Ajouter des normes sectorielles et réglementaires à Microsoft Defender pour le cloud
Le benchmark de sécurité cloud Microsoft (MCSB) fournit des bonnes pratiques normatives et des recommandations qui aident à améliorer la sécurité des charges de travail, des données et des services sur Azure et votre environnement multicloud, en mettant l’accent sur des domaines de contrôle axés sur le cloud avec un ensemble d’instructions de sécurité globales de Microsoft et du secteur qui comprennent :
- Cloud Adoption Framework : guide sur la sécurité, notamment la sécurité relative aux stratégies, rôles et responsabilités, les 10 bonnes pratiques relatives à la sécurité Azureet l’implémentation de la documentation de référence.
- Azure Well-Architected Framework : conseils sur la sécurisation de vos charges de travail dans Azure.
- Atelier du CISO : Guide du programme de sécurité et stratégies de référence pour accélérer la modernisation de la sécurité en utilisant les principes de la Confiance Zéro.
- Normes et infrastructures relatives aux meilleures pratiques de sécurité d’autres fournisseurs de services cloud et industriels : par exemple, Amazon Web Services (AWS) Well-Architected Framework, Center for Internet Security (CIS) Controls, National Institute of Standards and Technology (NIST) et Payment Card Industry Data Security Standard (PCI-DSS).
Fonctionnalités du point de référence de la sécurité du cloud Microsoft
Framework de sécurité multicloud complet : les organisations doivent souvent créer des standards de sécurité interne dans le but d’harmoniser les contrôles de sécurité au sein des différentes plateformes cloud, afin de répondre aux exigences de sécurité et de conformité de chacune d’elles. La création de contrôles de sécurité nécessite que les équipes de sécurité répètent la même implémentation, la surveillance et l’évaluation dans les différents environnements cloud (souvent pour différentes normes de conformité). Pour résoudre ce problème, nous avons amélioré Azure Security Benchmark (ASB) par rapport au point de référence de la sécurité du cloud Microsoft (MCSB) pour vous aider à travailler rapidement sur différents clouds en :
- Fournit un framework de contrôle unique pour répondre facilement aux exigences des contrôles de sécurité des différents clouds
- Fournit une expérience utilisateur cohérente pour le monitoring et l’application du benchmark de sécurité multicloud dans Defender pour le cloud
- Rester aligné sur les normes industrielles (par exemple, Center for Internet Security, National Institute of Standards and Technology, Payment Card Industry)
Monitoring automatisé des contrôles pour AWS dans Microsoft Defender pour le cloud : vous pouvez utiliser le tableau de bord de conformité réglementaire Microsoft Defender pour le cloud afin d’analyser votre environnement AWS avec le point de référence de la sécurité du cloud Microsoft (MCSB), de la même manière que vous le feriez pour votre environnement Azure. Dans le MCSB, nous avons créé environ 180 contrôles AWS pour les nouvelles instructions de sécurité AWS, ce qui vous permet de monitorer votre environnement et vos ressources AWS dans Microsoft Defender pour le cloud.
Exemple : Tableau de bord Microsoft Defender pour le cloud - Conformité réglementaire
Conseils et principes de sécurité Azure : conseils de sécurité Azure, principes de sécurité, fonctionnalités et composants.
Contrôles
| Domaines de contrôle | Description |
|---|---|
| Sécurité réseau | La Sécurité du réseau couvre les contrôles de sécurité et de protection des réseaux, y compris la sécurité des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation du DNS (Domain Name System). |
| Gestion des identités | Identité et accès couvre les contrôles destinés à établir des contrôles d’identité et d’accès à l’aide de systèmes d’administration des identités et accès, y compris l’utilisation de l’authentification unique, des authentifications renforcées, des identités managées (et principaux de service) pour les applications, l’accès conditionnel et le monitoring des anomalies de compte. |
| Accès privilégié | L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires. |
| Protection des données | La protection des données couvre le contrôle de la protection des données au repos, en transit et par le biais de mécanismes d’accès autorisés, ce qui inclut la découverte, la classification, la protection et le Monitoring des ressources de données sensibles en utilisant le contrôle d’accès, le chiffrement et la gestion de certificats. |
| Gestion des ressources | La gestion des ressources couvre les contrôles destinés à assurer la visibilité et la gouvernance de la sécurité sur vos ressources, ce qui inclut des suggestions sur les autorisations pour le personnel de sécurité, l’accès sécurisé à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, piste et correction). |
| Journalisation et détection des menaces | La journalisation et la détection des menaces couvrent les contrôles destinés à détecter les menaces sur le cloud et à activer, collecter et stocker les journaux d’audit pour les services cloud, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec un service de monitoring sur le cloud, la centralisation des analyses de la sécurité avec une gestion des événements de sécurité (SEM), la synchronisation de l’heure et la conservation des journaux. |
| Réponse aux incidents | La réponse aux incidents couvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, confinement et activités post-incident, notamment l’utilisation de services Azure (tels que Microsoft Defender pour Cloud et Microsoft Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités | La gestion des postures, des menaces et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et à améliorer la posture de sécurité cloud, ce qui inclut l’analyse des vulnérabilités, les tests d’intrusion et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction des ressources du cloud. |
| Sécurité des points de terminaison | La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud. |
| Sauvegarde et récupération | Les contrôles de sauvegarde et de récupération permettent de s’assurer que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées. |
| Sécurité DevOps (DS) | DevOps Security couvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, notamment le déploiement de vérifications de sécurité critiques (tels que les tests de sécurité et la gestion des vulnérabilités de sécurité des applications statiques) avant la phase de déploiement pour garantir la sécurité tout au long du processus DevOps ; il inclut également des articles courants tels que la modélisation des menaces et la sécurité de l’approvisionnement logiciel. |
| Gouvernance et stratégie | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de la gouvernance documentée, et pour guider et soutenir l’assurance sécurité, y compris l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et normes associées. |
Instructions d’installation de haut niveau pour la conformité réglementaire
Pas à pas
- Activer Defender pour cloud (s’il n’est pas déjà activé)
- Portail Azure → Microsoft Defender pour cloud
- Vérifier que Defender pour Cloud est activé sur les abonnements ou le groupe d’administration
- Accéder à la conformité réglementaire
- Portail Azure → Microsoft Defender pour cloud
- Sélectionner la conformité réglementaire
- Activer une norme réglementaire
- Sélectionner Gérer les stratégies de conformité
- Choisissez parmi les normes intégrées (exemples) :
- ISO 27001
- NIST SP 800 53
- PCI DSSCIS Benchmarks
- SOC 2
- Sélectionner Ajouter
- Affecter la norme à une étendue
- Lors de l’activation d’une norme, vous l’affectez à une ou plusieurs étendues :
- Groupe d’administration (meilleure pratique pour l’entreprise)
- Subscription
- Lors de l’activation d’une norme, vous l’affectez à une ou plusieurs étendues :
- Passer en revue les contrôles et évaluations
- Chaque norme est divisée en contrôles
- Exemple : « Configurations réseau sécurisées »
- Chaque contrôle correspond à :
- Évaluations Azure Policy
- Recommandations Defender for Cloud
- Vous pouvez explorer :
- État du contrôle
- Ressources autorisées ou refusées
- Recommandations à l’origine d’une non-conformité
- Chaque norme est divisée en contrôles
- Corriger les résultats non conformes
- Vous résolvez les non-conformités en :
- Résolution des problèmes de configuration
- Activation des plans Defender (par exemple, Defender pour SQL, Stockage)
- Application de tâches de correction de stratégie
- Utilisation d’exemptions lorsqu’elles sont justifiées
- Vous résolvez les non-conformités en :
- Ajouter des exigences personnalisées (facultatif)
- Si votre organisation a :
- Contrôles internes
- Réglementations régionales
- Règles spécifiques au secteur
- Si votre organisation a :
- Utiliser des exemptions (pour faciliter l’audit)
- Pour une non-conformité justifiée (acceptation documentée des risques)
- Maintient la clarté de l’audit sans faux négatifs