Base de référence de sécurité Azure pour Azure Bot Service

Cette base de référence de sécurité applique les conseils Azure Security Benchmark version 2.0 à Microsoft Azure Bot Service. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Azure et les instructions associées applicables à Azure Bot Service.

Lorsqu’une fonctionnalité a des Azure Policy définitions pertinentes répertoriées dans cette base de référence, pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Bot Service et ceux pour lesquels l’aide globale est recommandée textuellement ont été exclus. Pour voir comment Azure Bot Service est entièrement mappé au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Azure Bot Service.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : Lorsque vous déployez des ressources Azure Bot Service, vous devez créer ou utiliser un réseau virtuel existant. Vérifiez que tous les réseaux virtuels Azure suivent un principe de segmentation d’entreprise qui s’aligne sur les risques métier. Tout système qui peut entraîner des risques plus élevés pour l’organisation doit être isolé sur son propre réseau virtuel et être suffisamment sécurisé à l’aide d’un groupe de sécurité réseau (NSG) et/ou du Pare-feu Azure.

Comment créer un groupe de sécurité réseau avec des règles de sécurité : /azure/virtual-network/tutorial-filter-network-traffic

Comment déployer et configurer le Pare-feu Azure : /azure/firewall/tutorial-firewall-deploy-portal

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Conseils : Azure ExpressRoute ou le réseau privé virtuel (VPN) Azure permettent de créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne transitent pas par l’Internet public et offrent davantage de fiabilité, des vitesses supérieures et des latences inférieures par rapport aux connexions Internet classiques. Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et d’Azure ExpressRoute.

Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.

Responsabilité : Customer

NS-4 : Protégez les applications et les services contre les attaques réseau externes

Conseils : Protégez vos ressources Azure Bot Service contre les attaques de réseaux externes, notamment les attaques par déni de service distribué (DDoS), les attaques spécifiques aux applications et le trafic Internet non sollicité et potentiellement malveillant. Utilisez le Pare-feu Azure pour protéger les applications et les services contre le trafic potentiellement malveillant provenant d’Internet et d’autres emplacements externes. Protégez vos ressources contre les attaques DDoS en activant la protection DDoS Standard sur vos réseaux virtuels Azure. Utilisez Microsoft Defender pour le cloud pour déceler les risques de configuration incorrecte dans les ressources liées au réseau.

Utilisez les fonctionnalités Web Application Firewall (WAF) dans Azure Application Gateway, Azure Front Door et Azure Content Delivery Network (CDN) pour protéger vos applications, exécutées sur Azure Bot Service contre les attaques de la couche Application.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseils : Utilisez les étiquettes de service Réseau virtuel Azure afin de définir des contrôles d’accès réseau sur les groupes de sécurité réseau ou le Pare-feu Azure configurés pour vos ressources Azure Bot Service. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l'étiquette de service (par exemple, AzureBotService) dans le champ source ou destination approprié d'une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Azure Bot Service utilise Azure AD (Azure Active Directory) en tant que service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans : les ressources cloud Microsoft, comme le Portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.

  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d'identité sécurisée pour vous aider à évaluer votre posture de sécurité des identités par rapport aux recommandations de Microsoft en matière de meilleures pratiques. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les fournisseurs d’identité externes, qui permettent aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseils : Azure Active Directory (Azure AD) fournit la gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. La gestion des identités et des accès s’applique aux identités d’entreprise, comme les employés, ainsi qu’aux identités externes, comme les partenaires et les fournisseurs.

Utilisez l’authentification unique Azure AD pour gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez l’ensemble de vos utilisateurs, applications et appareils à Azure AD pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Azure Bot Service permet aux clients de déployer/d’exécuter du code, des configurations ou des données persistantes potentiellement avec des identités/secrets. Il est recommandé d’implémenter Credential Scanner pour identifier les informations d’identification dans le code, dans les configurations ou dans les données persistantes. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Pour GitHub, vous pouvez utiliser la fonctionnalité native d’analyse de secret pour identifier les informations d’identification ou d’autres formes de secrets dans le code.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Azure Bot Service utilise des comptes Azure Active Directory (Azure AD) pour gérer ses ressources ainsi que pour analyser régulièrement les comptes d’utilisateur et l’affectation d’accès afin de vérifier la validité des comptes et de leur niveau d’accès. Vous pouvez utiliser les révisions d’accès Azure AD pour réviser les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

En outre, Azure Privileged Identity Management peut être configuré pour alerter en cas de création d’un nombre excessif de comptes d’administrateur et pour identifier les comptes d’administrateur obsolètes ou mal configurés. Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Vous devez gérer ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour les tâches d’administration. Utilisez Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (MDATP) et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles et un accès réseau et logique restreint.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure Bot Service est compatible avec le contrôle d’accès en fonction du rôle (RBAC) Azure pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs, regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels que Azure CLI, Azure PowerShell ou le Portail Azure. Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Ils complètent l’approche juste-à-temps (JAT) d’Azure Active Directory (Azure AD) Privileged Identity Management (PIM) et doivent être révisés régulièrement.

Utilisez des rôles intégrés pour allouer les autorisations et créez un rôle personnalisé uniquement lorsque cela est nécessaire.

Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (RBAC Azure) ? /azure/role-based-access-control/overview

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseils : Protégez les données sensibles en limitant l’accès avec le contrôle d’accès en fonction du rôle Azure (Azure RBAC), des contrôles d’accès basés sur le réseau et des contrôles spécifiques dans les services Azure (comme le chiffrement dans les bases de données SQL et autres).

Pour assurer un contrôle d’accès cohérent, tous les types de contrôle d’accès doivent être alignés sur la stratégie de segmentation de votre entreprise. La stratégie de segmentation de l’entreprise doit aussi être informée de l’emplacement des systèmes et données sensibles ou vitaux de l’entreprise.

Pour la plateforme sous-jacente gérée par Microsoft, Microsoft traite tout le contenu client en tant que contenu sensible, et assure une protection contre la perte et l’exposition des données client. Pour assurer la sécurité des données des clients dans Azure, Microsoft a implémenté certains contrôles et fonctionnalités de protection des données par défaut.

Responsabilité : Partagé

DP-3 : Détection des transferts non autorisés de données sensibles

Conseils : Détectez les transferts non autorisés de données vers des emplacements situés hors du champ de visibilité ou de contrôle de l’entreprise. Cela implique généralement de surveiller des activités anormales (transferts volumineux ou inhabituels) qui pourraient être le signe d’une exfiltration de données non autorisée. Azure Storage Advanced Threat Protection (ATP) et Azure SQL ATP peuvent alerter sur le transfert anormal d’informations qui peuvent indiquer des transferts non autorisés d’informations sensibles. Azure Information Protection (AIP) fournit des fonctionnalités de supervision pour les informations qui ont été classifiées et étiquetées. Si nécessaire pour la conformité de la protection contre la perte de données (DLP), vous pouvez utiliser une solution DLP basée sur un hôte pour appliquer des contrôles détectives et/ou préventifs pour empêcher l’exfiltration des données.

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseils: Tous les points de terminaison Azure Bot Service qui sont exposés via HTTP appliquent le protocole TLS 1.2. Quand un protocole de sécurité est appliqué, les consommateurs qui essaient d’appeler un point de terminaison Azure Bot Service doivent respecter les consignes suivantes :

  • Le système d’exploitation client doit prendre en charge TLS 1.2. Le langage (et la plateforme) utilisé pour effectuer l’appel HTTP doit spécifier TLS 1.2 dans le cadre de la requête. Selon le langage et la plateforme, la spécification de TLS s’effectue implicitement ou explicitement. En complément des contrôles d’accès, les données en transit doivent être protégées contre les attaques « hors bande » à l’aide du chiffrement pour empêcher les attaquants de lire ou de modifier facilement les données. C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, vérifiez que les clients se connectant à vos ressources Azure peuvent négocier TLS v1.2 ou une version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Les versions et protocoles SSL, TLS et SSH rendus obsolètes et les chiffrements faibles doivent être désactivés.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseils : En complément des contrôles d’accès, les données au repos doivent être protégées contre les attaques « hors bande » (telles que l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela vise à empêcher que les attaquants puissent facilement lire ou modifier les données.

Azure assure par défaut un chiffrement des données au repos. Pour les données hautement sensibles, vous avez le choix entre plusieurs options pour implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut, mais met à votre disposition des options pour gérer vos propres clés (clés gérées par le client) pour certains services Azure.

Si nécessaire à des fins de conformité sur les ressources de calcul, implémentez un outil tiers (par exemple, une solution automatisée de protection contre la perte de données basée sur un hôte) pour appliquer des contrôles d’accès aux données même lorsque celles-ci sont copiées à partir d’un système.

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque balise se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Azure Bot Service ne prend pas en charge les déploiements de ressources basés sur Azure Resource Manager et la découverte avec Azure Resource Graph.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Azure Bot Service ne fournit pas de fonctionnalités natives pour surveiller les menaces de sécurité liées à ses ressources.

Transférez tous les journaux d’Azure Bot Service à votre solution SIEM, qui peut être utilisée pour configurer des détections de menaces personnalisées. Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure Active Directory (Azure AD) fournit les journaux d’utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou autres outils de supervision/SIEM pour des cas d’usage plus sophistiqués de supervision et d’analytique :

  • Connexions – le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
  • Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
  • Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également alerter dans le cas de certaines activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué et la présence de comptes dépréciés dans l’abonnement. En plus de la surveillance de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application, par exemple), de ressources de données (base de données SQL et stockage, par exemple) et de couches de service Azure. Cette capacité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils : Activez et collectez les journaux de ressources des groupes de sécurité réseau (NSG), les journaux de flux du NSG, les journaux de Pare-feu Azure et ceux de Web Application Firewall (WAF) afin d’analyser la sécurité et de prendre en charge les enquêtes sur les incidents, la chasse aux menaces et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics sur Azure Monitor, puis utiliser Traffic Analytics pour obtenir des insights.

Azure Bot Service ne produit pas ou ne traite pas les journaux de requêtes DNS qui doivent être activés.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d’activité, disponibles automatiquement, contiennent toutes les opérations d’écriture (PUT, POST, DELETE) des ressources Azure Bot Service, et non les opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Azure Bot Service ne produit actuellement pas de journaux de ressources Azure.

Responsabilité : Customer

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences de conservation des données. Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.

En outre, activez et intégrez les données dans Microsoft Sentinel ou une solution SIEM tierce.

De nombreuses organisations choisissent d’utiliser Microsoft Sentinel pour les données « à chaud » qui sont utilisées fréquemment et le Stockage Azure pour les données « à froid » qui sont utilisées moins fréquemment.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseils : Vérifiez que la période de conservation des journaux définie dans les comptes de stockage ou les espaces de travail Log Analytics utilisés pour le stockage des journaux d’Azure Bot Service est conforme aux obligations réglementaires de votre organisation.

Dans Azure Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics en fonction des règles de conformité de votre organisation. Utilisez des comptes Stockage Azure, Data Lake ou d’espace de travail Log Analytics pour le stockage à long terme et l’archivage.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : Microsoft gère les sources temporelles pour la plupart des services PaaS et SaaS d’Azure. Pour vos machines virtuelles, utilisez le serveur NTP par défaut de Microsoft pour la synchronisation de l’heure, sauf si vous avez une exigence spécifique. Si vous devez mettre en place votre propre serveur NTP (Network Time Protocol), veillez à sécuriser le port 123 du service UDP. Tous les journaux générés par des ressources dans Azure fournissent des horodatages avec le fuseau horaire spécifié par défaut.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Aide : Veillez à sauvegarder les systèmes et les données pour assurer la continuité de l’activité après un événement inattendu. Ceci doit être défini par des objectifs de point de récupération (RPO) et de délai de récupération (RTO). Activez le service Sauvegarde Azure et configurez la source de la sauvegarde (par exemple, machines virtuelles Azure, SQL Server ou partages de fichiers), ainsi que la fréquence et la période de rétention souhaitées.

Pour un niveau plus élevé de protection, vous pouvez activer l’option de stockage géoredondant afin de répliquer les données de sauvegarde dans une région secondaire et de les récupérer à l’aide d’une restauration inter-région.

Responsabilité : Customer

BR-2 : Chiffrer les données de sauvegarde

Conseils : Assurez-vous que vos sauvegardes sont protégées contre les attaques. Cela doit inclure le chiffrement des sauvegardes afin de vous protéger contre la perte de confidentialité.

Pour une sauvegarde locale à l’aide du service Sauvegarde Azure, le chiffrement au repos est assuré à l’aide de la phrase secrète que vous fournissez. Pour une sauvegarde de service Azure normale, les données de sauvegarde sont automatiquement chiffrées à l’aide de clés gérées par la plateforme Azure. Vous pouvez choisir de chiffrer la sauvegarde à l’aide d’une clé gérée par le client. Dans ce cas, assurez-vous que cette clé gérée par le client dans le coffre de clés est également dans l’étendue de la sauvegarde.

Utilisez le contrôle d’accès en fonction du rôle dans Sauvegarde Azure, Azure Key Vault ou d’autres ressources pour protéger les sauvegardes et les clés gérées par le client. En outre, vous pouvez activer des fonctionnalités de sécurité avancées pour exiger une authentification multifacteur avant que les sauvegardes soient modifiées ou supprimées.

Responsabilité : Customer

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Vérifiez régulièrement que vous pouvez restaurer les clés gérées par le client qui sont sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Assurez-vous que vous avez pris les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Customer

Étapes suivantes