Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Posture et Gestion des vulnérabilités se concentrent sur les contrôles permettant d’évaluer et d’améliorer la posture de sécurité Azure, notamment l’analyse des vulnérabilités, les tests de pénétration et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources Azure.
PV-1 : Définir et établir des configurations sécurisées
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1.1 |
Principe de sécurité : Définissez les bases de référence de configuration sécurisée pour différents types de ressources dans le cloud. Vous pouvez également utiliser des outils de gestion de la configuration pour établir automatiquement la base de référence de configuration avant ou pendant le déploiement de ressources afin que l’environnement puisse être conforme par défaut après le déploiement.
Conseils Azure : Utilisez le benchmark de sécurité Azure et la base de référence du service pour définir votre base de référence de configuration pour chaque offre ou service Azure respectif. Reportez-vous à l'architecture de référence Azure et à l'architecture de zone d'atterrissage de Cloud Adoption Framework pour comprendre les contrôles et configurations de sécurité critiques qui pourraient être nécessaires sur les ressources Azure.
Utilisez Azure Blueprints pour automatiser le déploiement et la configuration des services et des environnements d’application, notamment les modèles Azure Resource Manager, les contrôles RBAC Azure et les stratégies, dans une définition de blueprint unique.
Implémentation et contexte supplémentaire :
- Illustration de l’implémentation des garde-fous dans une zone d’atterrissage à l’échelle d’entreprise
- Utilisation des stratégies de sécurité dans Microsoft Defender pour cloud
- Tutoriel : Créer et gérer des stratégies pour appliquer la conformité
- Azure Blueprints
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-2 : auditer et appliquer les configurations sécurisées
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Principe de sécurité : Surveillez et alertez en continu lorsqu’il existe un écart par rapport à la ligne de base de configuration définie. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou en déployant une configuration.
Conseils Azure : Utilisez Microsoft Defender pour Cloud pour configurer Azure Policy pour auditer et appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources.
Utilisez les règles [refuser] et [déployer s'il n'existe pas] de Azure Policy pour appliquer une configuration sécurisée aux ressources Azure.
Pour l’audit et l’application de la configuration des ressources non pris en charge par Azure Policy, vous devrez peut-être écrire vos propres scripts ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.
Implémentation et contexte supplémentaire :
- Comprendre les effets d’Azure Policy
- Créer et gérer des stratégies pour appliquer la conformité
- Obtenir les données de conformité des ressources Azure
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-3 : Définir et établir des configurations sécurisées pour les ressources de calcul
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2,2 |
Principe de sécurité : Définissez les bases de référence de configuration sécurisées pour vos ressources de calcul, telles que les machines virtuelles et les conteneurs. Utilisez les outils de gestion de la configuration pour établir automatiquement la base de référence de configuration avant ou pendant le déploiement de ressources de calcul afin que l’environnement puisse être conforme par défaut après le déploiement. Vous pouvez également utiliser une image préconfigurée pour générer la base de référence de configuration souhaitée dans le modèle d’image de ressource de calcul.
Conseils Azure : Utilisez la base de référence du système d’exploitation recommandé Azure (pour Windows et Linux) comme référence pour définir votre base de référence de configuration des ressources de calcul.
En outre, vous pouvez utiliser une image de machine virtuelle personnalisée ou une image conteneur avec la configuration d’invité Azure Policy et Azure Automation State Configuration pour établir la configuration de sécurité souhaitée.
Implémentation et contexte supplémentaire :
- Base de référence de la configuration de la sécurité du système d’exploitation Linux
- Base de référence de la configuration de la sécurité du système d’exploitation Windows
- Recommandation de configuration de la sécurité pour les ressources de calcul
- Vue d’ensemble d’Azure Automation State Configuration
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-4 : Auditer et appliquer des configurations sécurisées pour les ressources de calcul
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2,2 |
Principe de sécurité : Surveillez et alertez en continu lorsqu’il existe un écart par rapport à la base de référence de configuration définie dans vos ressources de calcul. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou en déployant une configuration dans les ressources de calcul.
Conseils Azure : Utilisez l’agent de configuration invité Microsoft Defender pour cloud et Azure Policy pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs et d’autres. En outre, vous pouvez utiliser des modèles Azure Resource Manager, des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour maintenir la configuration de sécurité du système d’exploitation. Les modèles de machine virtuelle Microsoft conjointement avec Azure Automation State Configuration peuvent aider à répondre aux exigences de sécurité et à les maintenir.
Remarque : Les images de machine virtuelle Azure Marketplace publiées par Microsoft sont gérées et entretenues par Microsoft.
Implémentation et contexte supplémentaire :
- Comment implémenter des recommandations d’évaluation des vulnérabilités Microsoft Defender pour cloud
- Création d’une machine virtuelle Azure à partir d’un modèle ARM
- Vue d’ensemble d’Azure Automation State Configuration
- Créer une machine virtuelle Windows dans le portail Azure
- sécurité de conteneur dans Microsoft Defender pour Cloud
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-5 : Effectuer des évaluations des vulnérabilités
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Principe de sécurité : Effectuez une évaluation des vulnérabilités pour vos ressources cloud à tous les niveaux dans une planification fixe ou à la demande. Suivez et comparez les résultats de l’analyse pour vérifier que les vulnérabilités sont corrigées. L’évaluation doit inclure tous les types de vulnérabilités, telles que les vulnérabilités dans les services Azure, le réseau, le web, les systèmes d’exploitation, les configurations incorrectes, etc.
Tenez compte des risques potentiels associés à l’accès privilégié utilisé par les scanneurs de vulnérabilité. Suivez la bonne pratique de sécurité d’accès privilégié pour sécuriser tous les comptes d’administration utilisés pour l’analyse.
Conseils Azure : Suivez les recommandations de Microsoft Defender pour Cloud pour effectuer des évaluations des vulnérabilités sur vos machines virtuelles Azure, images conteneur et serveurs SQL. Microsoft Defender pour Cloud dispose d’un scanneur de vulnérabilités intégré pour l’analyse des machines virtuelles. Utiliser une solution tierce pour effectuer des évaluations des vulnérabilités sur les appareils et applications réseau (par exemple, les applications web)
Exportez les résultats de l’analyse à intervalles cohérents et comparez les résultats avec les analyses précédentes pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous utilisez des recommandations de gestion des vulnérabilités suggérées par Microsoft Defender pour cloud, vous pouvez pivoter dans le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.
Lors de l’exécution d’analyses à distance, n’utilisez pas de compte administratif unique et perpétuel. Envisagez d’implémenter la méthodologie d’approvisionnement JIT (juste-à-temps) pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.
Remarque : Les services Azure Defender (y compris Defender pour serveur, registre de conteneurs, App Service, SQL et DNS) incorporent certaines fonctionnalités d’évaluation des vulnérabilités. Les alertes générées à partir des services Azure Defender doivent être surveillées et examinées avec le résultat de Microsoft Defender pour l’outil d’analyse des vulnérabilités cloud.
Remarque : Assurez-vous de paramétrer vos notifications par e-mail dans Microsoft Defender pour le Cloud.
Implémentation et contexte supplémentaire :
- Comment implémenter des recommandations d’évaluation des vulnérabilités Microsoft Defender pour cloud
- analyseur de vulnérabilité intégré pour les machines virtuelles
- d’évaluation des vulnérabilités SQL
- Exportation des résultats de l’analyse des vulnérabilités Microsoft Defender pour cloud
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-6 : Corriger rapidement et automatiquement les vulnérabilités
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2 : CORRECTION DES DÉFAUTS | 6.1, 6.2, 6.5, 11.2 |
Principe de sécurité : Déployez rapidement et automatiquement des correctifs et des mises à jour pour corriger les vulnérabilités dans vos ressources cloud. Utilisez l’approche appropriée basée sur les risques pour hiérarchiser la correction des vulnérabilités. Par exemple, des vulnérabilités plus graves dans une ressource à valeur plus élevée doivent être traitées comme une priorité plus élevée.
Conseils Azure : Utilisez Azure Automation Update Management ou une solution tierce pour vous assurer que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, vérifiez que Windows Update a été activé et défini pour mettre à jour automatiquement.
Pour les logiciels tiers, utilisez une solution de gestion des correctifs tiers ou un éditeur de mise à jour System Center pour Configuration Manager.
Hiérarchiser les mises à jour à déployer en premier à l’aide d’un programme de scoring des risques commun (tel que le système common vulnerability scoring) ou les évaluations des risques par défaut fournies par votre outil d’analyse tiers et adaptées à votre environnement. Vous devez également prendre en compte les applications qui présentent un risque de sécurité élevé et celles qui nécessitent une durée de fonctionnement élevée.
Implémentation et contexte supplémentaire :
- Comment configurer Update Management pour les machines virtuelles dans Azure
- Gérer les mises à jour et les correctifs pour vos machines virtuelles Azure
Parties prenantes de la sécurité des clients (en savoir plus) :
- Gestion de la posture
- Sécurité de l’infrastructure et du point de terminaison
- Sécurité des applications et DevOps
PV-7 : Effectuer des opérations régulières de l’équipe rouge
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Principe de sécurité : Simuler des attaques réelles pour fournir une vue plus complète de la vulnérabilité de votre organisation. Les opérations d’équipe rouge et les tests d’intrusion complètent l’approche traditionnelle de l’analyse des vulnérabilités pour détecter les risques.
Suivez les meilleures pratiques du secteur pour concevoir, préparer et effectuer ce type de test pour vous assurer qu’il ne provoquera pas de dommages ou d’interruptions dans votre environnement. Cela doit toujours inclure la discussion sur l’étendue et les contraintes de test avec les parties prenantes et les propriétaires de ressources pertinents.
Conseils Azure : Si nécessaire, effectuez des tests d’intrusion ou des activités d’équipe rouge sur vos ressources Azure et assurez la correction de toutes les conclusions de sécurité critiques.
Suivez les règles d’engagement des tests d’intrusion microsoft Cloud pour vous assurer que vos tests d’intrusion ne sont pas en violation des stratégies Microsoft. Utilisez la stratégie et l’exécution de Red Teaming et des tests d’intrusion de site en direct sur l’infrastructure, les services et les applications cloud gérés par Microsoft.
Implémentation et contexte supplémentaire :
- Test d’intrusion dans Azure
- Règles d'engagement pour les tests d'intrusion
- Microsoft Cloud Red Teaming
- Guide technique sur les tests et l’évaluation de la sécurité des informations
Parties prenantes de la sécurité des clients (en savoir plus) :