Base de référence de sécurité Azure pour Automation

Cette base de référence de sécurité applique le Point de référence de sécurité Azure version 2.0 à Azure Automation. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Automation.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une section a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Automation et ceux pour lesquels les directives globales sont recommandées textuellement ont été exclus. Pour voir la façon dont Automation est entièrement mappé au Point de référence de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité pour Automation.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseil : Azure Automation ne prend pas en charge le déploiement direct sur un réseau virtuel. Automation ne peut pas utiliser les fonctionnalités réseau telles que les groupes de sécurité réseau, les tables de routage ou les appliances dépendantes du réseau comme Pare-feu Azure.

Utilisez Microsoft Sentinel pour découvrir l’utilisation de protocoles hérités non sécurisés tels que :

Responsabilité : Microsoft

NS-2 : Interconnecter des réseaux privés

Conseils : Azure ExpressRoute ou le réseau privé virtuel (VPN) Azure permettent de créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne passent pas par l’Internet public. ExpressRoute offre davantage de fiabilité, une rapidité plus élevée et des latences inférieures par rapport aux connexions Internet classiques.

Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et d’Azure ExpressRoute.

Pour connecter deux réseaux virtuels ou plus dans Azure, utilisez l’appairage de réseaux virtuels. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Conseil : Utilisez Azure Private Link pour activer l’accès privé à Automation à partir de vos réseaux virtuels, sans passer par Internet. L’accès privé ajoute une mesure de défense en profondeur qui vient s’ajouter à la sécurité de l’authentification et du trafic Azure.

Automation ne permet pas de configurer des points de terminaison de service de réseau virtuel.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseil : Utilisez des étiquettes de service Réseau virtuel Azure pour définir des contrôles d’accès au réseau pour vos ressources Automation sur les groupes de sécurité réseau ou Pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. Spécifiez le nom de l’étiquette de service dans le champ source ou de destination de la règle pour autoriser ou refuser le trafic. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service. Celle-ci est automatiquement mise à jour lorsque les adresses changent.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Automation utilise Azure Active Directory (Azure AD) comme service par défaut de gestion des identités et des accès. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Ressources Microsoft Cloud. Les ressources incluent :

    • Le portail Azure

    • Stockage Azure

    • Machines virtuelles Azure Linux et Windows

    • Azure Key Vault

    • PaaS (Platform-as-a-service)

    • Applications SaaS (Software as a Service)

  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être prioritaire dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d’identité sécurisée pour vous aider à comparer la posture de sécurité de votre identité aux recommandations de Microsoft. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes, qui permettent aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources.

Utilisez des certificats auto-signés X.509 pour authentifier les Workers hybrides Automation et les nœuds DSC (Desired State Configuration) auprès d’Azure Automation.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseil : Automation prend en charge les identités managées pour ses ressources Azure. Utilisez des identités managées au lieu de créer des principaux de service pour accéder à d’autres ressources avec Automation.

Automation peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. Automation passe par une règle prédéfinie d’octroi d’accès sans recourir à des informations d’identification codées en dur dans le code source ou les fichiers config.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Aide : Connectez tous vos utilisateurs, toutes vos applications et tous vos appareils à Azure AD. Azure AD offre un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Automation utilise Azure AD afin de fournir une gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. Parmi les identités figurent les identités d’entreprise (par exemple : employés) et les identités externes (par exemple : partenaires, vendeurs et fournisseurs). La gestion des identités et des accès Azure AD fournit une authentification unique (SSO) pour gérer et sécuriser l’accès aux données et aux ressources locales et cloud de votre organisation.

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Conseil : Les ressources Automation contiennent potentiellement des identités ou des secrets. Utilisez Credential Scanner pour découvrir ces informations d’identification. Credential Scanner encourage le déplacement des informations d’identification découvertes vers des emplacements sécurisés, tels qu’Azure Key Vault.

Dans le cas de GitHub, vous pouvez utiliser la fonctionnalité native d’analyse de secret. Elle repère les informations d’identification et toute autre forme de secrets dans le code.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Aide : Les rôles intégrés les plus critiques d’Azure AD sont Administrateur général et Administrateur de rôle privilégié. Les utilisateurs qui possèdent ces deux rôles peuvent déléguer des rôles Administrateur :

  • Administrateur général/d’entreprise : les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration d’Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.

  • Administrateur de rôle privilégié : les utilisateurs disposant de ce rôle peuvent gérer les attributions de rôles dans Azure AD et Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.

Limitez le nombre de comptes très privilégiés et protégez-les à un niveau élevé. Les utilisateurs qui disposent de ces privilèges peuvent lire et modifier directement ou indirectement toutes les ressources de votre environnement Azure. Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et à Azure AD en utilisant Azure AD PIM. JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité s’il détecte des activités suspectes ou dangereuses dans votre organisation Azure AD.

Remarque : Si vous avez attribué certaines autorisations privilégiées à des rôles personnalisés, il se peut que d’autres rôles critiques doivent être régis. Vous pouvez également appliquer des contrôles similaires au compte Administrateur des ressources métier critiques.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Automation utilise des comptes Azure AD pour gérer ses ressources et examiner les comptes d’utilisateur. Azure AD accède régulièrement aux assignations pour s’assurer que les comptes et leurs accès sont valides. Toutefois, Automation n’est pas entièrement intégré à Azure AD.

Si vous utilisez des comptes d’identification Automation pour votre runbooks, assurez-vous d’effectuer le suivi des principaux de service dans votre inventaire. Les principaux de service ont souvent des autorisations élevées. Supprimez tous les comptes d’identification inutilisés pour réduire votre surface d’attaque exposée. Il est préférable d’utiliser des identités managées plutôt que des comptes d’identification.

Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Gérez ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseil : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et Azure Bastion pour les tâches d’administration.

Pour déployer une station de travail utilisateur sécurisée et gérée destinée aux tâches d’administration, utilisez Azure AD, Microsoft Defender Advanced Threat Protection (ATP) ou Microsoft Intune. Vous pouvez gérer de manière centralisée les stations de travail sécurisées pour appliquer une configuration sécurisée :

  • Authentification renforcée

  • Lignes de base logicielles et matérielles

  • Accès logique et réseau restreints

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseil : Automation s’intègre au RBAC Azure pour gérer ses ressources. Le contrôle RBAC vous permet de gérer l’accès aux ressources Azure par l’intermédiaire d’attributions de rôle. Vous pouvez attribuer des rôles aux utilisateurs, groupes, principaux de service et identités managées. Certaines ressources ont des rôles prédéfinis et intégrés. Vous pouvez inventorier ou demander ces rôles à l’aide d’outils, tels qu’Azure CLI, Azure PowerShell ou le portail Azure.

Limitez aux rôles requis les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC. Cette pratique complète l’approche JAT d’Azure AD PIM. Passez régulièrement en revue les rôles et les attributions.

Utilisez les rôles intégrés pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseil : Limitez l’accès aux données sensibles à l’aide du RBAC Azure, des contrôles d’accès réseau et de contrôles comme le chiffrement dans des services Azure spécifiques.

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès à la stratégie de segmentation de votre entreprise. Orientez cette stratégie en fonction de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

En ce qui concerne la plateforme sous-jacente (gérée par Microsoft), Microsoft traite tout le contenu client comme sensible. Il le protège contre la perte et l’exposition des données client. Pour assurer la sécurité des données client dans Azure, Microsoft a implémenté plusieurs contrôles et capacités de protection des données par défaut.

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseils : Pour compléter les contrôles d’accès, protégez les données en transit contre les attaques hors bande, telles que la capture du trafic. Utilisez le chiffrement pour vous assurer que les attaquants ne peuvent pas facilement lire ou modifier les données.

Automation prend en charge le chiffrement des données en transit avec le protocole TLS v1.2 ou une version ultérieure.

Ce chiffrement est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, assurez-vous que les clients qui se connectent à vos ressources Azure peuvent utiliser TLS v1.2 ou une version ultérieure.

Pour la gestion à distance, utilisez le protocole SSH (Secure Shell) pour Linux ou le protocole RDP (Remote Desktop Protocol) et TLS pour Windows. N’utilisez pas de protocole non chiffré. Désactivez les chiffrements faibles et les versions et protocoles SSL, TLS et SSH obsolètes.

Azure chiffre par défaut les données en transit entre les centres de données Azure.

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Conseil : Pour compléter les contrôles d’accès, Automation chiffre les données au repos afin de les protéger contre les attaques hors bande qui accèdent au stockage sous-jacent. Cela vise à empêcher les attaquants de lire ou modifier facilement les données.

Par défaut, Azure assure un chiffrement des données au repos. Pour les données très sensibles, vous pouvez implémenter davantage de chiffrement au repos sur les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut et fournit des options pour gérer vos propres clés. Les clés gérées par le client répondent aux exigences réglementaires de certains services Azure.

Responsabilité : Microsoft

Surveillance de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut pour Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées à Azure Policy - Microsoft.Automation :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseil : Veillez à ce que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir monitorer les risques de sécurité avec Microsoft Defender pour le cloud.

Selon la structuration des responsabilités de l’équipe de sécurité, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Regroupez toujours les insights et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez globalement appliquer des autorisations de lecteur de sécurité à un groupe d’administration racine de locataire entier, ou étendre des autorisations à des groupes d’administration ou des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent se révéler nécessaires pour avoir de la visibilité sur les charges de travail et les services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseil : Veillez à ce que les équipes de sécurité aient accès à un inventaire continuellement mis à jour des ressources sur Azure, comme Automation. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation aux risques émergents et comme source d’informations pour l’amélioration continue de la sécurité. Créez un groupe Azure AD pour qu’il contienne les membres de l’équipe de sécurité autorisée de votre organisation. Attribuez à ce groupe un accès en lecture à toutes les ressources Automation. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur dans votre abonnement.

Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque étiquette se compose d’une paire de nom et de valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Utilisez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Le nom, la version, l’éditeur et l’heure d’actualisation du logiciel sont disponibles sur le portail Azure. Pour accéder aux dates d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité et importez les journaux des événements Windows dans un espace de travail Log Analytics.

Automation ne permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez le service Azure Resource Graph pour interroger et découvrir les ressources dans les abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles qui déclenchent des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure AD fournit les journaux utilisateur suivants. Vous pouvez consulter les journaux dans les rapports Azure AD. Vous pouvez intégrer Azure Monitor, Microsoft Sentinel ou d’autres outils SIEM et de monitoring pour des cas d’usage sophistiqués en matière de surveillance et d’analyse.

  • Connexions : fournissent des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit : fournissent la traçabilité par le biais de journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Les journaux d’audit incluent les modifications apportées à n’importe quelle ressource dans Azure AD. Les modifications incluent l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies.

  • Connexions risquées : indicateur pour les tentatives de connexion effectuées par une personne qui n’est peut-être pas le propriétaire légitime d’un compte d’utilisateur.

  • Utilisateur signalé comme présentant un risque : indique qu’un compte d’utilisateur est susceptible d’avoir été compromis.

Microsoft Defender pour le cloud peut également déclencher des alertes à propos d’activités suspectes comme un nombre excessif d’échecs d’authentification ou à propos de comptes dépréciés.

Outre la surveillance de base de l’hygiène de la sécurité, le module de protection contre les menaces de Microsoft Defender pour le cloud peut collecter des alertes de sécurité plus approfondies à partir :

  • Des ressources de calcul Azure individuelles (machines virtuelles, conteneurs et service d’applications)

  • Ressources de données (Azure SQL Database et Stockage Azure)

  • Couches de service Azure

Cette capacité vous donne de la visibilité sur les anomalies de compte dans les ressources individuelles.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseil : Vous pouvez utiliser Azure Private Link pour connecter en toute sécurité des réseaux virtuels à Automation. Vous pouvez utiliser Private Link avec :

  • webhooks

  • Nœuds DSC

  • Exécution d’un runbook sur un Worker hybride connecté à Réseau virtuel Azure

  • Mise à jour des nœuds de gestion

Ce contrôle ne s’applique pas si vous utilisez le service prêt à l’emploi sans Runbook Worker hybride.

Si vous utilisez des Runbooks Workers hybrides avec des machines virtuelles Azure :

  • Activez le sous-réseau contenant les Workers avec un groupe de sécurité réseau (NSG).

  • Configurez les journaux de flux pour transférer les journaux à un compte de stockage pour l’audit du trafic.

Vous pouvez aussi transférer les journaux de flux NSG dans un espace de travail Log Analytics et utiliser Traffic Analytics pour obtenir des informations sur votre flux de trafic Azure.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseil : Les journaux d’activité d’Automation sont disponibles automatiquement. Les journaux contiennent toutes les opérations PUT, POST et DELETE pour vos ressources Automation, mais ne contiennent aucune opération GET. Vous pouvez utiliser les journaux d’activité pour rechercher des erreurs lors de la résolution des problèmes ou pour surveiller la manière dont les utilisateurs ont modifié les ressources.

Activez les journaux de ressources Azure pour Automation. Vous pouvez utiliser Microsoft Defender pour le Cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être essentiels pour examiner les incidents de sécurité et faire des exercices d’investigation.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseil : Vous pouvez transférer des données de travail Automation à un espace de travail Log Analytics. Vous pouvez modifier la conservation des données dans l’espace de travail Log Analytics selon les règles de conformité de votre organisation.

Utilisez les comptes de stockage Azure pour le stockage à long terme ou l’archivage.

Responsabilité : Customer

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseil : Vous pouvez utiliser Azure Blueprints pour automatiser le déploiement et la configuration des services et des environnements d’application. Une seule définition de blueprint peut inclure des modèles Azure Resource Manager, des contrôles RBAC et des stratégies.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Aide : Utilisez Microsoft Defender pour le cloud pour surveiller votre base de référence de configuration. À l’aide des définitions de stratégie Deny et DeployIfNotExists d’Azure Policy, appliquez une configuration sécurisée à toutes les ressources de calcul Azure, notamment les machines virtuelles et les conteneurs.

Responsabilité : Customer

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseils : Utilisez Microsoft Defender pour le cloud et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles et les conteneurs.

Responsabilité : Customer

PV-6 : Effectuer des évaluations des vulnérabilités logicielles

Aide : Non applicable. Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Automation.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseil : Vous pouvez déployer Automation sur des machines virtuelles ou par le biais de registres de conteneurs. Déployez rapidement des mises à jour de logiciel pour corriger les vulnérabilités logicielles dans les systèmes d’exploitation et les applications.

Utilisez Azure Automation Update Management ou une solution tierce pour vous assurer d’installer les correctifs de sécurité les plus récents sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, assurez-vous d’activer Windows Update et de le configurer pour qu’il se mette à jour automatiquement.

Hiérarchisez les risques à l’aide d’un programme d’évaluation des risques tel que le système Common Vulnerability Scoring System ou à l’aide des évaluations des risques de votre outil d’analyse tiers. Utilisez ce contexte pour adapter votre environnement aux applications qui présentent un risque de sécurité élevé et à celles qui nécessitent une durée de bon fonctionnement élevée.

Pour les logiciels tiers, utilisez une solution tierce de gestion des correctifs ou un éditeur de mise à jour System Center pour Configuration Manager. Automation n’utilise ni ne nécessite aucun logiciel tiers.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Procédez, en fonction de vos besoins, à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure et corrigez tous les problèmes de sécurité critiques détectés.

Suivez les règles du test d’intrusion d’engagement de Microsoft Cloud pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution Red Teaming de Microsoft. Effectuez des tests d’intrusion de sites en temps réel sur l’infrastructure, les services et les applications cloud gérées par Microsoft.

Responsabilité : Customer

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : veiller à exécuter régulièrement des sauvegardes automatisées

Conseil : Azure Automation ne fournit pas de mécanisme de sauvegarde natif. Il vous incombe de veiller à conserver une sauvegarde valide de la configuration d’Automation, comme les runbooks et les ressources.

Vous pouvez utiliser Azure Resource Manager pour déployer des comptes Automation et les ressources associées. Vous pouvez exporter des modèles Azure Resource Manager pour les utiliser comme sauvegardes afin de restaurer les comptes Automation et les ressources associées. Utilisez Automation pour appeler régulièrement l’API d’exportation de modèles Azure Resource Manager.

Vous pouvez également utiliser la fonctionnalité d’intégration du contrôle de code source pour tenir les runbooks du compte Automation à jour avec les scripts du référentiel de contrôle de code source.

Responsabilité : Customer

BR-3 : valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Vérifiez régulièrement que vous pouvez restaurer les clés gérées par le client qui sont sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Assurez-vous d’avoir mis en place les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Customer

Étapes suivantes