Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité Azure le plus à jour up-toest disponible ici.
La gestion de la posture et des vulnérabilités se concentre sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité Azure. Cela inclut l’analyse des vulnérabilités, les tests d’intrusion et la correction, ainsi que le suivi, la création de rapports et la correction de la configuration de sécurité dans les ressources Azure.
Pour voir l’Azure Policy intégré applicable, consultez Détails de l’initiative intégrée de conformité réglementaire du benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités
PV-1 : Établir des configurations sécurisées pour les services Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Définissez des garde-fous de sécurité pour les équipes d’infrastructure et DevOps en facilitant la configuration sécurisée des services Azure qu’elles utilisent.
Démarrez la configuration de la sécurité des services Azure à l’aide des lignes de base de service dans le benchmark de sécurité Azure et personnalisez-la selon vos besoins pour votre organisation.
Utilisez Azure Security Center pour configurer Azure Policy afin d’auditer et d’appliquer les configurations de vos ressources Azure.
Vous pouvez utiliser Azure Blueprints pour automatiser le déploiement et la configuration de services et d’environnements d’applications, y compris les modèles Azure Resource Manager, les contrôles RBAC Azure et les stratégies, dans une seule définition de blueprint.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-2 : Maintenir des configurations sécurisées pour les services Azure
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Utilisez Azure Security Center pour surveiller votre base de configuration et utilisez les règles Azure Policy [refuser] et [déployer si n’existe pas] pour appliquer une configuration sécurisée sur les ressources de calcul Azure, y compris les machines virtuelles, les conteneurs et autres.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-3 : Établir des configurations sécurisées pour les ressources de calcul
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Utilisez Azure Security Center et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, y compris les machines virtuelles, les conteneurs et autres En outre, vous pouvez utiliser des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour établir la configuration de sécurité du système d’exploitation requis par votre organisation.
Comment surveiller les recommandations d’Azure Security Center
Importer un VHD et l’utiliser pour créer de nouvelles machines virtuelles Windows dans Azure
Créer une machine virtuelle Linux à partir d’un disque personnalisé avec Azure CLI
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-4 : Maintenir des configurations sécurisées pour les ressources de calcul
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Utilisez Azure Security Center et Azure Policy pour évaluer et corriger régulièrement les risques de configuration sur vos ressources de calcul Azure, y compris les machines virtuelles, les conteneurs et autres. En outre, vous pouvez utiliser des modèles Azure Resource Manager, des images de système d’exploitation personnalisées ou la configuration d’état Azure Automation pour conserver la configuration de sécurité du système d’exploitation requise par votre organisation. Les modèles de machine virtuelle Microsoft conjointement avec Azure Automation State Configuration peuvent aider à répondre aux exigences de sécurité et à les maintenir.
Notez également que les images de machine virtuelle de la Place de marché Azure publiées par Microsoft sont gérées et gérées par Microsoft.
Azure Security Center peut également analyser les vulnérabilités dans les images de conteneur et effectuer une surveillance continue de votre configuration Docker dans les conteneurs, en fonction du CIS Docker Benchmark. Vous pouvez utiliser la page de recommandations d’Azure Security Center pour afficher des recommandations et résoudre les problèmes.
Comment implémenter des recommandations d’évaluation des vulnérabilités d’Azure Security Center
Création d’une machine virtuelle Azure à partir d’un modèle ARM
Informations sur le téléchargement d’un modèle pour une machine virtuelle
Exemple de script pour charger un disque dur virtuel sur Azure et créer une machine virtuelle
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-5 : Stocker en toute sécurité des images de système d’exploitation et de conteneur personnalisées
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour garantir que seuls les utilisateurs autorisés peuvent accéder à vos images personnalisées. Utilisez une galerie d’images partagées Azure pour partager vos images avec différents utilisateurs, principaux de service ou groupes AD au sein de votre organisation. Stockez les images conteneur dans Azure Container Registry et utilisez Azure RBAC pour vous assurer que seuls les utilisateurs autorisés y ont accès.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-6 : Effectuer des évaluations des vulnérabilités logicielles
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Suivez les recommandations d’Azure Security Center pour effectuer des évaluations de vulnérabilité sur vos machines virtuelles Azure, vos images de conteneur et vos serveurs SQL. Azure Security Center dispose d’un analyseur de vulnérabilités intégré pour analyser les machines virtuelles.
Utilisez une solution tierce pour effectuer des évaluations des vulnérabilités sur les appareils réseau et les applications web. Lors de l’exécution d’analyses à distance, n’utilisez pas de compte administratif unique et perpétuel. Envisagez d’implémenter la méthodologie d’approvisionnement JIT (juste-à-temps) pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.
Exportez les résultats de l’analyse à intervalles cohérents et comparez les résultats avec les analyses précédentes pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous utilisez les recommandations de gestion des vulnérabilités suggérées par Azure Security Center, vous pouvez pivoter vers le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.
Comment implémenter des recommandations d’évaluation des vulnérabilités d’Azure Security Center
analyseur de vulnérabilité intégré pour les machines virtuelles
Exportation des résultats de l’analyse des vulnérabilités Azure Security Center
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-7 : Corriger rapidement et automatiquement les vulnérabilités logicielles
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Déployez rapidement des mises à jour logicielles pour corriger les vulnérabilités logicielles dans les systèmes d’exploitation et les applications.
Utilisez un programme de notation des risques commun (tel que Common Vulnerability Scoring System) ou les évaluations de risque par défaut fournies par votre outil d’analyse tiers et adaptez-vous à votre environnement, en tenant compte des applications qui présentent un risque de sécurité élevé et de celles qui nécessitent un temps de fonctionnement élevé.
Utilisez Azure Automation Update Management ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, vérifiez que Windows Update a été activé et défini pour mettre à jour automatiquement.
Pour les logiciels tiers, utilisez une solution de gestion des correctifs tiers ou un éditeur de mise à jour System Center pour Configuration Manager.
Comment configurer Update Management pour les machines virtuelles dans Azure
Gérer les mises à jour et les correctifs pour vos machines virtuelles Azure
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PV-8 : Effectuer une simulation d’attaque régulière
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Si nécessaire, effectuez des tests d’intrusion ou des activités d’équipe rouge sur vos ressources Azure et assurez la correction de tous les résultats de sécurité critiques. Suivez les règles d’engagement des tests d’intrusion microsoft Cloud pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies Microsoft. Utilisez la stratégie et l’exécution de Red Teaming et des tests d’intrusion de site en direct sur l’infrastructure, les services et les applications cloud gérés par Microsoft.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (en savoir plus) :