points de terminaison, notamment l’utilisation de la détection et de la réponse de point de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans les environnements cloud. |
| Sauvegarde et récupération | La sauvegarde et la récupération couvrent les contrôles pour garantir que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées. |
| Sécurité DevOps (DS) | DevOps Security couvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, notamment le déploiement de contrôles de sécurité critiques (tels que les tests de sécurité des applications statiques, la gestion des vulnérabilités) avant la phase de déploiement pour garantir la sécurité tout au long du processus DevOps ; il inclut également des sujets courants tels que la modélisation des menaces et la sécurité de l’approvisionnement logiciel. |
| Gouvernance et stratégie | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de gouvernance documentée pour guider et soutenir l’assurance de la sécurité, notamment l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, la stratégie technique unifiée et la prise en charge des stratégies et des normes. |
Recommandations dans le benchmark de sécurité cloud Microsoft
Chaque recommandation comprend les informations suivantes :
- ID : ID de benchmark qui correspond à la recommandation.
- ID(s) CIS Controls v8 : contrôle(s) CIS Controls v8 qui correspondent à la recommandation.
- ID(s) CIS Controls v7.1 : contrôle(s) CIS Controls v7.1 correspondant à la recommandation (non disponible sur le web en raison de la raison de mise en forme).
- PCI-DSS id(s) v3.2.1 : contrôle(s) PCI-DSS v3.2.1 correspondant à la recommandation.
- NIST SP 800-53 r4 ID(s) : les contrôles NIST SP 800-53 r4 (modéré et élevé) correspondent à cette recommandation.
- Principe de sécurité : La recommandation s’est concentrée sur le « quoi », expliquant le contrôle au niveau indépendant de la technologie.
- Conseils Azure : La recommandation s’est concentrée sur la « façon », expliquant les fonctionnalités techniques et les principes de base de l’implémentation Azure.
- Conseils AWS : La recommandation s’est concentrée sur le « comment », expliquant les fonctionnalités techniques et les principes de base de l’implémentation AWS.
- Implémentation et contexte supplémentaire : les détails de l’implémentation et d’autres contextes pertinents qui se rapportent aux articles de documentation sur les offres de services Azure et AWS.
- Parties prenantes de la sécurité des clients : les fonctions de sécurité de l’organisation client qui peuvent être redevables, responsables ou consultées pour le contrôle correspondant. Il peut être différent de l’organisation à l’organisation en fonction de la structure de l’organisation de sécurité de votre entreprise, ainsi que des rôles et responsabilités que vous avez configurés liés à la sécurité Azure.
Les mappages de contrôle entre MCSB et les benchmarks du secteur (tels que CIS, NIST et PCI) indiquent uniquement qu’une ou plusieurs fonctionnalités Azure spécifiques peuvent être utilisées pour répondre entièrement ou partiellement à une exigence de contrôle définie dans ces benchmarks industriels. Vous devez être conscient que cette implémentation ne se traduit pas nécessairement par la conformité complète des contrôles correspondants dans ces benchmarks du secteur.
Nous vous invitons à recevoir vos commentaires détaillés et à participer activement à l’effort de benchmark de sécurité cloud Microsoft. Si vous souhaitez fournir une entrée directe, veuillez nous envoyer un e-mail à l’adresse benchmarkfeedback@microsoft.com.
Télécharger
Vous pouvez télécharger le benchmark et la copie de référence hors connexion au format de feuille de calcul.
Étapes suivantes
- Consultez le premier contrôle de sécurité : sécurité réseau
- Lire l’introduction du benchmark de sécurité cloud Microsoft
- Découvrir les principes de base de la sécurité Azure