Base de référence de sécurité Azure pour Azure Cache pour Redis

Cette base de référence de sécurité applique les conseils du benchmark de sécurité Azure version 1.0 à Azure Cache pour Redis. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Azure Cache pour Redis.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Cache pour Redis, ou pour lesquels la responsabilité est celle de Microsoft, ont été exclus. Pour voir comment Azure Cache pour Redis est entièrement mappé à Azure Security Benchmark, consultez le fichier de mappage complet de la base de référence de sécurité Azure Cache pour Redis.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.1 : Protéger les ressources Azure au sein des réseaux virtuels

Aide : Déployez votre instance Azure Cache pour Redis au sein d’un réseau virtuel (VNet). Un réseau VNet est un réseau privé dans le cloud. Lorsqu’une instance de Cache Azure pour Redis est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications sur le réseau virtuel.

Vous pouvez également spécifier des règles de pare-feu avec une des valeurs de début et de fin de plage d’adresses IP. Lorsque des règles de pare-feu sont configurées, seules les connexions client à partir des plages d’adresses IP spécifiées peuvent se connecter au cache.

Responsabilité : Customer

1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des interfaces réseau

Aide : Lorsque des machines virtuelles sont déployées dans le même réseau virtuel que votre instance Azure Cache pour Redis, vous pouvez utiliser des groupes de sécurité réseau (NSG) pour réduire le risque d’exfiltration de données. Activez les journaux de flux NSG et transférez-les vers un compte de stockage Azure pour l'audit du trafic. Vous pouvez aussi envoyer ces journaux vers un espace de travail Log Analytics et utiliser Traffic Analytics pour fournir des insights sur le flux de trafic dans votre cloud Azure. Parmi les avantages de Traffic Analytics figure la possibilité de visualiser l’activité réseau et d’identifier les zones réactives, d’identifier les menaces de sécurité, de comprendre les modèles de flux de trafic et de repérer les mauvaises configurations du réseau.

Responsabilité : Customer

1.3 : Protéger les applications web critiques

Conseils : Non applicable. Cette recommandation a trait aux applications web s’exécutant sur Azure App Service ou des ressources de calcul.

Responsabilité : Customer

1.4 : Refuser les communications avec des adresses IP connues comme étant malveillantes

Conseils : Le déploiement du Réseau virtuel Azure (VNet) fournit une sécurité et une isolation améliorées pour le cache Azure pour Redis, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités permettant de restreindre davantage l’accès. Lors du déploiement dans un réseau virtuel, Azure Cache pour Redis n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications au sein du réseau virtuel.

Activez le service Protection DDoS Standard sur les réseaux virtuels associés à vos instances Azure Cache pour Redis à des fins de protection contre les attaques par déni de service distribué (DDoS). Utilisez le renseignement sur les menaces intégré à Microsoft Defender pour le cloud afin de refuser les communications avec des adresses IP Internet connues comme étant malveillantes ou inutilisées.

Responsabilité : Customer

1.5 : Enregistrer les paquets réseau

Conseils : Lorsque des machines virtuelles sont déployées dans le même réseau virtuel que votre instance Azure Cache pour Redis, vous pouvez utiliser des groupes de sécurité réseau (NSG) pour réduire le risque d’exfiltration de données. Activez les journaux de flux NSG et transférez-les vers un compte de stockage Azure pour l'audit du trafic. Vous pouvez aussi envoyer ces journaux vers un espace de travail Log Analytics et utiliser Traffic Analytics pour fournir des insights sur le flux de trafic dans votre cloud Azure. Parmi les avantages de Traffic Analytics figure la possibilité de visualiser l’activité réseau et d’identifier les zones réactives, d’identifier les menaces de sécurité, de comprendre les modèles de flux de trafic et de repérer les mauvaises configurations du réseau.

Responsabilité : Customer

1.6 : Déployer des systèmes de détection et de prévention des intrusions (IDS/IPS) basés sur le réseau

Aide : Lorsque vous utilisez Azure Cache pour Redis avec vos applications Web s’exécutant sur des instances Azure App Service ou de calcul, déployez toutes les ressources au sein d’un réseau virtuel Azure (VNet) et sécurisez-les avec un pare-feu d’applications web (WAF) Azure sur Web Application Gateway. Configurez WAF pour une exécution en « mode de prévention ». Le mode de prévention bloque les intrusions et les attaques détectées par les règles. L’attaquant reçoit une exception « 403 Accès non autorisé » et la connexion est fermée. Le mode de prévention enregistre de telles attaques dans les journaux WAF.

Vous pouvez également sélectionner une offre de la place de marché Azure qui prend en charge les fonctionnalités IDS/IPS avec des fonctionnalités d’inspection de charge utile et/ou de détection d'anomalie.

Responsabilité : Customer

1.7 : Gérer le trafic à destination des applications web

Conseils : Non applicable. Cette recommandation a trait aux applications web s’exécutant sur Azure App Service ou des ressources de calcul.

Responsabilité : Customer

1.8 : Réduire la complexité et les frais administratifs liés aux règles de sécurité réseau

Aide : Utilisez des balises de service de réseau virtuel pour définir des contrôles d’accès réseau sur les groupes de sécurité réseau (NSG) ou le pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de la balise de service (par exemple, ApiManagement) dans le champ Source ou Destination approprié d'une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Vous pouvez également utiliser des groupes de sécurité d’application (ASG) pour simplifier la configuration de la sécurité complexe. Les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l’application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes.

Responsabilité : Customer

1.9 : Gérer les configurations de sécurité standard pour les périphériques réseau

Aide : Définissez et implémentez des configurations de sécurité standard pour les ressources réseau associées à vos instances Azure Cache pour Redis avec Azure Policy. Utilisez des alias Azure Policy dans les espaces de noms « Microsoft.Cache » et « Microsoft. Network » afin de créer des stratégies personnalisées pour auditer ou appliquer la configuration réseau de vos instances Azure Cache pour Redis. Vous pouvez également utiliser des définitions de stratégie intégrée, par exemple :

  • Seules les connexions sécurisées à votre cache Redis doivent être activées

  • DDoS Protection Standard doit être activé

Vous pouvez aussi utiliser Azure Blueprints pour simplifier les déploiements Azure à grande échelle en regroupant les artefacts d’environnement clés, comme les modèles Azure Resource Manager (ARM), le contrôle d’accès en fonction du rôle Azure (Azure RBAC) et les stratégies dans une même définition de blueprint. Appliquez facilement le blueprint aux nouveaux abonnements et environnements, et ajustez le contrôle et la gestion par le biais du versioning.

Responsabilité : Customer

1.10 : Règles de configuration du trafic de documents

Aide : Utilisez des balises pour les ressources réseau associées à votre déploiement Azure Cache pour Redis afin de les organiser logiquement dans une taxonomie.

Responsabilité : Customer

1.11 : Utiliser des outils automatisés pour superviser les configurations des ressources réseau et détecter les modifications

Conseils : Utilisez le journal d’activité Azure pour surveiller les configurations des ressources réseau et détecter les modifications de celles-ci associées à vos instances Azure Cache pour Redis. Créez des alertes dans Azure Monitor, qui se déclenchent lors de la modification de ressources réseau critiques.

Responsabilité : Customer

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.2 : Configurer la gestion des journaux de sécurité centrale

Aide : activez les paramètres de diagnostic des journaux d’activité Azure et envoyez les journaux vers un espace de travail Log Analytics, Event Hub ou un compte de stockage Azure pour archivage. Les journaux d’activité fournissent des insights sur les opérations qui ont été effectuées sur vos instances Azure Cache pour Redis au niveau du plan de contrôle. À l’aide des données des journaux d’activité Azure, vous pouvez déterminer les éléments « qui, quand et quoi » pour toutes les opérations d’écriture (PUT, POST, DELETE) effectuées au niveau du plan de contrôle pour vos instances Azure Cache pour Redis.

Responsabilité : Customer

2.3 : Activer la journalisation d’audit pour les ressources Azure

Aide : activez les paramètres de diagnostic des journaux d’activité Azure et envoyez les journaux vers un espace de travail Log Analytics, Event Hub ou un compte de stockage Azure pour archivage. Les journaux d’activité fournissent des insights sur les opérations qui ont été effectuées sur vos instances Azure Cache pour Redis au niveau du plan de contrôle. À l’aide des données des journaux d’activité Azure, vous pouvez déterminer les éléments « qui, quand et quoi » pour toutes les opérations d’écriture (PUT, POST, DELETE) effectuées au niveau du plan de contrôle pour vos instances Azure Cache pour Redis.

Alors que les indicateurs de performance sont disponibles en activant les paramètres de diagnostic, la journalisation d’audit au niveau du plan de données n’est pas encore disponible pour Azure Cache Redis.

Responsabilité : Customer

2.5 : Configurer la conservation du stockage des journaux de sécurité

Conseils : Dans Azure Monitor, définissez la période de rétention des journaux pour les espaces de travail Log Analytics associés à vos instances Azure Cache pour Redis conformément aux réglementations de conformité de votre organisation.

Notez que la journalisation d’audit au niveau du plan de données n’est pas encore disponible pour Azure Cache pour Redis.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Aide : Activez les paramètres de diagnostic des journaux d’activité Azure et envoyez les journaux à un espace de travail Log Analytics. Exécutez des requêtes dans Log Analytics pour rechercher des termes, identifier des tendances, analyser des modèles et fournir de nombreuses autres informations basées sur les données du journal d’activité qui ont pu être collectées pour Azure Cache Redis.

Notez que la journalisation d’audit au niveau du plan de données n’est pas encore disponible pour Azure Cache pour Redis.

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Aide : Vous pouvez effectuer la configuration de manière à recevoir des alertes basées sur les indicateurs de performance et les journaux d’activité liés à vos instances Azure Cache pour Redis. Azure Monitor vous permet de configurer une alerte pour envoyer une notification par courrier électronique, appeler un webhook ou appeler une application logique Azure.

Alors que les indicateurs de performance sont disponibles en activant les paramètres de diagnostic, la journalisation d’audit au niveau du plan de données n’est pas encore disponible pour Azure Cache Redis.

Responsabilité : Customer

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Aide : Azure Active Directory (Azure AD) comporte des rôles intégrés qui doivent être explicitement attribués et qui peuvent être interrogés. Utilisez le module Azure AD PowerShell pour effectuer des requêtes ad hoc afin de découvrir les comptes membres de groupes d’administration.

Responsabilité : Customer

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Conseils : L’accès au plan de contrôle par Azure Cache pour Redis est contrôlé via Azure Active Directory (Azure AD). Azure AD n’intègre pas le concept des mots de passe par défaut.

L’accès du plan de données à Azure Cache pour Redis est contrôlé par le biais de clés d’accès. Ces clés sont utilisées par les clients qui se connectent à votre cache et peuvent être regénérées à tout moment.

Il n’est pas recommandé de créer des mots de passe par défaut dans votre application. À la place, vous pouvez stocker vos mots de passe dans Azure Key Vault, puis utiliser Azure AD pour les récupérer.

Responsabilité : Partagé

3.3 : Utiliser des comptes d’administration dédiés

Conseils : Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés. Utilisez la gestion des identités et des accès de Microsoft Defender pour le cloud pour superviser le nombre de comptes d’administration.

En outre, pour vous aider à suivre les comptes d’administration dédiés, vous pouvez utiliser des recommandations de Microsoft Defender pour le cloud ou des stratégies Azure intégrées, comme :

  • Plusieurs propriétaires doivent être affectés à votre abonnement

  • Les comptes dépréciés disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement

  • Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

3.4 : Utiliser l’authentification unique (SSO) Azure Active Directory

Aide : Azure Cache pour Redis utilise des clés d’accès pour authentifier les utilisateurs et ne prend pas en charge l’authentification unique (SSO) au niveau du plan de données. L’accès au plan de contrôle pour Azure Cache Redis est disponible via l’API REST et prend en charge l’authentification unique. Pour vous authentifier, définissez l’en-tête d’autorisation pour vos demandes sur un jeton web JSON que vous obtenez auprès d’Azure Active Directory (Azure AD).

Responsabilité : Customer

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Conseils : Activez l’authentification multifacteur Azure Active Directory (Azure AD) et suivez les recommandations relatives à la gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.6 : Utiliser des ordinateurs dédiés (stations de travail avec accès privilégié) pour toutes les tâches administratives

Aide : utilisez des stations de travail à accès privilégié (PAW) avec l’authentification multifacteur configurée pour vous connecter à des ressources Azure et les configurer.

Responsabilité : Customer

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Aide : Utilisez Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pour générer des journaux et des alertes quand des activités suspectes ou potentiellement dangereuses se produisent dans l’environnement.

Utilisez également les détections de risque Azure AD pour visualiser les alertes et des rapports sur les comportements à risque des utilisateurs.

Responsabilité : Customer

3.8 : Gérer les ressources Azure à partir des emplacements approuvés uniquement

Conseils : Configurez des emplacements nommés dans l’accès conditionnel Azure Active Directory (Azure AD) pour autoriser l’accès uniquement à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

Responsabilité : Customer

3.9 : Utiliser Azure Active Directory

Aide : Utiliser Azure Active Directory (Azure AD) comme système d’authentification et d’autorisation central. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur.

L’authentification Azure AD ne peut pas être utilisée pour un accès direct au plan de données Azure Cache pour Redis. Les informations d’identification Azure AD peuvent cependant être utilisées pour l’administration au niveau du plan de contrôle (c’est-à-dire le portail Azure) pour contrôler les clés d’accès Azure Cache pour Redis.

Responsabilité : Customer

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Aide : Azure Active Directory (Azure AD) fournit des journaux pour vous aider à découvrir les comptes obsolètes. De plus, utilisez les révisions d’accès des identités Azure pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seules les utilisateurs appropriés continuent de bénéficier d’un accès.

Responsabilité : Customer

3.11 : Superviser les tentatives d’accès à des informations d’identification désactivées

Aide : vous avez accès aux sources des journaux d’activité de connexion, d’événements à risque et d’audit d’Azure Active Directory (Azure AD), qui vous permettent de procéder à une intégration à Microsoft Sentinel ou à un outil SIEM de tiers.

Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure AD et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Vous pouvez configurer les alertes de journal souhaitées dans un espace de travail Log Analytics.

Responsabilité : Customer

3.12 : Alerter en cas d’écart de comportement de connexion à un compte

Conseils : Pour un écart de comportement de connexion de compte sur le plan de contrôle, utilisez Azure Active Directory (Azure AD) Identity Protection et les fonctionnalités de détections des risques pour configurer des réponses automatisées aux actions suspectes détectées liées à des identités utilisateur. Vous pouvez également ingérer des données dans Microsoft Sentinel pour approfondir vos recherches.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

4.1 : Conserver un inventaire des informations sensibles

Conseils : Utilisez des étiquettes pour faciliter le suivi des ressources Azure qui stockent ou traitent des informations sensibles.

Responsabilité : Customer

4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles

Conseils : Implémentez des abonnements et/ou des groupes d’administration distincts pour le développement, les tests et la production. Les instances Azure Cache pour Redis doivent être séparées par un réseau virtuel/sous-réseau et balisées de manière appropriée. Si vous le souhaitez, utilisez Azure Cache Redis pour définir des règles, de manière à ce que seules les connexions client à partir des plages d’adresses IP spécifiées puissent se connecter au cache.

Responsabilité : Customer

4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles

Conseils : Pas encore disponible. Les fonctionnalités d’identification des données, de classification des données et de protection contre la perte de données ne sont pas encore disponibles pour Azure Cache Redis.

Microsoft gère l’infrastructure sous-jacente d’Azure Cache pour Redis et a implémenté des contrôles stricts pour empêcher la perte ou l’exposition de données client.

Responsabilité : Partagé

4.4 : Chiffrer toutes les informations sensibles en transit

Aide : Azure Cache pour Redis nécessite des communications chiffrées avec le protocole TLS par défaut. Les versions 1.0, 1.1 et 1.2 de TLS sont actuellement prises en charge. Toutefois, TLS 1.0 et 1.1 étant en passe de dépréciation dans l’ensemble du secteur, utilisez TLS 1.2 dans la mesure du possible. Si votre outil ou bibliothèque de client ne prend pas en charge TLS, vous pouvez activer des connexions non chiffrées par le biais du portail Azure ou des API de gestion. Dans les cas où il est impossible d’établir des connexions chiffrées, nous vous recommandons de placer votre cache et votre application cliente dans un réseau virtuel.

Responsabilité : Partagé

Supervision Microsoft Defender pour le cloud : le Benchmark de sécurité Azure est l’initiative de stratégie par défaut pour Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Cache :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0

4.5 : Utiliser un outil de découverte actif pour identifier les données sensibles

Aide : Les fonctionnalités d’identification des données, de classification des données et de protection contre la perte de données ne sont pas encore disponibles pour Azure Cache Redis. Baliser des instances contenant des informations sensibles en tant que telles, et implémenter une solution tierce à des fins de conformité si nécessaire.

Pour la plateforme sous-jacente qui est gérée par Microsoft, Microsoft traite tout le contenu client comme sensible et déploie d'importants efforts pour vous protéger contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Customer

4.6 : Utiliser le contrôle d’accès en fonction du rôle pour contrôler l’accès aux ressources

Aide : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour contrôler l’accès au plan de contrôle Azure Cache pour Redis (c.-à-d., le portail Azure).

Responsabilité : Customer

4.8 : Chiffrer des informations sensibles au repos

Aide : Azure Cache pour Redis stocke les données client en mémoire et, malgré une protection efficace grâce à de nombreux contrôles implémentés par Microsoft, la mémoire n’est pas chiffrée par défaut. Si cela est requis par votre organisation, chiffrez le contenu avant de le stocker dans Azure Cache pour Redis.

Si vous utilisez la fonctionnalité Azure Cache pour Redis « Persistance des données Redis », les données sont envoyées à un compte de stockage Azure que vous possédez et gérez. Vous pouvez configurer la persistance à partir du panneau « Nouvelle instance Azure Cache pour Redis » lors de la création du cache et dans le menu Ressources pour les caches Premium existants.

Les données dans Stockage Azure sont chiffrées et déchiffrées en toute transparence à l’aide du chiffrement AES 256 bits, un des chiffrements par blocs les plus puissants actuellement disponibles, et sont conformes à la norme FIPS 140-2. Le chiffrement de Stockage Azure ne peut pas être désactivé. Vous pouvez vous reposer sur les clés managées par Microsoft pour le chiffrement de votre compte de stockage, ou vous pouvez gérer le chiffrement avec vos propres clés.

Responsabilité : Partagé

4.9 : Consigner et alerter les modifications apportées aux ressources Azure critiques

Aide : Utilisez Azure Monitor avec le journal d’activité Azure pour créer des alertes en cas de modifications d’instances de production Azure Cache pour Redis et d’autres ressources critiques ou associées.

Responsabilité : Customer

Gestion des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des vulnérabilités.

5.1 : Exécuter les outils d’analyse des vulnérabilités automatisés

Conseil : Suivez les recommandations de Microsoft Defender pour le cloud concernant la sécurisation de vos instances Azure Cache pour Redis et des ressources associées.

Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Azure Cache pour Redis.

Responsabilité : Partagé

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Aide : Utilisez Azure Resource Graph pour interroger/découvrir toutes les ressources (telles que calcul, stockage, réseau, ports et protocoles) dans vos abonnements. Vérifiez les autorisations (lecture) appropriées dans votre locataire et répertoriez tous les abonnements Azure, ainsi que les ressources dans vos abonnements.

Bien que les ressources Azure classiques puissent être découvertes via Resource Graph, il est vivement recommandé de créer et d’utiliser des ressources Azure Resource Manager à l’avenir.

Responsabilité : Customer

6.2 : Gérer les métadonnées de ressources

Conseils : Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Aide : Utilisez des étiquettes, des groupes d’administration, voire des abonnements séparés, pour organiser et suivre les instances Azure Cache pour Redis et les ressources associées. Rapprochez régulièrement l’inventaire et assurez-vous que les ressources non autorisées sont supprimées de l’abonnement en temps utile.

En outre, utilisez Azure Policy pour appliquer des restrictions quant au type de ressources pouvant être créées dans les abonnements clients à l’aide des définitions de stratégie intégrées suivantes :

  • Types de ressources non autorisés

  • Types de ressources autorisés

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Conseils : Utilisez Azure Policy pour appliquer des restrictions quant au type de ressources pouvant être créées dans les abonnements clients selon les définitions de stratégies intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Utilisez en plus Azure Resource Graph pour interroger et découvrir des ressources au sein des abonnements.

Responsabilité : Customer

6.9 : Utiliser des services Azure approuvés uniquement

Conseils : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant Azure Policy avec les définitions intégrées suivantes :

  • Types de ressources non autorisés

  • Types de ressources autorisés

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

6.11 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Conseils : Configurez l’accès conditionnel Azure pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager (ARM) en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Aide : Définir et implémenter des configurations de sécurité standard pour vos instances Azure Cache Redis avec Azure Policy. Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Cache » pour créer des stratégies personnalisées d’audit ou d’application de la configuration de vos instances Azure Cache pour Redis. Vous pouvez aussi utiliser des définitions de stratégie intégrées relatives à vos instances Azure Cache pour Redis comme :

  • Seules les connexions sécurisées à votre cache Redis doivent être activées

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

7.3 : Gérer les configurations de ressources Azure sécurisées

Aide : Utilisez les stratégies Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer des paramètres sécurisés à vos ressources Azure.

Responsabilité : Customer

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Aide : Si vous utilisez des définitions d’Azure Policy personnalisées pour vos instances Azure Resource Manager pour Azure Cache Redis et des ressources associées, utilisez des Azure Repos pour stocker et gérer votre code de façon sécurisée.

Responsabilité : Customer

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Aide : Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Cache » pour créer des stratégies personnalisées d’alerte, d’audit ou d’application de configurations système. En outre, développez un processus et un pipeline pour la gestion des exceptions de stratégie.

Responsabilité : Customer

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Aide : Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Cache » pour créer des stratégies personnalisées d’alerte, d’audit ou d’application de configurations système. Utilisez les stratégies Azure Policy [auditer], [refuser] et [déployer s’il n’existe pas] pour appliquer automatiquement des configurations pour vos instances Azure Cache pour Redis et les ressources associées.

Responsabilité : Customer

7.11 : Gérer les secrets Azure en toute sécurité

Aide : Pour les machines virtuelles Azure ou les applications web s’exécutant sur Azure App Service utilisées pour accéder à vos instances Azure Cache pour Redis, utilisez Managed Service Identity conjointement avec Azure Key Vault pour simplifier et sécuriser la gestion des secrets Azure Cache pour Redis. Vérifiez que la suppression réversible est activée dans Key Vault.

Responsabilité : Customer

7.12 : Gérer les identités de façon sécurisée et automatique

Conseils : Pour les machines virtuelles Azure ou les applications web s’exécutant sur Azure App Service utilisées pour accéder à vos instances Azure Cache pour Redis, utilisez Managed Service Identity conjointement avec Azure Key Vault pour simplifier et sécuriser la gestion des secrets Azure Cache pour Redis. Vérifiez que la suppression réversible est activée dans Key Vault.

Utilisez des identités managées pour fournir aux services Azure une identité gérée automatiquement dans Azure Active Directory (Azure AD). Les identités managées vous permettent de vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, y compris Azure Key Vault, sans informations d’identification dans votre code.

Responsabilité : Customer

7.13 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Exécuter le moteur d’analyse des informations d’identification pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Responsabilité : Customer

Défense contre les programmes malveillants

Pour plus d’informations, consultez Benchmark de sécurité Azure : Défense contre les programmes malveillants.

8.2 : Pré-analyser les fichiers à charger sur des ressources Azure non liées au calcul

Aide : Microsoft Antimalware est activé sur l’hôte sous-jacent qui prend en charge les services Azure (par exemple, Azure Cache pour Redis), mais il ne s’exécute pas sur du contenu client.

Pré-analysez tout contenu chargé sur des ressources Azure non liées au calcul, comme App Service, Data Lake Storage, Stockage Blob, Azure Database pour PostgreSQL, etc. Microsoft ne peut pas accéder à vos données dans ces instances.

Responsabilité : Customer

Récupération des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : récupération de données.

9.1 : Garantir des sauvegardes automatiques régulières

Aide : Activation de la persistance Redis. La persistance Redis vous permet de conserver les données stockées dans Redis. Vous pouvez également prendre des instantanés et sauvegarder les données que vous pouvez charger en cas de défaillance matérielle. Il s’agit d’un avantage substantiel par rapport au niveau De base ou Standard, où toutes les données sont stockées en mémoire et il existe un risque de perte de données en cas de défaillance des nœuds de cache.

Vous pouvez également utiliser l’exportation Azure Cache pour Redis. L’exportation vous permet d’exporter les données stockées dans le Cache Azure pour Redis vers un ou plusieurs fichiers RDB compatibles. Vous pouvez utiliser cette fonctionnalité pour déplacer des données d’une instance de Cache Azure pour Redis à une autre, ou vers un autre serveur Redis. Pendant le processus d’exportation, un fichier temporaire est créé sur la machine virtuelle qui héberge l’instance de serveur Azure Cache pour Redis, puis téléchargé vers le compte de stockage désigné. Lorsque l’opération d’exportation se termine avec un état de réussite ou d’échec, le fichier temporaire est supprimé.

Responsabilité : Customer

9.2 : Effectuer des sauvegardes complètes du système et sauvegarder les clés managées par le client

Aide : Activation de la persistance Redis. La persistance Redis vous permet de conserver les données stockées dans Redis. Vous pouvez également prendre des instantanés et sauvegarder les données que vous pouvez charger en cas de défaillance matérielle. Il s’agit d’un avantage substantiel par rapport au niveau De base ou Standard, où toutes les données sont stockées en mémoire et il existe un risque de perte de données en cas de défaillance des nœuds de cache.

Vous pouvez également utiliser l’exportation Azure Cache pour Redis. L’exportation vous permet d’exporter les données stockées dans le Cache Azure pour Redis vers un ou plusieurs fichiers RDB compatibles. Vous pouvez utiliser cette fonctionnalité pour déplacer des données d’une instance de Cache Azure pour Redis à une autre, ou vers un autre serveur Redis. Pendant le processus d’exportation, un fichier temporaire est créé sur la machine virtuelle qui héberge l’instance de serveur Azure Cache pour Redis, puis téléchargé vers le compte de stockage désigné. Lorsque l’opération d’exportation se termine avec un état de réussite ou d’échec, le fichier temporaire est supprimé.

Si vous utilisez Azure Key Vault pour stocker les informations d’identification de vos instances Azure Cache pour Redis, veillez à faire des sauvegardes automatisées régulières de vos clés.

Responsabilité : Customer

9.3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Aide : Utiliser l’importation Azure Cache pour Redis. L’importation peut servir à récupérer les fichiers RDB compatibles Redis depuis un serveur Redis en cours d’exécution dans un environnement ou dans un cloud, y compris si Redis est exécuté sur Linux, Windows ou n’importe quel fournisseur de cloud tel qu’Amazon Web Services. Importer des données est un moyen simple de créer un cache pré-rempli de données. Pendant le processus d’importation, le Cache Azure pour Redis charge les fichiers RDB du stockage Azure dans la mémoire, puis insère les clés dans le cache.

Testez régulièrement la restauration des données de vos secrets Azure Key Vault.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Conseils : Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Aide : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

En outre, marquez clairement les abonnements (par exemple production, hors production) et créez un système de nommage pour identifier et catégoriser les ressources Azure de façon claire.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Exécutez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes de façon régulière. Identifiez les points faibles et les lacunes, et révisez le plan en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Conseils : Les informations de contact d’incident de sécurité seront utilisées par Microsoft pour vous contacter si Microsoft Security Response Center (MSRC) découvre que les données du client ont été utilisées par un tiers illégal ou non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Conseils : Exportez les alertes et les recommandations de Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation continue. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Conseils : Utilisez la fonctionnalité d’automatisation des workflows dans Microsoft Defender pour le cloud pour déclencher automatiquement des réponses via « Logic Apps » sur les alertes et recommandations de sécurité.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes