Ligne de base de sécurité Azure pour Azure Cloud Services

Cette ligne de base de sécurité applique les instructions du Benchmark de sécurité Azure version 1.0 à l’offre Microsoft Azure Cloud Services. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à l’offre Azure Cloud Services.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Cloud Services, ou dont la responsabilité incombe à Microsoft, ont été exclus. Pour voir comment l’offre Azure Cloud Services est entièrement mappée au Benchmark de sécurité Azure, consultez le fichier de mappage complet de la ligne de base de sécurité de l’offre Azure Cloud Services.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.1 : Protéger les ressources Azure au sein des réseaux virtuels

Conseils : créez un réseau virtuel Azure classique avec des sous-réseaux public et privé distincts pour appliquer une isolation basée sur des ports et des plages d’adresses IP de confiance. Ce réseau virtuel et ces sous-réseaux doivent être des ressources basées sur le réseau virtuel classique (déploiement classique), non sur les ressources Azure Resource Manager actuelles.

Autorisez ou refusez le trafic à l’aide d’un groupe de sécurité réseau contenant des règles de contrôle d’accès en fonction de la direction du trafic, du protocole, de l’adresse et du port sources, ainsi que de l’adresse et du port de destination. Vous pouvez à tout moment modifier les règles d’un groupe de sécurité réseau. Les modifications sont appliquées à toutes les instances associées.

L’offre Microsoft Azure Cloud Services (classique) ne peut pas être placée dans des réseaux virtuels Azure Resource Manager. Toutefois, des réseaux virtuels basés sur Resource Manager et des réseaux virtuels basés sur un déploiement classiques peuvent être connectés par le biais d’un appairage.

Responsabilité : Customer

1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des cartes réseau

Conseils : documentez votre configuration Azure Cloud Services et surveillez ses modifications. Utilisez le fichier de configuration de service pour spécifier le nombre d’instances de rôle à déployer pour chaque rôle dans le service, les valeurs des paramètres de configuration et les empreintes des certificats associés à un rôle.

Si le service fait partie d’un réseau virtuel, les informations de configuration du réseau doivent être fournies dans le fichier de configuration du service, ainsi que dans le fichier de configuration du réseau virtuel. L’extension par défaut du fichier de configuration de service est .cscfg. Notez qu’Azure Policy n’est pas pris en charge pour des déploiements classiques destinés à une application de configuration.

Définissez les valeurs de configuration d’un service cloud dans le fichier de configuration de service (.cscfg), et la définition dans un fichier de définition de service (.csdef). Utilisez le fichier de définition de service pour définir le modèle de service d’une application. Définissez les rôles disponibles pour un service cloud, et spécifiez les points de terminaison de service. Consignez la configuration pour Azure Cloud Services avec un fichier de configuration de service. Toute reconfiguration peut être effectuée à l’aide du fichier ServiceConfig.cscfg.

Surveillez la définition du service de l’élément facultatif NetworkTrafficRules, qui limite les rôles pouvant communiquer avec des points de terminaison internes spécifiés. Configurez le nœud NetworkTrafficRules, un élément facultatif dans le fichier de définition de service, pour spécifier le mode de communication entre les rôles. Fixez des limites aux rôles pouvant accéder aux points de terminaison internes du rôle spécifique. Notez qu’il n’est pas possible de modifier la définition de service.

Activez les journaux de flux de groupe de sécurité réseau et envoyez ceux-ci à un compte Stockage Azure à des fins d’audit. Envoyez les journaux de flux à un espace de travail Log Analytics, puis utilisez Traffic Analytics pour obtenir des insights sur les modèles de trafic au sein de votre locataire Azure. Parmi les avantages de Traffic Analytics figure la possibilité de visualiser l’activité réseau, d’identifier les zones réactives et des menaces de sécurité, de comprendre les modèles de flux de trafic, ainsi que d’épingler de mauvaises configurations du réseau.

Responsabilité : Customer

1.3 : Protéger les applications web critiques

Conseils : Microsoft utilise le protocole TLS (Transport Layer Security) v1.2 pour protéger les données transitant entre Azure Cloud Services et les clients. Les centres de données Microsoft négocient une connexion TLS avec les systèmes clients qui se connectent aux services Azure. TLS fournit une authentification forte, la confidentialité et l’intégrité des messages (activation de la détection de falsification et d’interception des messages), l’interopérabilité, la flexibilité des algorithmes, ainsi que la facilité de déploiement et d’utilisation.

Responsabilité : Customer

1.4 : Refuser les communications présentant des adresses IP connues comme étant malveillantes

Conseils : le cloud Azure implémente une sécurité réseau multicouche pour protéger ses services de plateforme contre les attaques par déni de service distribué (DDoS). Le service Azure DDoS Protection fait partie du processus de surveillance continue d’Azure, qui est constamment amélioré à l’aide de tests de pénétration. Cette Protection DDos est conçue pour résister non seulement aux attaques extérieures, mais aussi à celles émanant d’autres locataires Azure.

Il existe plusieurs façons de bloquer ou de refuser la communication à côté de la protection au niveau de la plateforme au sein d’Azure Cloud Services. Celles-ci sont les suivantes :

  • créer une tâche de démarrage pour bloquer de manière sélective certaines adresses IP spécifiques ;
  • limiter l’accès d’un rôle web Azure à un ensemble d’adresses IP spécifiques en modifiant votre fichier IIS web.config.

Empêchez le trafic entrant via l’URL ou le nom par défaut de vos services cloud (par exemple, .cloudapp.net). Définissez l’en-tête de l’hôte sur un nom DNS personnalisé, sous la configuration de liaison de site dans le fichier de définition des services cloud ( .csdef).

Configurez une règle de refus d’application pour les attributions d’administrateur d’abonnement classique. Par défaut, une fois un point de terminaison interne défini, la communication peut s’effectuer à partir de n’importe quel rôle vers le point de terminaison interne d’un rôle sans restriction. Pour restreindre la communication, vous devez ajouter un élément NetworkTrafficRules à l'élément ServiceDefinition dans le fichier de définition de service.

Responsabilité : Customer

1.5 : Enregistrer les paquets réseau

Conseils : utilisez Azure Network Watcher, service de surveillance, de diagnostic et d’analytique des performances réseau permettant de surveiller les réseaux Azure. L’extension de machine virtuelle Agent Network Watcher est obligatoire pour capturer le trafic réseau à la demande et pour assurer la prise en charge d’autres fonctionnalités avancées sur des machines virtuelles Azure. Installez l’extension de machine virtuelle Agent Network Watcher et activez les journaux de flux de groupe de sécurité réseau.

Configurez la journalisation de flux sur un groupe de sécurité réseau. Examinez les détails du déploiement de l’extension de machine virtuelle Network Watcher sur une machine virtuelle existante déployée via le modèle de déploiement classique.

Responsabilité : Customer

1.6 : Déployer des systèmes de détection et de prévention des intrusions basés sur le réseau (IDS/IPS)

Conseils : l’offre Azure Cloud Services n’intègre pas de fonctionnalité IDS ou IPS. Les clients peuvent sélectionner et déployer une solution IDS ou IPS réseau supplémentaire à partir de la Place de marché Azure en fonction de leurs besoins organisationnels. Lorsque vous utilisez des solutions tierces, veillez à tester minutieusement votre solution IDS ou IPS sélectionnée avec l’offre Azure Cloud Services pour garantir un fonctionnement et une fonctionnalité corrects.

Responsabilité : Customer

1.7 : Gérer le trafic à destination des applications web

Conseils : les certificats de service associés à l’offre Azure Cloud Services permettent une communication sécurisée avec le service. Ces certificats de service sont définis dans la définition des services, et déployés automatiquement sur la machine virtuelle exécutant une instance de rôle web. Par exemple, pour un rôle web, vous pouvez utiliser un certificat de service capable d’authentifier un point de terminaison HTTPS exposé.

Pour mettre à jour le certificat, il est uniquement nécessaire de charger un nouveau certificat et de modifier la valeur d’empreinte numérique dans le fichier de configuration de service.

Utilisez le protocole TLS 1.2, la méthode de sécurisation des données la plus couramment utilisée, afin de garantir la confidentialité et la protection de l’intégrité.

En règle générale, pour protéger des applications web et les protéger contre des attaques telles que celles dirigées contre les 10 principales vulnérabilités identifiées par l’OWASP, vous pouvez déployer l’équilibreur de charge Azure Application Gateway prenant en charge Azure Web Application Firewall pour protéger les applications web.

Responsabilité : Customer

1.9 : Gérer les configurations de sécurité standard pour les périphériques réseau

Conseils : renforcez votre configuration Azure Cloud Services et surveillez les modifications apportées à celle-ci. Le fichier de configuration de service spécifie le nombre d’instances de rôle à déployer pour chaque rôle dans le service, les valeurs des paramètres de configuration et les empreintes des certificats associés à un rôle.

Si votre service fait partie d’un réseau virtuel, les informations de configuration pour le réseau doivent être fournies dans le fichier de configuration de service, ainsi que dans le fichier de configuration de réseau virtuel. L’extension par défaut du fichier de configuration de service est .cscfg.

Notez qu’Azure Policy n’est pas pris en charge avec l’offre Azure Cloud Services pour l’application la configuration.

Responsabilité : Customer

1.10 : Règles de configuration du trafic de documents

Conseils : vous pouvez utiliser des groupes de sécurité réseau Azure pour filtrer le trafic réseau à destination et en provenance de ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou sortant à destination ou en provenance de différents types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.

Utilisez le champ « Description » pour les règles de groupe de sécurité réseau individuelles dans l’offre Azure Cloud Services afin de documenter les règles qui autorisent le trafic à destination et à partir d’un réseau.

Responsabilité : Customer

1.11 : Utiliser des outils automatisés pour superviser les configurations des ressources réseau et détecter les modifications

Conseils : utilisez les fonctionnalités intégrées de surveillance de point de terminaison et de basculement automatique de point de terminaison d’Azure Traffic Manager. Elles vous aident à fournir des applications haute disponibilité résilientes par rapport aux défaillances de point de terminaison et de région Azure. Pour configurer une surveillance de point de terminaison, vous devez spécifier certains paramètres sur votre profil Traffic Manager.

Rassemblez des informations du journal d’activité, un journal de plateforme dans Azure, dans des événements de niveau abonnement. Ces informations indiquent, par exemple, à quel moment une ressource a été modifiée ou une machine virtuelle démarrée. Afficher le journal d’activité dans le portail Azure, ou récupérez des entrées avec PowerShell et Azure CLI.

Créez un paramètre de diagnostic pour envoyer le journal d’activité à Azure Monitor, à Azure Event Hubs afin de le transférer hors d’Azure ou au service Stockage Azure à des fins d’archivage. Configurez Azure Monitor pour les alertes de notification quand des ressources critiques dans Azure Cloud Services sont modifiées.

Responsabilité : Customer

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.1 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : Microsoft gère les sources de temps des ressources Azure pour Azure Cloud Services. Les clients peuvent créer une règle de réseau pour autoriser l’accès à un serveur de temps utilisé dans leur environnement, sur le port 123 avec le protocole UDP.

Responsabilité : Partagé

2.2 : Configurer la gestion des journaux de sécurité centrale

Conseils : utilisez les données de streaming de votre service cloud par programmation avec Azure Event Hubs. Intégrez et envoyez toutes ces données à Microsoft Sentinel pour surveiller et examiner vos journaux, ou utilisez un ensemble de technologies SIEM tiers. Pour la gestion des journaux de sécurité centralisée, configurez l’exportation continue des données de Microsoft Defender pour le cloud que vous avez choisies vers Azure Event Hubs, et configurez le connecteur approprié pour votre solution SIEM. Voici quelques options pour Microsoft Sentinel, outils tiers compris :

  • Microsoft Sentinel : Utilisez le connecteur de données d’alertes Microsoft Defender pour le cloud natif
  • Splunk : utilisez le module complémentaire Azure Monitor pour Splunk
  • IBM QRadar : utilisez une source de journal configurée manuellement
  • ArcSight : utilisez SmartConnector

Consultez la documentation Microsoft Sentinel pour plus d’informations sur les connecteurs disponibles avec Microsoft Sentinel.

Responsabilité : Customer

2.3 : Activer la journalisation d’audit pour les ressources Azure

Conseils : configurez Visual Studio afin de définir l’agent Diagnostics Azure pour la résolution des problèmes liés à l’offre Azure Cloud Services qui capture les données système et de journalisation sur les machines virtuelles, y compris les instances de machines virtuelles exécutant vos Azure Cloud Services. Les données de diagnostic sont transférées vers un compte de stockage de votre choix. Activez les diagnostics dans les projets Azure Cloud Services avant leur déploiement.

Affichez l’historique des modifications pour certains événements dans le journal d’activité d’Azure Monitor. Auditez les modifications qui se sont produites pendant une période d’événement. Choisissez un événement dans le journal d’activité pour une inspection plus poussée avec l’onglet Historique des modifications (préversion). Envoyez les données de diagnostic à Application Insights lorsque vous publiez un service Azure Cloud Services à partir de Visual Studio. Créez la ressource Azure Application Insights à ce moment-là ou envoyez les données à une ressource Azure existante.

La disponibilité, les performances, les échecs et l’utilisation d’Azure Cloud Services peuvent être surveillés par Application Insights. Vous pouvez ajouter des graphiques personnalisés à Application Insights afin d’afficher les données qui vous intéressent le plus. Vous pouvez collecter les données d’instance de rôle à l’aide du Kit de développement logiciel (SDK) Application Insights dans votre projet Azure Cloud Services.

Responsabilité : Customer

2.5 : Configurer la conservation du stockage des journaux de sécurité

Conseils : vous pouvez utiliser une surveillance avancée avec Azure Cloud Services, ce qui permet d’échantillonner des mesures supplémentaires et de les collecter à intervalles de 5 minutes, de 1 heure et de 12 heures. Les données agrégées sont stockées dans des tables au sein d’un compte de stockage, et purgées après 10 jours. Cependant, le compte de stockage utilisé est configuré par rôle et vous pouvez utiliser différents comptes de stockage pour différents rôles. Vous configurez cela avec une chaîne de connexion dans les fichiers .csdef et .cscfg.

Notez que la surveillance avancée implique l’utilisation de l’extension Diagnostics Azure (et éventuellement du Kit de développement logiciel (SDK) Application Insights) sur le rôle que vous souhaitez surveiller. L’extension Diagnostics utilise un fichier de configuration (par rôle) nommé diagnostics.wadcfgx pour configurer les mesures de diagnostic analysées. L’extension Azure diagnostics collecte et stocke des données dans un compte de stockage Azure. Ces paramètres sont configurés dans les fichiers .wadcfgx, .csdef et .cscfg.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Conseils : Les modes de surveillance de base ou avancé sont disponibles pour Azure Cloud Services. Azure Cloud Services collecte automatiquement les données de surveillance de base (pourcentage de processeur, trafic réseau entrant/sortant, et lecture/écriture de disque) à partir d’une machine virtuelle hôte. Affichez les données d’analyse collectées sur les pages de vue d’ensemble et de métriques d’un service cloud dans le portail Azure.

Activez les diagnostics dans Azure Cloud Services pour collecter des données de diagnostic telles que des journaux d’applications, des compteurs de performances, etc., tout en utilisant l’extension Diagnostics Azure. Activez ou mettez à jour la configuration des diagnostics sur un service cloud en cours d’exécution avec la cmdlet Set-AzureServiceDiagnosticsExtension, ou déployez automatiquement un service cloud avec l’extension Diagnostics. Vous pouvez également installer le Kit de développement logiciel (SDK) Application Insights. Envoyez les compteurs de performances à Azure Monitor.

L’extension Azure diagnostics collecte et stocke des données dans un compte de stockage Azure. Transférez les données de diagnostic vers l’Émulateur de stockage Microsoft Azure ou le service Stockage Azure, car elles ne sont pas stockées de manière permanente. Une fois les données dans le stockage, vous pouvez les afficher avec l’un des outils disponibles, tels que l’Explorateur de serveurs dans Visual Studio, l’Explorateur Stockage Microsoft Azure et Management Studio Azure. Configurez les métriques de diagnostics à surveiller à l’aide d’un fichier de configuration (par rôle) nommé diagnostics.wadcfgx dans l’extension Diagnostics.

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Conseils : Vous pouvez surveiller les données de journal Azure Cloud Services en les intégrant avec Microsoft Sentinel ou avec une solution SIEM tierce, en activant les alertes pour les activités anormales.

Responsabilité : Customer

2.8 : Centraliser la journalisation anti-programme malveillant

Conseils : Microsoft Antimalware pour Azure protège Azure Cloud Services et les machines virtuelles. Vous avez la possibilité de déployer des solutions de sécurité tierces supplémentaires, telles que des pare-feu d’applications web, des pare-feu réseau, des logiciels anti-programmes malveillants, des systèmes de détection et de prévention des intrusions (IDS ou IPS), etc.

Responsabilité : Customer

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Conseils : Microsoft vous recommande de gérer l’accès aux ressources Azure à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC). Toutefois, Azure Cloud Services ne prend pas en charge le modèle RBAC Azure, car il ne s’agit pas d’un service Azure Resource Manager et vous devez utiliser un abonnement classique.

Par défaut, dans Azure, les trois rôles d’administrateur d’abonnements classique sont Administrateur de comptes, Administrateur de services et Coadministrateur.

Les administrateurs d’abonnements classiques ont un accès total à l’abonnement Azure. Ils peuvent gérer les ressources en utilisant le portail Azure, les API Azure Resource Manager et les API du modèle de déploiement classique. Le compte qui est utilisé pour l’inscription à Azure est automatiquement défini en tant qu’administrateur de compte et administrateur de services fédérés. Il est possible d’ajouter des coadministrateurs ultérieurement.

L’administrateur de services et les coadministrateurs ont un accès équivalent aux utilisateurs qui ont reçu le rôle Propriétaire (rôle Azure) dans l’étendue de l’abonnement. Gérer les coadministrateurs ou affichez l’administrateur de service sous l’onglet Administrateurs classiques sur le portail Azure.

Répertoriez les attributions de rôles pour l’administrateur de service et les coadministrateurs classiques avec la commande PowerShell suivante :

Get-AzRoleAssignment -IncludeClassicAdministrators

Responsabilité : Customer

3.3 : Utiliser des comptes d’administration dédiés

Conseils : il est recommandé de créer des procédures de fonctionnement standard autour de l’utilisation de comptes d’administration dédiés, en fonction des rôles disponibles et des autorisations nécessaires pour exploiter et gérer les ressources Azure Cloud Services.

Responsabilité : Customer

3.4 : Utiliser l’authentification unique (SSO) avec Azure Active Directory

Conseils : évitez de gérer des identités distinctes pour les applications qui s’exécutent sur Azure Cloud Services. Implémentez l’authentification unique pour éviter de demander aux utilisateurs de gérer plusieurs identités et informations d’identification.

Responsabilité : Customer

3.6 : Utiliser des ordinateurs dédiés (stations de travail avec accès privilégié) pour toutes les tâches administratives

Conseils : il est recommandé d’utiliser une station de travail sécurisée et managée par Azure (également appelée station de travail à accès privilégié) pour les tâches d’administration qui requièrent des privilèges élevés.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

4.1 : Conserver un inventaire des informations sensibles

Conseils : utilisez les API REST du service cloud Azure pour inventorier vos ressources de service cloud Azure afin d’obtenir des informations sensibles. Interrogez les ressources de service cloud déployées pour obtenir les ressources de configuration et .pkg.

Par exemple, quelques API sont répertoriées ci-dessous :

  • Get Deployment : l’opération Get Deployment renvoie les informations de configuration, l’état, et les propriétés système d’un déploiement.
  • Get Package : l’opération Get Package récupère un package de service cloud pour un déploiement, et stocke les fichiers du package dans le Stockage Blob Microsoft Azure.
  • Get Cloud Service Properties : l’opération Get Cloud Service Properties récupère les propriétés du service cloud spécifié.

Consultez la documentation sur les API REST de service cloud Azure, et créez un processus pour la protection des données d’informations sensibles, en fonction des besoins de votre organisation.

Responsabilité : Customer

4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles

Conseils : implémentez une isolation en utilisant des abonnements et groupes d’administration distincts selon les domaines de sécurité, par exemple, le type d’environnement et le niveau de sensibilité des données pour Azure Cloud Services.

Vous pouvez également modifier l’élément « permissionLevel » dans l’élément de certificat du service cloud Azure pour spécifier les autorisations d’accès accordées aux processus de rôle. Si vous souhaitez que seuls les processus élevés puissent accéder à la clé privée, spécifiez une autorisation elevated. Une autorisation limitedOrElevated permet à tous les processus de rôle d’accéder à la clé privée. Les valeurs possibles sont limitedOrElevated ou elevated. La valeur par défaut est limitedOrElevated.

Responsabilité : Customer

4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles

Conseils : il est recommandé d’utiliser une solution tierce de la Place de marché Azure dans les périmètres du réseau, qui surveille et bloque les transferts non autorisés d’informations sensibles tout en alertant les professionnels de la sécurité des informations.

Responsabilité : Partagé

4.4 : Chiffrer toutes les informations sensibles en transit

Conseils : configurez TLS v2 pour Azure Cloud Services. Utilisez le portail Azure pour ajouter le certificat à votre déploiement Azure Cloud Services intermédiaire, et ajoutez les informations de certificat aux fichiers CSDEF et CSCFG des services. Ré-empaquetez votre application et mettez à jour votre déploiement intermédiaire pour utiliser le nouveau package.

Utilisez des certificats de service dans Azure, qui sont associés à l’offre Azure Cloud Services pour permettre des communications sécurisées vers et depuis le service. Fournissez un certificat capable d’authentifier un point de terminaison HTTPS exposé. Définissez des certificats de service dans la définition de service du service cloud, et déployez-les automatiquement sur la machine virtuelle en exécutant une instance de votre rôle.

Authentifiez avec l’API de gestion avec des certificats de gestion. Ceux-ci vous permettent d’authentifier avec le modèle de déploiement classique. Un grand nombre de programmes et d’outils (comme Visual Studio ou le SDK Azure) utilisent ces certificats pour automatiser la configuration et le déploiement de divers services Azure.

Pour référence, l’API du modèle de déploiement Classic fournit un accès programmatique aux fonctionnalités de ce modèle de déploiement disponibles sur le Portail Azure. Le Kit de développement logiciel (SDK) Azure pour Python peut être utilisé pour gérer l’offre Azure Cloud Services et les comptes de stockage Azure. Il inclut l’API du modèle de déploiement Classic, une API REST. Toutes les opérations de l’API sont effectuées au moyen du protocole TLS et sont mutuellement authentifiées au moyen de certificats X.509 v3. Le service de gestion est accessible à partir d’un service s’exécutant dans Azure. Il est également accessible directement via Internet à partir de toute application capable d’envoyer une demande HTTPS et de recevoir une réponse HTTPS.

Responsabilité : Partagé

4.5 : Utiliser un outil de découverte actif pour identifier les données sensibles

Conseils : il est recommandé d’utiliser un outil de découverte actif tiers pour identifier toutes les informations sensibles stockées, traitées ou transmises par les systèmes technologiques de l’organisation, qu’elles soient situées sur site ou chez un fournisseur de services distant, puis de mettre à jour l’inventaire des informations sensibles de l’organisation.

Responsabilité : Partagé

4.7 : Utiliser la protection contre la perte de données basée sur l’hôte pour appliquer le contrôle d’accès

Conseils : non applicable au service cloud (classique). Cette recommandation n’applique pas de protection contre la perte de données.

Il est recommandé d’implémenter un outil tiers, tel qu’une solution automatisée de prévention contre la perte de données basée sur un hôte, pour appliquer des contrôles d’accès aux données même lorsque celles-ci sont copiées à partir d’un système.

Pour la plateforme sous-jacente managée par Microsoft, Microsoft considère tout le contenu client comme sensible et met tout en œuvre pour empêcher la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Partagé

4.8 : Chiffrer des informations sensibles au repos

Conseils : l’offre Azure Cloud Services ne prend pas en charge le chiffrement au repos. En effet, elle est conçue pour être sans état. Elle prend en charge le stockage externe, par exemple le Stockage Azure qui est par défaut chiffré au repos.

Les données d’application stockées sur des disques temporaires ne sont pas chiffrées. Le client est chargé de gérer et de chiffrer ces données en fonction des besoins.

Responsabilité : Customer

4.9 : Consigner et alerter les modifications apportées aux ressources Azure critiques

Conseils : vous pouvez utiliser des alertes métriques classiques dans Azure Monitor pour être averti quand une de vos mesures appliquées à des ressources critiques franchit un seuil. Les alertes métriques classiques sont une ancienne fonctionnalité permettant de générer des alertes uniquement sur des métriques sans dimensions. Il existe une fonctionnalité plus récente et plus avancée : les alertes de métrique.

En outre, la fonctionnalité Application Insights vous permet de surveiller la disponibilité, les performances, les échecs et l’utilisation des applications Azure Cloud Services. Elle utilise des données combinées de kits de développement logiciel (SDK) Application Insights avec des données de Diagnostics Azure provenant de vos Azure Cloud Services.

Responsabilité : Customer

Gestion des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des vulnérabilités.

5.2 : Déployer une solution de gestion des correctifs de système d’exploitation automatisée

Conseils : notez que ces informations ont trait au système d’exploitation invité Azure pour les rôles web et de travail Azure Cloud Services avec PaaS (Platform as a Service). Toutefois, elles ne s’appliquent pas aux machines virtuelles avec IaaS (Infrastructure as a Service).

Par défaut, Azure met à jour périodiquement le système d’exploitation invité du client vers la dernière image prise en charge au sein de la famille de systèmes d’exploitation spécifiée dans sa configuration de service (.cscfg), par exemple, Windows Server 2016.

Quand un client choisit une version de système d’exploitation spécifique pour son déploiement d’Azure Cloud Services, il désactive les mises à jour automatiques du système d’exploitation et assume la responsabilité de la mise à jour corrective. Le client doit veiller à que ses instances de rôle reçoivent des mises à jour ou puissent exposer leur application à des failles de sécurité.

Responsabilité : Partagé

5.3 : Déployer une solution de gestion automatisée des correctifs de logiciels tiers

Conseils : Utilisez une solution tierce de gestion des correctifs. Les clients qui utilisent déjà Configuration Manager dans leur environnement peuvent également tirer parti de l’éditeur de mise à jour de System Center, qui leur permet de publier des mises à jour personnalisées dans le service Windows Server Update.

Cela permet à la solution Update Management d’appliquer des correctifs aux machines qui utilisent Configuration Manager en tant que référentiel de mise à jour avec des logiciels tiers.

Responsabilité : Customer

5.5 : Utilisez un processus de classement des risques pour classer par ordre de priorité la correction des vulnérabilités découvertes.

Conseils : il est recommandé qu’un client comprenne l’étendue de son exposition à une attaque DDoS de manière continue.

Nous vous suggérons de considérer les scénarios suivants :

  • Quelles nouvelles ressources Azure disponibles publiquement doivent être protégées ?
  • Existe-t-il un point de défaillance unique dans le service ?
  • Comment faire pour isoler les services de manière à limiter l’impact d’une attaque tout en les rendant accessibles aux clients valides ?
  • Y a-t-il des réseaux virtuels dans lesquels le service DDoS Protection Standard n’est pas activé alors qu’il devrait l’être ?
  • Mes services sont-ils actifs/actifs avec basculement dans plusieurs régions ?

Documents associés :

Responsabilité : Customer

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Conseils : non applicable à l’offre Azure Cloud Services. Cette recommandation s’applique aux ressources de calcul IaaS.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Conseils : il est recommandé de rapprocher régulièrement l’inventaire et de veiller à ce que les ressources non autorisées soient supprimées de l’abonnement en temps utile.

Responsabilité : Customer

6.4 : Dresser et tenir un inventaire des ressources Azure approuvées

Conseils : Le client doit définir des ressources Azure et des logiciels approuvés pour les ressources de calcul.

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Conseils : Utilisez la fonctionnalité Contrôle d’application adaptatif, disponible dans Microsoft Defender pour le cloud. Il s’agit d’une solution de bout en bout intelligente et automatisée de Microsoft Defender pour le cloud permettant de contrôler les applications qui peuvent s’exécuter sur des ordinateurs Windows et Linux, Azure ou non. Elle permet également de renforcer vos ordinateurs contre les programmes malveillants.

Cette fonctionnalité est disponible pour les machines et les serveurs Azure et non-Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.

Microsoft Defender pour le cloud utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines et tire parti de ces informations pour créer une liste verte. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.

  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.

  • Empêcher l’exécution des applications obsolètes et non prises en charge.

  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.

  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

6.6 : Analyser les applications logicielles non approuvées dans des ressources de calcul

Conseils : Utilisez la fonctionnalité Contrôle d’application adaptatif, disponible dans Microsoft Defender pour le cloud. Il s’agit d’une solution de bout en bout intelligente et automatisée de Microsoft Defender pour le cloud permettant de contrôler les applications qui peuvent s’exécuter sur des ordinateurs Windows et Linux, Azure ou non. Elle permet également de renforcer vos ordinateurs contre les programmes malveillants.

Cette fonctionnalité est disponible pour les machines et les serveurs Azure et non-Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.

Microsoft Defender pour le cloud utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines et tire parti de ces informations pour créer une liste verte. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.

  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.

  • Empêcher l’exécution des applications obsolètes et non prises en charge.

  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.

  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

6.7 : Supprimer des ressources et applications logicielles Azure non approuvées

Conseils : Utilisez la fonctionnalité Contrôle d’application adaptatif, disponible dans Microsoft Defender pour le cloud. Il s’agit d’une solution de bout en bout intelligente et automatisée de Microsoft Defender pour le cloud permettant de contrôler les applications qui peuvent s’exécuter sur des ordinateurs Windows et Linux, Azure ou non. Elle permet également de renforcer vos ordinateurs contre les programmes malveillants.

Cette fonctionnalité est disponible pour les machines et les serveurs Azure et non-Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.

Microsoft Defender pour le cloud utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines et tire parti de ces informations pour créer une liste verte. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.

  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.

  • Empêcher l’exécution des applications obsolètes et non prises en charge.

  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.

  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

6.8 : Utiliser des applications approuvées uniquement

Conseils : Utilisez la fonctionnalité Contrôle d’application adaptatif, disponible dans Microsoft Defender pour le cloud. Il s’agit d’une solution de bout en bout intelligente et automatisée de Microsoft Defender pour le cloud permettant de contrôler les applications qui peuvent s’exécuter sur des ordinateurs Windows et Linux, Azure ou non. Elle permet également de renforcer vos ordinateurs contre les programmes malveillants.

Cette fonctionnalité est disponible pour les machines et les serveurs Azure et non-Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.

Microsoft Defender pour le cloud utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines et tire parti de ces informations pour créer une liste verte. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.

  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.

  • Empêcher l’exécution des applications obsolètes et non prises en charge.

  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.

  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

6.10 : Tenir un inventaire des titres de logiciels approuvés

Conseils : Utilisez la fonctionnalité Contrôle d’application adaptatif, disponible dans Microsoft Defender pour le cloud. Il s’agit d’une solution de bout en bout intelligente et automatisée de Microsoft Defender pour le cloud permettant de contrôler les applications qui peuvent s’exécuter sur des ordinateurs Windows et Linux, Azure ou non. Elle permet également de renforcer vos ordinateurs contre les programmes malveillants.

Cette fonctionnalité est disponible pour les machines et les serveurs Azure et non-Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.

Microsoft Defender pour le cloud utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines et tire parti de ces informations pour créer une liste verte. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.

  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.

  • Empêcher l’exécution des applications obsolètes et non prises en charge.

  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.

  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

6.12 : Limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul

Conseils : Utilisez la fonctionnalité Contrôle d’application adaptatif, disponible dans Microsoft Defender pour le cloud. Il s’agit d’une solution de bout en bout intelligente et automatisée de Microsoft Defender pour le cloud permettant de contrôler les applications qui peuvent s’exécuter sur des ordinateurs Windows et Linux, Azure ou non. Elle permet également de renforcer vos ordinateurs contre les programmes malveillants.

Cette fonctionnalité est disponible pour les machines et les serveurs Azure et non-Azure Windows (toutes versions, classique ou Azure Resource Manager), mais aussi Linux.

Microsoft Defender pour le cloud utilise le Machine Learning pour analyser les applications en cours d’exécution sur vos machines et tire parti de ces informations pour créer une liste verte. Cette fonctionnalité simplifie considérablement le processus de configuration et de gestion des stratégies de mise en liste verte des applications, ce qui vous permet d’effectuer les applications suivantes :

  • Bloquer ou vous alerter si une application malveillante tente de s’exécuter, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

  • Respecter la stratégie de sécurité de votre organisation qui autorise uniquement l’utilisation de certains logiciels licenciés.

  • Empêcher l’utilisation de logiciels indésirables sur votre environnement.

  • Empêcher l’exécution des applications obsolètes et non prises en charge.

  • Bloquer des outils logiciels spécifiques qui ne sont pas autorisés dans votre organisation.

  • Autoriser le service informatique à contrôler l’accès aux données sensibles en utilisant l’application.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

6.13 : Séparer physiquement ou logiquement des applications à risque élevé

Conseils : pour des applications sensibles ou à haut risque avec Azure Cloud Services, implémentez des abonnements ou des groupes d’administration séparés pour assurer l’isolation.

Utilisez un groupe de sécurité réseau, créez une règle de sécurité de trafic entrant, choisissez un service tel que http, choisissez également un port personnalisé, et attribuez-lui une priorité et un nom. La priorité affecte l’ordre dans lequel les règles sont appliquées : plus la valeur numérique est faible, plus tôt la règle est appliquée. Vous devrez associer votre groupe de sécurité réseau à un sous-réseau ou à une interface réseau spécifique pour isoler ou segmenter le trafic réseau en fonction de vos besoins métier.

Pour plus d’informations, consultez les liens référencés.

Responsabilité : Customer

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Conseils : Utilisez les recommandations de Microsoft Defender pour le cloud comme base de référence de configuration sécurisée pour vos ressources Azure Cloud Services.

Sur le portail Azure, choisissez Microsoft Defender pour le cloud, Calcul et applications, puis Azure Cloud Services pour voir les recommandations applicables à vos ressources de service.

Responsabilité : Customer

7.3 : Gérer les configurations de ressources Azure sécurisées

Conseils : non applicable à l’offre Azure Cloud Services. Cette recommandation est basée sur le modèle de déploiement classique. Nous vous recommandons d’utiliser une solution tierce pour gérer les configurations de ressources Azure sécurisées.

Responsabilité : Customer

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Conseils : le fichier de configuration du service cloud Azure stocke les attributs d’opération d’une ressource. Vous pouvez stocker une copie des fichiers de configuration dans un compte de stockage sécurisé.

Responsabilité : Customer

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Conseils : non applicable à l’offre Azure Cloud Services. Cette recommandation étant basée sur le modèle de déploiement classique, elle ne peut pas être gérée par les outils de configuration basés sur le déploiement d’Azure Resource Manager.

Responsabilité : Customer

7.8 : Déployer des outils de gestion de la configuration pour les systèmes d'exploitation

Conseils : non applicable à l’offre Azure Cloud Services. Cette recommandation s’applique aux ressources de calcul basées sur l’IaaS.

Responsabilité : Customer

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Conseils : Utilisez Microsoft Defender pour le cloud pour effectuer des analyses de base pour vos ressources Azure.

Responsabilité : Customer

7.10 : Implémenter la surveillance de la configuration automatique pour les systèmes d’exploitation

Conseils : Dans Microsoft Defender pour cloud, choisissez la fonctionnalité Compute & Apps et suivez les recommandations pour les machines virtuelles, les serveurs et les conteneurs.

Responsabilité : Customer

7.11 : Gérer les secrets Azure en toute sécurité

Conseils : l’offre Azure Cloud Services est basée sur un modèle de déploiement classique et ne s’intègre pas avec Azure Key Vault.

Vous pouvez sécuriser des secrets, telles les informations d’identification utilisées dans Azure Cloud Services, afin de ne pas avoir à taper un mot de passe à chaque fois. Pour commencer, spécifiez un mot de passe en texte brut, puis convertissez-le en chaîne sécurisée à l’aide de la cmdlet PowerShell ConvertTo-SecureString. Convertissez ensuite cette chaîne sécurisée en chaîne standard chiffrée à l’aide de la cmdlet ConvertFrom-SecureString. Vous pouvez maintenant enregistrer cette chaîne standard chiffrée dans un fichier à l’aide de la cmdlet Set-Content.

En outre, il est recommandé de stocker les clés privées des certificats utilisés dans Azure Cloud Services dans un stockage sécurisé.

Responsabilité : Customer

7.13 : Éliminer l’exposition involontaire des informations d’identification

Conseils : sécurisez des secrets, telles les informations d’identification utilisées dans Azure Cloud Services, afin de ne pas avoir à taper un mot de passe à chaque fois.

Pour commencer, spécifiez un mot de passe en texte brut, puis convertissez-le en chaîne sécurisée à l’aide de la cmdlet PowerShell ConvertTo-SecureString. Convertissez ensuite cette chaîne sécurisée en chaîne standard chiffrée à l’aide de la cmdlet ConvertFrom-SecureString. Enregistrez à présent cette chaîne standard chiffrée dans un fichier à l’aide de la cmdlet Set-Content.

Stockez les clés privées des certificats utilisés dans Azure Cloud Services dans un emplacement de stockage sécurisé.

Responsabilité : Customer

Défense contre les programmes malveillants

Pour plus d’informations, consultez Benchmark de sécurité Azure : Défense contre les programmes malveillants.

8.1 : Utiliser un logiciel anti-programme malveillant géré de manière centralisée

Conseils : Microsoft Antimalware pour Azure est disponible les offres Azure Cloud Services et Machines virtuelles. La solution offre une protection en temps réel gratuite qui permet d’identifier et de supprimer les virus, logiciels espions et autres logiciels malveillants. Il fournit des alertes lorsqu’un logiciel malveillant ou indésirable connu essaye de s’installer ou de s’exécuter sur vos systèmes Azure.

Utilisez la cmdlet Antimalware « Get-AzureServiceAntimalwareConfig » basée sur PowerShell pour obtenir la configuration du logiciel anti-programme malveillant.

Activez l’extension Antimalware avec un script PowerShell dans la tâche de démarrage dans Azure Cloud Services.

Choisissez la fonctionnalité de contrôle d’application adaptative dans Microsoft Defender pour le cloud, une solution de bout en bout intelligente et automatisée. Elle renforce la sécurité de vos machines contre les programmes malveillants, et vous permet de bloquer ou de signaler des tentatives d’exécution d’applications malveillantes, y compris celles pouvant être omises par les solutions de logiciels anti-programme malveillant.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Conseils : Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Aide : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

Marquez clairement les abonnements (par exemple, production, non-production) et créez un système de nommage pour identifier et classer les ressources Azure de façon claire.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Exécutez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes de façon régulière. Identifiez les points faibles et les lacunes, et révisez le plan en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Conseils : Les informations de contact d’incident de sécurité seront utilisées par Microsoft pour vous contacter si Microsoft Security Response Center (MSRC) découvre que les données du client ont été utilisées par un tiers illégal ou non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Conseils : Exportez les alertes et les recommandations de Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation continue. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Conseils : Utilisez la fonctionnalité d’automatisation des workflows dans Microsoft Defender pour le cloud pour déclencher automatiquement des réponses via « Logic Apps » sur les alertes et recommandations de sécurité.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes