Base de référence de sécurité Azure pour Azure Backup

Cette base de référence de sécurité applique les instructions de la version 2.0 du Benchmark de sécurité Azure à la Sauvegarde Azure. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Azure et les instructions associées applicables à Azure Backup.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à la Sauvegarde Azure et ceux pour lesquels l’aide globale est recommandée textuellement ont été exclus. Pour voir la correspondance complète entre la Sauvegarde Azure et le Benchmark de sécurité Azure, consultez le fichier complet de mise en correspondance de la base de référence de sécurité de la Sauvegarde Azure.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Aide : La Sauvegarde Azure ne prend pas en charge le déploiement direct sur un réseau virtuel. Elle ne peut pas utiliser les fonctionnalités réseau suivantes : groupes de sécurité réseau, tables de route et des appliances dépendantes du réseau (par exemple le Pare-feu Azure).

Utilisez Microsoft Sentinel pour découvrir l’utilisation de protocoles hérités non sécurisés :

  • TLS (Transport Layer Security) v1

  • SMB (Server Message Block) v1

  • LM (LAN Manager) et NTLM (New Technology LAN Manager) v1

  • wDigest

  • Liaisons LDAP (Lightweight Directory Access Protocol) non signées

  • Chiffrements faibles dans Kerberos

Toutes les offres appliquent la version 1.2 du protocole TLS (ou une version plus récente), à l’exception des sauvegardes de l’agent MARS (Microsoft Azure Recovery Services) pour lesquelles la Sauvegarde prend en charge la version 1.1 et les versions plus anciennes du protocole TLS jusqu’au 1er septembre 2021. Après cette date, les sauvegardes de l’agent MARS appliqueront également la version 1.2 et les versions plus récentes.

Lorsque vous sauvegardez des serveurs SQL et des instances SAP HANA sur des machines virtuelles Azure, vous devez autoriser l’accès sortant au port 443 pour pouvoir accéder à certains noms de domaine complets (FQDN, Fully Qualified Domain Name) et utiliser des étiquettes de service.

Vous pouvez utiliser des points de terminaison privés pour vos coffres Recovery Services. Seuls peuvent accéder à un coffre les réseaux qui contiennent des points de terminaison privés correspondants.

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Aide : Pour sauvegarder des serveurs locaux, vous pouvez utiliser ExpressRoute ou un réseau privé virtuel (VPN, Virtual Private Network) vous permettant de vous connecter à Azure.

Utilisez la communauté Sauvegarde Azure si vous avez recours au peering Microsoft pour ExpressRoute. Choisissez le peering privé lorsque vous vous servez de points de terminaison privés pour la Sauvegarde. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Aide : Le coffre est une ressource Azure accessible avec le Portail Azure, Azure CLI, PowerShell, le kit SDK et REST. La Sauvegarde prend également en charge les points de terminaison privés pour les coffres Recovery Services.

Utilisez Azure Private Link pour activer l’accès privé aux coffres Recovery Services à partir de vos réseaux virtuels sans passer par Internet. L’accès privé constitue une autre mesure de défense en profondeur, qui vient s’ajouter à l’authentification et à la sécurité du trafic offertes par les services Azure.

La Sauvegarde ne permet pas de configurer des points de terminaison de service de réseau virtuel.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Aide : Utilisez les étiquettes de service du Réseau virtuel Azure pour définir des contrôles d’accès réseau liés aux ressources Sauvegarde sur les groupes de sécurité réseau (NSG, Network Security Group) ou le Pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. Spécifiez le nom de l’étiquette de service dans le champ source ou de destination de la règle pour autoriser ou refuser le trafic. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service. Celle-ci est automatiquement mise à jour lorsque les adresses changent.

Sur les réseaux hébergeant des services qui communiquent avec la Sauvegarde, autorisez les étiquettes de service « AzureBackup », « AzureStorage » et « AzureActiveDirectory » en sortie sur vos groupes NSG.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Aide : Non applicable. La Sauvegarde n’expose pas ses configurations DNS sous-jacentes. Ces paramètres sont gérés par Microsoft.

Responsabilité : Microsoft

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Aide : La Sauvegarde utilise Azure Active Directory (Azure AD) comme service par défaut de gestion des identités et des accès. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans les ressources suivantes :

  • Ressources Microsoft Cloud. Les ressources incluent :

    • Le portail Azure

    • Stockage Azure

    • Machines virtuelles Azure Linux et Windows

    • Azure Key Vault

    • PaaS (Platform-as-a-service)

    • Applications SaaS (Software as a Service)

  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être prioritaire dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d’identité sécurisée pour vous aider à comparer la posture de sécurité de votre identité aux recommandations de Microsoft. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes. Cette fonctionnalité permet aux utilisateurs qui ne disposent pas d’un compte Microsoft de connecter à leurs applications et ressources.

La Sauvegarde prend en charge le contrôle d’accès en fonction du rôle (RBAC, Role-Based Access Control) Azure pour permettre un accès affiné aux ressources. La Sauvegarde fournit trois rôles intégrés : Contributeur de sauvegarde, Opérateur de sauvegarde et Lecteur de sauvegarde.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Aide : La Sauvegarde prend en charge les identités managées pour ses ressources Azure. Pour accéder à d’autres ressources, servez-vous des identités managées avec la Sauvegarde plutôt que de créer des principaux de service.

La Sauvegarde peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. Elle passe par une règle d’octroi d’accès prédéfinie sans recourir à des informations d’identification codées en dur dans le code source et les fichiers de configuration.

La Sauvegarde utilise des identités managées pour effectuer des opérations de sauvegarde et de restauration sur des sources de données protégées dans les coffres Sauvegarde. Elle s’en sert également pour gérer les fonctionnalités de sécurité comme le chiffrement avec des clés gérées par le client et les points de terminaison privés pour les coffres Recovery Services.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Aide : Connectez tous vos utilisateurs, toutes vos applications et tous vos appareils à Azure AD. Azure AD offre un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

La Sauvegarde utilise Azure AD pour assurer la gestion des identités et des accès sur les ressources Azure. Les identités qui peuvent utiliser Azure AD pour s’authentifier auprès de la Sauvegarde sont les identités d’entreprise (par exemple employés) et les identités externes (par exemple partenaires, fournisseurs et prestataires). Utilisez l’authentification unique (SSO, Single Sign-On) Azure AD pour gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud.

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Aide : Implémentez le moteur d’analyse des informations d’identification Azure DevOps pour détecter les informations d’identification dans vos modèles ARM (Azure Resource Manager) relatifs à la Sauvegarde. Le moteur recommande également de déplacer les informations d’identification découvertes vers des emplacements plus sécurisés, par exemple Azure Key Vault.

Dans le cas de GitHub, vous pouvez utiliser la fonctionnalité native d’analyse de secret. Elle repère les informations d’identification et toute autre forme de secrets dans le code.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Aide : Les rôles intégrés les plus critiques d’Azure AD sont Administrateur général et Administrateur de rôle privilégié. Les utilisateurs qui possèdent ces deux rôles peuvent déléguer des rôles Administrateur :

  • Administrateur général/d’entreprise : les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration d’Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.

  • Administrateur de rôle privilégié : les utilisateurs disposant de ce rôle peuvent gérer les attributions de rôles dans Azure AD et Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.

Limitez le nombre de comptes très privilégiés et protégez-les à un niveau élevé. Les utilisateurs qui disposent de ces privilèges peuvent lire et modifier directement ou indirectement toutes les ressources de votre environnement Azure.

Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et à Azure AD en utilisant Azure AD PIM. JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.

Le rôle RBAC Contributeur de sauvegarde dispose de toutes les autorisations pour créer et gérer des sauvegardes, hormis supprimer des coffres Recovery Services et donner accès à d’autres utilisateurs. Il s’agit de l’administrateur de gestion des sauvegardes, qui peut effectuer toutes les opérations de gestion des sauvegardes. Révisez régulièrement les identités qui reçoivent ce rôle et configurez-les avec Azure AD PIM.

Remarque : Si vous avez attribué des autorisations privilégiées à des rôles personnalisés, vous avez peut-être d’autres rôles critiques à régir. Vous pouvez également appliquer des contrôles similaires au compte Administrateur des ressources métier critiques.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Aide : La Sauvegarde utilise des comptes Azure AD et le contrôle RBAC Azure pour accorder des autorisations à ses ressources. Révisez régulièrement les comptes d’utilisateur et l’attribution des accès pour veiller à ce qu’ils soient valides. Utilisez les révisions d’accès Azure AD pour vérifier les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Pour faciliter le processus de révision, créez également des flux de travail de rapport de révision d’accès dans Azure AD PIM.

Vous pouvez également configurer Azure AD PIM de sorte qu’il envoie des alertes en cas de création d’un nombre excessif de comptes Administrateur. PIM permet par ailleurs d’identifier les comptes Administrateur périmés ou mal configurés.

La Sauvegarde prend en charge le contrôle RBAC Azure pour permettre une gestion affinée des accès aux coffres. La Sauvegarde Azure fournit trois rôles RBAC intégrés pour contrôler les opérations de gestion des sauvegardes :

  • Contributeur de sauvegarde : ce rôle dispose de toutes les autorisations pour créer et gérer des sauvegardes, hormis supprimer des coffres Recovery Services et donner accès à d’autres utilisateurs. Il s’agit de l’administrateur de gestion des sauvegardes, qui peut effectuer toutes les opérations de gestion des sauvegardes.

  • Opérateur de sauvegarde : ce rôle dispose des autorisations accordées au Contributeur de sauvegarde, hormis supprimer des sauvegardes et gérer les stratégies de sauvegarde. À la différence du rôle Contributeur de sauvegarde, ce rôle ne peut pas effectuer d’opérations destructrices comme arrêter la sauvegarde avec suppression des données ou supprimer l’enregistrement de ressources locales.

  • Lecteur de sauvegarde : ce rôle dispose de l’autorisation d’afficher toutes les opérations de gestion des sauvegardes. Il est destiné au monitoring.

  • Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management (PIM)

  • Utilisation des révisions d’accès et des identités Azure AD

  • Contrôle RBAC Azure pour la Sauvegarde

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Aide : Des stations de travail sécurisées et isolées sont très importantes pour la sécurité des rôles sensibles : les administrateurs, les développeurs et les opérateurs de services critiques. Utilisez des stations de travail utilisateur hautement sécurisées et Azure Bastion pour effectuer des tâches d’administration sur les ressources Sauvegarde.

Pour déployer une station de travail utilisateur sécurisée et gérée destinée aux tâches d’administration, utilisez Azure AD, Microsoft Defender Advanced Threat Protection (ATP) ou Microsoft Intune. Vous pouvez gérer de manière centralisée les stations de travail sécurisées pour appliquer une configuration sécurisée :

Responsabilité : Customer

PA-7 : Respect du principe des privilèges minimum Just Enough Administration

Aide : La Sauvegarde s’intègre au contrôle RBAC Azure pour gérer ses ressources. Le contrôle RBAC vous permet de gérer l’accès aux ressources Azure avec des attributions de rôles. Vous pouvez attribuer des rôles aux utilisateurs, groupes, principaux de service et identités managées. Certaines ressources ont des rôles prédéfinis et intégrés. Vous pouvez inventorier et interroger ces rôles à l’aide de différents outils, notamment Azure CLI, Azure PowerShell et le Portail Azure.

Limitez toujours les privilèges que vous attribuez aux ressources par le biais du contrôle RBAC Azure à ce dont les rôles ont besoin. Cette pratique complète l’approche JAT d’Azure AD PIM. Révisez régulièrement les rôles et les attributions.

La Sauvegarde s’intègre au contrôle RBAC Azure pour offrir des rôles intégrés et des rôles personnalisés permettant de gérer l’accès aux ressources. Utilisez les rôles intégrés pour accorder des autorisations. Ne créez des rôles personnalisés que si nécessaire.

Le service Sauvegarde Azure fournit trois rôles intégrés pour contrôler les opérations de gestion des sauvegardes :

  • Contributeur de sauvegarde : ce rôle dispose de toutes les autorisations pour créer et gérer des sauvegardes, hormis supprimer des coffres Recovery Services et donner accès à d’autres utilisateurs. Il s’agit de l’administrateur de gestion des sauvegardes, qui peut effectuer toutes les opérations de gestion des sauvegardes.

  • Opérateur de sauvegarde : ce rôle dispose des autorisations accordées au Contributeur de sauvegarde, hormis supprimer des sauvegardes et gérer les stratégies de sauvegarde. À la différence du rôle Contributeur de sauvegarde, ce rôle ne peut pas effectuer d’opérations destructrices comme arrêter la sauvegarde avec suppression des données ou supprimer l’enregistrement de ressources locales.

  • Lecteur de sauvegarde : ce rôle dispose de l’autorisation d’afficher toutes les opérations de gestion des sauvegardes. Il est destiné au monitoring.

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

PA-8 : Choisir le processus d’approbation pour le support Microsoft

Aide : La Sauvegarde ne prend pas en charge Customer Lockbox. Microsoft peut utiliser d’autres méthodes en collaboration avec les clients pour approuver l’accès aux données client.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-1 : Découvrir, classer et étiqueter des données sensibles

Aide : La Sauvegarde Azure ne propose pas de fonctionnalités de classification des données sauvegardées. Vous pouvez organiser vous-même vos données : utilisez différents coffres et attachez des balises à ces coffres en fonction de leur contenu.

Responsabilité : Customer

DP-2 : Protection des données sensibles

Aide : Pour protéger les données sensibles, restreignez l’accès aux ressources Sauvegarde par différents moyens :

  • Azure RBAC

  • Contrôles d’accès réseau

  • Contrôles spécifiques (par exemple le chiffrement) des services Azure

Lors de la sauvegarde de machines virtuelles IaaS Azure, Sauvegarde Azure fournit des sauvegardes indépendantes et isolées pour éviter une destruction accidentelle des données d’origine. Les sauvegardes sont stockées dans un coffre Recovery Services avec une gestion intégrée des points de récupération.

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès avec la stratégie de segmentation de votre entreprise. Orientez cette stratégie en fonction de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

En ce qui concerne la plateforme sous-jacente (gérée par Microsoft), Microsoft traite tout le contenu client comme sensible. Il le protège contre la perte et l’exposition des données client. Pour assurer la sécurité des données client dans Azure, Microsoft a implémenté plusieurs contrôles et fonctionnalités de protection des données par défaut :

Responsabilité : Customer

DP-3 : Détection des transferts non autorisés de données sensibles

Aide : La Sauvegarde accepte le transfert de données client. Cependant, elle ne prend pas en charge en mode natif le monitoring des transferts non autorisés de données sensibles. Vous pouvez néanmoins écrire des règles d’alerte sur les journaux d’activité et de ressources pour toutes les opérations de restauration effectuées à partir du coffre.

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Aide : Le trafic Sauvegarde entre les serveurs et le coffre Recovery Services est transféré via une liaison HTTPS sécurisée. Les données sont chiffrées suivant le standard AES (Advanced Encryption Standard) 256 lorsqu’elles sont stockées dans le coffre.

La Sauvegarde prend en charge le chiffrement des données en transit avec la version 1.2 et les versions plus récentes du protocole TLS. Ce chiffrement est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Dans le cas du trafic HTTP, vérifiez que les clients qui se connectent à vos ressources Azure peuvent utiliser la version 1.2 ou une version plus récente du protocole TLS.

Désactivez les chiffrements faibles et les versions et protocoles SSL, TLS et SSH obsolètes.

Azure chiffre par défaut les données en transit entre les centres de données Azure.

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Aide : La Sauvegarde Azure prend en charge le chiffrement des données au repos. La sauvegarde locale assure un chiffrement au repos à l’aide de la phrase secrète que vous avez fournie lors de la sauvegarde sur Azure. Dans le cas des charges de travail cloud, les données sont chiffrées au repos par défaut à l’aide de Storage Service Encryption (SSE) et de clés gérées par Microsoft. La Sauvegarde fournit également des options de clés gérées par le client afin de répondre aux exigences réglementaires.

Dans le cas d’une sauvegarde effectuée à l’aide de l’agent MARS ou d’un coffre Recovery Services chiffré avec une clé gérée par le client, seul le client a accès à la clé de chiffrement. Microsoft n’y a pas accès et n’en conserve pas de copie. Si la clé est égarée, Microsoft ne peut pas récupérer les données de sauvegarde.

Responsabilité : Partagé

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : Octroi à l’équipe de sécurité d’une visibilité sur les risques liés aux ressources

Aide : Accordez les autorisations Lecteur de sauvegarde aux équipes de sécurité dans votre locataire et vos abonnements Azure. Elles pourront ainsi surveiller les risques de sécurité liés aux configurations et aux données Sauvegarde.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, le monitoring des risques de sécurité peut incomber à une équipe de sécurité centrale ou à une équipe locale. Agrégez toujours les insights et les risques de sécurité de manière centralisée au sein d’une organisation.

Responsabilité : Customer

AM-2 : Octroi à l’équipe de sécurité de l’accès à l’inventaire des ressources et aux métadonnées

Aide : Veillez à ce que les équipes de sécurité aient accès à un inventaire des ressources continuellement mis à jour sur Azure, par exemple la Sauvegarde. Elles ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation à des risques émergents. Il est également utile comme source d’informations pour des améliorations continues de la sécurité. Créez un groupe Azure AD pour l’équipe de sécurité autorisée de votre organisation. Attribuez-lui un accès en lecture à toutes les ressources Sauvegarde. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur dans votre abonnement.

Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque étiquette se compose d’une paire de nom et de valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Aide : La Sauvegarde prend en charge le monitoring et l’application des configurations à l’aide d’Azure Policy. Avec les définitions intégrées d’Azure Policy, auditez et restreignez les services que les utilisateurs peuvent approvisionner dans votre environnement. Azure Resource Graph vous permet de demander et de découvrir toutes les ressources qui se trouvent dans vos abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles qui déclenchent des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Aide : Avec la fonctionnalité intégrée de détection des menaces de Microsoft Defender pour le cloud, activez Microsoft Defender pour vos ressources DDoS Protection Standard. Microsoft Defender fournit une couche supplémentaire d’informations de sécurité. Il détecte les tentatives inhabituelles et potentiellement dangereuses d’accéder à vos ressources DDoS Protection et de les exploiter.

La Sauvegarde Azure génère des journaux d’activité et de ressources. Vous pouvez les utiliser pour auditer les actions sur les ressources Sauvegarde et détecter les menaces. Transférez les journaux de la Sauvegarde vers votre système SIEM (Security Information and Event Management), que vous pouvez utiliser pour configurer des détections de menaces personnalisées.

Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Les alertes peuvent être issues de données de journaux, d’agents et d’autres données.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Aide : Les journaux d’activité sont disponibles automatiquement. Les journaux contiennent toutes les opérations PUT, POST et DELETE (mais non GET) des ressources Sauvegarde. Vous pouvez les utiliser pour rechercher une erreur lors de la résolution des problèmes ou bien pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez les journaux de ressources Azure pour la Sauvegarde. Vous pouvez utiliser Microsoft Defender pour le Cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être essentiels pour examiner les incidents de sécurité et faire des exercices d’investigation.

Responsabilité : Partagé

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Aide : Centralisez le stockage et l’analyse de la journalisation pour permettre la mise en corrélation des données de journaux Sauvegarde. Pour chaque source de journal, enregistrez les éléments suivants :

  • Un propriétaire des données désigné
  • Une aide à l’accès
  • Emplacement de stockage
  • Des outils permettant de traiter les données et d’y accéder
  • Les exigences de conservation des données

Intégrez les journaux d’activité Azure dans votre journalisation centralisée. Ingérez les journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour effectuer des requêtes et des opérations d’analytique. Utilisez les comptes de stockage Azure pour le stockage à long terme et l’archivage.

Par ailleurs, activez et intégrez les données dans Microsoft Sentinel ou un système SIEM tiers. Vous pouvez choisir Microsoft Sentinel pour les données « chaudes » souvent utilisées. Sélectionnez ensuite le Stockage Azure pour les données « froides » qui sont consultées moins fréquemment.

Responsabilité : Partagé

LT-6 : Configurer la rétention du stockage des journaux

Aide : Pour le stockage à long terme et l’archivage, utilisez des comptes Stockage Azure ou des comptes d’espace de travail Log Analytics. Si vous utilisez des comptes de stockage ou des espaces de travail Log Analytics pour stocker des journaux Sauvegarde, définissez une période de rétention des journaux conforme aux réglementations de conformité de votre organisation.

Responsabilité : Partagé

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Aide : La Sauvegarde ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Il s’appuie sur celles de Microsoft, qui ne sont pas exposées aux clients à des fins de configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Aide : Pour surveiller et appliquer des configurations sécurisées de votre coffre Recovery Services, attribuez des définitions Azure Policy intégrées et personnalisées. Lorsque les stratégies intégrées ne répondent pas à vos exigences, utilisez des alias Azure Policy dans l’espace de noms « Microsoft.RecoveryServices » pour créer des stratégies personnalisées.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Aide : Utilisez Azure Policy pour surveiller et appliquer les configurations Sauvegarde :

  • Paramètres de vos coffres

  • Chiffrement à l’aide de clés gérées par le client

  • Points de terminaison privés utilisés avec vos coffres

  • Paramètres de déploiement de diagnostics

À l’aide des définitions de stratégie Deny et DeployIfNotExists d’Azure Policy, appliquez une configuration sécurisée à toutes les ressources Sauvegarde Azure.

Responsabilité : Customer

PV-6 : Exécution d’évaluations des vulnérabilités logicielles

Aide : La Sauvegarde ne déploie pas de ressources de calcul côté client qui prennent en charge les outils d’évaluation des vulnérabilités. Microsoft gère les vulnérabilités et les évaluations de la plateforme sous-jacente qui prend en charge la Sauvegarde.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Aide : La Sauvegarde ne déploie pas de ressources de calcul côté client qui prennent en charge les outils d’évaluation des vulnérabilités. Microsoft gère les vulnérabilités et les évaluations de la plateforme sous-jacente qui prend en charge la Sauvegarde.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Procédez, en fonction de vos besoins, à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure et corrigez tous les problèmes de sécurité critiques détectés.

Suivez les règles du test d’intrusion d’engagement de Microsoft Cloud pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution Red Teaming de Microsoft. Effectuez des tests d’intrusion de sites en temps réel sur l’infrastructure, les services et les applications cloud gérées par Microsoft.

Responsabilité : Customer

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-2 : Chiffrer les données de sauvegarde

Aide : La Sauvegarde prend en charge le chiffrement des données de sauvegarde au repos qu’elle gère. Dans le cas des charges de travail cloud, les données sont chiffrées au repos par défaut à l’aide de Storage Service Encryption (SSE) et de clés gérées par Microsoft. La Sauvegarde Azure fournit également des options de clés gérées par le client afin de répondre aux exigences réglementaires.

Responsabilité : Partagé

Supervision Microsoft Defender pour le cloud : le Benchmark de sécurité Azure est l’initiative de stratégie par défaut pour Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender permettant de bénéficier des services associés peut être nécessaire pour les alertes de ce contrôle.

Azure Policy les définitions intégrées-Microsoft.RecoveryServices :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 2.0.0

BR-4 : Atténuer les risques liés aux clés perdues

Aide : Mettez en place des mesures pour empêcher la perte des clés de chiffrement utilisées par la Sauvegarde et effectuer une récupération. Pour protéger les clés contre les suppressions accidentelles et les suppressions malveillantes, activez la suppression réversible et la protection contre la suppression définitive dans Azure Key Vault.

Responsabilité : Partagé

Étapes suivantes