Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité Azure le plus up-toest disponible ici.
La protection des données couvre le contrôle de la protection des données au repos, en transit et via des mécanismes d’accès autorisés. Cela inclut la découverte, la classification, la protection et la surveillance des ressources de données sensibles à l’aide du contrôle d’accès, du chiffrement et de la journalisation dans Azure.
Pour consulter la stratégie intégrée applicable d’Azure Policy, consultez les détails de l’initiative intégrée de conformité réglementaire Azure Security Benchmark : Protection des données
DP-1 : Découverte, classification et étiquette des données sensibles
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-1 | 13.1, 14.5, 14.7 | SC-28 |
Découvrez, classifiez et étiquetez vos données sensibles afin de pouvoir concevoir les contrôles appropriés pour vous assurer que les informations sensibles sont stockées, traitées et transmises de manière sécurisée par les systèmes technologiques de l’organisation.
Utilisez Azure Information Protection (et son outil d’analyse associé) pour les informations sensibles dans les documents Office sur Azure, localement, office 365 et dans d’autres emplacements.
Vous pouvez utiliser Azure SQL Information Protection pour faciliter la classification et l’étiquetage des informations stockées dans azure SQL Databases.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :
DP-2 : Protéger les données sensibles
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-2 | 13.2, 2.10 | SC-7, AC-4 |
Protégez les données sensibles en limitant l’accès à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC), des contrôles d’accès basés sur le réseau et des contrôles spécifiques dans les services Azure (tels que le chiffrement dans SQL et d’autres bases de données).
Pour garantir un contrôle d’accès cohérent, tous les types de contrôle d’accès doivent être alignés sur votre stratégie de segmentation d’entreprise. La stratégie de segmentation d’entreprise doit également être informée par l’emplacement des données et systèmes sensibles ou critiques pour l’entreprise.
Pour la plateforme sous-jacente, gérée par Microsoft, Microsoft traite tout le contenu client comme sensible et protège contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté certains contrôles et fonctionnalités de protection des données par défaut.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :
DP-3 : Surveiller le transfert non autorisé de données sensibles
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-3 | 13.3 | AC-4, SI-4 |
Surveillez le transfert non autorisé de données vers des emplacements en dehors de la visibilité et du contrôle de l’entreprise. Cela implique généralement la surveillance des activités anormales (transferts volumineux ou inhabituels) qui peuvent indiquer une exfiltration de données non autorisées.
Azure Defender pour stockage et Azure SQL ATP peuvent alerter sur le transfert anormal d’informations susceptibles d’indiquer des transferts non autorisés d’informations sensibles.
Azure Information Protection (AIP) fournit des fonctionnalités de surveillance pour les informations classifiées et étiquetées.
Si nécessaire pour la conformité de la protection contre la perte de données (DLP), vous pouvez utiliser une solution DLP basée sur l’hôte pour appliquer des contrôles détectives et/ou préventifs pour empêcher l’exfiltration des données.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :
DP-4 : Chiffrer les informations sensibles en transit
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-4 | 14.4 | SC-8 |
Pour compléter les contrôles d’accès, les données en transit doivent être protégées contre les attaques « hors bande » (telles que la capture de trafic) à l’aide du chiffrement pour s’assurer que les attaquants ne peuvent pas lire ou modifier facilement les données.
Bien que cela soit facultatif pour le trafic sur des réseaux privés, il est essentiel pour le trafic sur des réseaux externes et publics. Pour le trafic HTTP, assurez-vous que tous les clients qui se connectent à vos ressources Azure peuvent négocier TLS v1.2 ou version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) au lieu d’un protocole non chiffré. Les protocoles et versions obsolètes de SSL, TLS et SSH, ainsi que les chiffrements faibles, doivent être désactivés.
Par défaut, Azure fournit un chiffrement pour les données en transit entre les centres de données Azure.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :
DP-5 : Chiffrer les données sensibles au repos
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| DP-5 | 14.8 | SC-28, SC-12 |
Pour compléter les contrôles d’accès, les données au repos doivent être protégées contre les attaques hors bande (telles que l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela permet de s’assurer que les attaquants ne peuvent pas lire ou modifier facilement les données.
Azure fournit le chiffrement des données au repos par défaut. Pour les données hautement sensibles, vous avez des options permettant d’implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure où elles sont disponibles. Azure gère vos clés de chiffrement par défaut, mais Azure propose des options pour gérer vos propres clés (clés gérées par le client) pour certains services Azure.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :