Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le benchmark de sécurité Azure (ASB) fournit des bonnes pratiques et des recommandations prescriptives pour améliorer la sécurité des charges de travail, des données et des services sur Azure.
Ce benchmark fait partie d’un ensemble de conseils de sécurité holistiques qui incluent également :
- Framework d’adoption du cloud : conseils sur la sécurité, notamment la stratégie, les rôles et les responsabilités, les meilleures pratiques de sécurité Azure 10 et l’implémentation de référence.
- Azure Well-Architected Framework : conseils sur la sécurisation de vos charges de travail sur Azure.
- Meilleures pratiques de sécurité Microsoft : recommandations avec des exemples sur Azure.
Le benchmark de sécurité Azure se concentre sur les domaines de contrôle centrés sur le cloud. Ces contrôles sont cohérents avec les benchmarks de sécurité connus, tels que ceux décrits par le Center for Internet Security (CIS) Controls Version 7.1 et national Institute of Standards and Technology (NIST) SP 800-53. Les contrôles suivants sont inclus dans le benchmark de sécurité Azure :
| Domaines de contrôle ASB | Descriptif |
|---|---|
| Sécurité réseau (NS) | La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux Azure, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation de DNS. |
| Gestion des identités (messagerie instantanée) | Identity Management couvre les contrôles permettant d’établir des contrôles d’identité et d’accès sécurisés à l’aide d’Azure Active Directory, notamment l’utilisation de l’authentification unique, des authentifications fortes, des identités managées (et des principaux de service) pour les applications, l’accès conditionnel et la surveillance des anomalies de compte. |
| Accès privilégié (PA) | L’accès privilégié couvre les contrôles pour protéger l’accès privilégié à votre locataire Azure et à vos ressources, y compris une gamme de contrôles pour protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail d’accès privilégié contre un risque délibéré et involontaire. |
| Protection des données (DP) | La protection des données couvre le contrôle de la protection des données au repos, en transit et via des mécanismes d’accès autorisés, notamment la découverte, la classification, la protection et la surveillance des ressources de données sensibles à l’aide du contrôle d’accès, du chiffrement et de la journalisation dans Azure. |
| Gestion des ressources (AM) | La gestion des actifs couvre les contrôles pour assurer la visibilité et la gouvernance de la sécurité sur les ressources Azure, y compris les recommandations sur les autorisations pour le personnel de sécurité, l'accès sécurisé à l'inventaire des ressources, et la gestion des approbations pour les services et les ressources (inventorier, suivre et corriger). |
| Journalisation et détection des menaces (LT) | La journalisation et la détection des menaces couvrent les contrôles de détection des menaces sur Azure et l’activation, la collecte et le stockage des journaux d’audit pour les services Azure, notamment l’activation des processus de détection, d’investigation et de correction avec des contrôles pour générer des alertes de haute qualité avec la détection des menaces native dans les services Azure ; il inclut également la collecte des journaux avec Azure Monitor, la centralisation de l’analyse de sécurité avec Azure Sentinel, la synchronisation de temps et la rétention des journaux. |
| Réponse aux incidents (IR) | La réponse aux incidents couvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, activités de confinement et post-incident, notamment l’utilisation de services Azure tels qu’Azure Security Center et Sentinel pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités (PV) | Posture et Gestion des vulnérabilités se concentrent sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité Azure, notamment l’analyse des vulnérabilités, les tests de pénétration et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources Azure. |
| Sécurité des points de terminaison (ES) | Endpoint Security couvre les contrôles de détection et de réponse des points de terminaison, notamment l’utilisation de la détection et de la réponse de point de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans les environnements Azure. |
| Sauvegarde et récupération (BR) | La sauvegarde et la récupération couvrent les contrôles pour garantir que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées. |
| Gouvernance et stratégie (GS) | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de la gouvernance documentée et guider et soutenir l’assurance sécurité, y compris l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et des standards connexes. |
Recommandations relatives au benchmark de sécurité Azure
Chaque recommandation comprend les informations suivantes :
- ID Azure : ID du benchmark de sécurité Azure qui correspond à la recommandation.
- ID(s) des contrôles CIS v7.1 : Les contrôle(s) CIS v7.1 qui correspondent à cette recommandation.
- ID(s) NIST SP 800-53 r4 : Les contrôles du NIST SP 800-53 r4 (modéré) qui correspondent à cette recommandation.
- Détails : Justification de la recommandation et liens vers des conseils sur la façon de l’implémenter. Si la recommandation est prise en charge par Azure Security Center, ces informations sont également répertoriées.
- Responsabilité : que le client, le fournisseur de services ou les deux soient responsables de l’implémentation de cette recommandation. Les responsabilités de sécurité sont partagées dans le cloud public. Certains contrôles de sécurité sont uniquement disponibles pour le fournisseur de services cloud et, par conséquent, le fournisseur est responsable de l’adressage de ceux-ci. Il s’agit d’observations générales : pour certains services individuels, la responsabilité sera différente de celle répertoriée dans le benchmark de sécurité Azure. Ces différences sont décrites dans les recommandations de base pour le service individuel.
- Parties prenantes de la sécurité des clients : les fonctions de sécurité de l’organisation client qui peuvent être redevables, responsables ou consultées concernant le contrôle respectif. Il peut être différent de l’organisation à l’organisation en fonction de la structure de l’organisation de sécurité de votre entreprise, ainsi que des rôles et responsabilités que vous avez configurés liés à la sécurité Azure.
Remarque
Les mappages de contrôle entre ASB et les benchmarks du secteur (tels que NIST et CIS) indiquent uniquement qu’une fonctionnalité Azure spécifique peut être utilisée pour répondre entièrement ou partiellement à une exigence de contrôle définie dans NIST ou CIS. Vous devez savoir que cette implémentation ne se traduit pas nécessairement par la conformité totale du contrôle correspondant dans CIS ou NIST.
Nous vous invitons à recevoir vos commentaires détaillés et à participer activement à l’effort azure Security Benchmark. Si vous souhaitez fournir des commentaires directs à l'équipe Azure Security Benchmark, remplissez le formulaire à https://aka.ms/AzSecBenchmark
Télécharger
Vous pouvez télécharger le benchmark de sécurité Azure au format de feuille de calcul.
Étapes suivantes
- Consultez le premier contrôle de sécurité : sécurité réseau
- Lire l’introduction du benchmark de sécurité Azure
- Découvrir les principes de base de la sécurité Azure