Base de référence de sécurité Azure pour Event Grid

Cette base de référence de sécurité applique les instructions Azure Security Benchmark version 1.0 à Microsoft Azure Event Grid. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par Azure Security Benchmark et les instructions associées applicables à Azure Event Grid.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Event Grid, ou dont la responsabilité incombe à Microsoft, ont été exclus. Pour voir la correspondance complète entre Event Grid et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Event Grid.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.1 : Protéger les ressources Azure au sein des réseaux virtuels

Aide : Vous pouvez utiliser des points de terminaison privés pour autoriser l’entrée sécurisée d’événements directement à partir de votre réseau virtuel vers vos rubriques et domaines Event Grid via une liaison privée, sans passer par le réseau Internet public. Lorsque vous créez un point de terminaison privé pour votre rubrique ou domaine Event Grid, il offre une connectivité sécurisée entre les clients sur votre réseau virtuel et votre ressource Event Grid. Une adresse IP est attribuée au point de terminaison privé à partir de la plage d’adresses IP de votre réseau virtuel. La connexion entre le point de terminaison privé et le service Event Grid utilise une liaison privée.

Azure Event Grid prend également en charge les contrôles d’accès basés sur l’adresse IP publique pour la publication sur des rubriques et des domaines. Les contrôles basés sur IP vous permettent de limiter les serveurs de publication à une rubrique ou un domaine sur un ensemble d’ordinateurs et de services cloud approuvés. Cette fonctionnalité complète les mécanismes d’authentification pris en charge par Event Grid.

Responsabilité : Customer

1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des cartes réseau

Conseil : Utilisez Microsoft Defender pour le cloud et suivez les recommandations de protection du réseau afin de sécuriser vos ressources Event Grid dans Azure. Si vous utilisez

des machines virtuelles Azure pour accéder à vos ressources Event Grid, activez les journaux de flux de groupe de sécurité réseau (NSG) et envoyez les journaux vers un compte de stockage pour auditer le trafic.

Responsabilité : Customer

1.3 : Protéger les applications web critiques

Conseils : Non applicable. Cette recommandation a trait aux applications web s’exécutant sur Azure App Service ou des ressources de calcul.

Responsabilité : Non applicable

1.4 : Refuser les communications présentant des adresses IP connues comme étant malveillantes

Aide : Vous pouvez configurer le pare-feu IP de votre ressource Event Grid pour limiter l’accès au réseau Internet public à un ensemble spécifique d’adresses IP ou de plages d’adresses IP.

Vous pouvez configurer des points de terminaison privés pour limiter l’accès exclusivement aux réseaux virtuels sélectionnés.

Activez le standard de protection DDoS sur les réseaux virtuels pour vous protéger des attaques par déni de service distribué (DDoS). Utilisez le renseignement sur les menaces intégré à Microsoft Defender pour le cloud afin de refuser les communications avec des adresses IP Internet connues comme étant malveillantes ou inutilisées. Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

1.5 : Enregistrer les paquets réseau

Aide : Si vous utilisez des machines virtuelles Azure pour accéder à vos ressources Event Grid, activez les journaux de flux de groupe de sécurité réseau (NSG) et envoyez les journaux vers un compte de stockage pour auditer le trafic. Vous pouvez aussi envoyer ces journaux vers un espace de travail Log Analytics et utiliser Traffic Analytics pour fournir des insights sur le flux de trafic dans votre cloud Azure. Parmi les avantages de Traffic Analytics figure la possibilité de visualiser l’activité réseau et d’identifier les zones réactives, d’identifier les menaces de sécurité, de comprendre les modèles de flux de trafic et de repérer les mauvaises configurations du réseau.

Notez que les stratégies réseau sont désactivées par défaut lors de la création de points de terminaison privés pour Event Grid, de sorte que le flux de travail ci-dessus peut ne pas fonctionner.

Si cela s’avère nécessaire pour analyser une activité anormale, activez la capture de paquets Network Watcher.

Responsabilité : Customer

1.6 : Déployer des systèmes de détection et de prévention des intrusions basés sur le réseau (IDS/IPS)

Aide : Sélectionnez une offre de la place de marché Azure qui prend en charge les fonctionnalités IDS/IPS avec des fonctionnalités d’inspection de charge utile. Lorsque l’inspection de la charge utile n’est pas obligatoire, vous pouvez utiliser le renseignement sur les menaces du Pare-feu Azure. Le filtrage basé sur le renseignement sur les menaces du Pare-feu Azure génère des alertes et bloque le trafic en provenance ou à destination d’adresses IP et de domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence.

Déployez la solution de pare-feu de votre choix dans les limites réseau de votre organisation pour détecter et/ou bloquer le trafic malveillant.

Responsabilité : Customer

1.7 : Gérer le trafic à destination des applications web

Conseils : Non applicable. Cette recommandation a trait aux applications web s’exécutant sur Azure App Service ou des ressources de calcul.

Responsabilité : Non applicable

1.8 : Réduire la complexité et les frais administratifs liés aux règles de sécurité réseau

Aide : Pour les ressources figurant dans les réseaux virtuels qui doivent accéder à vos ressources Azure Event Grid, utilisez des étiquettes de service de réseau virtuel afin de définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou le Pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service (par exemple, AzureEventGrid) dans le champ Source ou Destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

1.9 : Gérer les configurations de sécurité standard pour les périphériques réseau

Aide : Définissez et implémentez des configurations de sécurité standard pour les ressources réseau associées à vos espaces de noms Azure Event Grid à l’aide d’Azure Policy. Utilisez des alias Azure Policy dans les espaces de noms « Microsoft.EventGrid » et « Microsoft.Network » pour créer des stratégies personnalisées d’audit ou d’application de la configuration réseau de vos ressources Event Grid.

Vous pouvez également utiliser des définitions de stratégie intégrée en lien avec Azure Event Grid, par exemple :

Responsabilité : Customer

1.10 : Règles de configuration du trafic de documents

Aide : Utilisez des étiquettes pour les ressources réseau associées à vos ressources Azure Event Grid afin de les organiser logiquement dans une taxonomie.

Responsabilité : Customer

1.11 : Utiliser des outils automatisés pour superviser les configurations des ressources réseau et détecter les modifications

Aide : Utilisez le journal d’activité Azure pour superviser les configurations des ressources réseau et détecter les changements des ressources réseau associées à Azure Event Grid. Créez des alertes dans Azure Monitor, qui se déclenchent lors de la modification de ressources réseau critiques.

Responsabilité : Customer

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.2 : Configurer la gestion des journaux de sécurité centrale

Aide : Ingérez les journaux via Azure Monitor pour agréger les données de sécurité générées par Azure Event Grid. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, puis utilisez les comptes de stockage pour le stockage à long terme/d’archivage. Vous pouvez également activer et intégrer des données dans Microsoft Sentinel ou une solution SIEM (Security Information and Event Management) tierce.

Responsabilité : Customer

2.3 : Activer la journalisation d’audit pour les ressources Azure

Conseils : Les paramètres de diagnostic permettent aux utilisateurs d’Event Grid de capturer et d’afficher les journaux des échecs de publication et de remise dans un compte de stockage, un hub d’événement ou un espace de travail Log Analytics.

Responsabilité : Customer

2.4 : Collecter les journaux de sécurité des systèmes d’exploitation

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

2.5 : Configurer la conservation du stockage des journaux de sécurité

Conseils : Dans Azure Monitor, définissez la période de conservation des journaux pour les espaces de travail Log Analytics associés à vos ressources Azure Event Grid conformément aux règles de conformité de votre organisation.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Aide : Analysez et supervisez les journaux afin de détecter tout comportement anormal, et examinez régulièrement les résultats fournis par Azure Event Grid. Utilisez Azure Monitor et un espace de travail Log Analytics pour examiner les journaux et effectuer des requêtes sur leurs données.

Vous pouvez également activer et intégrer les données dans Microsoft Sentinel ou une solution SIEM tierce.

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Aide : Activez les paramètres de diagnostic sur votre grille d’événement pour accéder aux journaux des échecs de publication et de remise. Les journaux d’activité, automatiquement disponibles, incluent la source de l’événement, la date, l’utilisateur, l’horodatage, les adresses sources, les adresses de destination et d’autres éléments utiles. Vous pouvez envoyer les journaux vers un espace de travail Log Analytics. Utilisez Microsoft Defender pour le cloud avec Log Analytics à des fins de monitoring et d’alerte si des activités anormales sont détectées dans les journaux de sécurité et les événements.

Vous pouvez également créer des alertes sur les métriques Azure Event Grid et les opérations du journal d’activité. Vous pouvez créer des alertes sur les mesures de publication et de livraison pour les ressources Azure Event Grid (rubriques et domaines).

En outre, vous pouvez intégrer votre espace de travail Log Analytics à Microsoft Sentinel, car cela fournit une solution de réponse automatisée d’orchestration de sécurité (solution SOAR). Cela permet de créer des playbooks (solutions automatisées) utilisables pour corriger des problèmes de sécurité.

Responsabilité : Customer

2.8 : Centraliser la journalisation anti-programme malveillant

Aide : non applicable. Azure Event Grid ne traite et ne produit pas de journaux liés aux logiciels anti-programmes malveillants.

Responsabilité : Non applicable

2.9 : Activer la journalisation des requêtes DNS

Conseils : non applicable. Azure Event Grid ne traite et ne produit pas de journaux liés à DNS.

Responsabilité : Non applicable

2.10 : Activer l’enregistrement d’audit en ligne de commande

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Aide : Azure Event Grid vous permet de contrôler le niveau d’accès offert aux utilisateurs, leur permettant d’effectuer différentes opérations de gestion telles que répertorier et créer des abonnements aux événements et générer des clés. Event Grid utilise le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Event Grid prend en charge les rôles intégrés ainsi que les rôles personnalisés.

Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet de gérer l’accès aux ressources Azure par le biais d’attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs, regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels que Azure CLI, Azure PowerShell ou le Portail Azure.

Responsabilité : Customer

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Conseil : la gestion de l’accès aux ressources Event Grid est contrôlée via Azure Active Directory (Azure AD). Azure AD n’intègre pas le concept des mots de passe par défaut.

Responsabilité : Customer

3.3 : Utiliser des comptes d’administration dédiés

Conseils : Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés.

Vous pouvez également activer un accès Just-In-Time via Azure Active Directory (Azure AD) Privileged Identity Management et Azure Resource Manager.

Event Grid peut activer une identité de service managé pour des rubriques ou des domaines de grille d’événement Azure, et utiliser cette identité pour transférer des événements vers des destinations prises en charge, comme les files d’attente et les rubriques Service Bus, les hubs d’événements et les comptes de stockage. Le jeton de signature d’accès partagé (SAS) est utilisé pour la publication d’événements dans Azure Event Grid. Créez une procédure d’exploitation standard pour l’accès aux événements, le transfert et la publication avec ces comptes.

Responsabilité : Customer

3.4 : Utiliser l’authentification unique (SSO) avec Azure Active Directory

Aide : non applicable. Le service Event Grid ne prend pas en charge l’authentification unique.

Responsabilité : Non applicable

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Conseil : non applicable. Le service Event Grid n’utilise pas l’authentification multifacteur.

Responsabilité : Non applicable

3.6 : Utiliser des ordinateurs dédiés (stations de travail avec accès privilégié) pour toutes les tâches administratives

Aide : non applicable. Aucun scénario Event Grid ne nécessite de stations de travail à accès privilégié.

Responsabilité : Non applicable

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Conseils : Utilisez les rapports de sécurité Azure Active Directory (Azure AD) et la supervision pour détecter les activités suspectes ou potentiellement dangereuses qui se produisent dans l’environnement. Utilisez Microsoft Defender pour le cloud afin de monitorer l’activité des identités et des accès.

Responsabilité : Customer

3.8 : Gérer les ressources Azure uniquement à partir d’emplacements approuvés

Aide : Non applicable. Event Grid n’utilise pas Azure Active Directory (Azure AD) pour l’authentification des clients de publication d’événements. Il prend en charge l’authentification via les clés SAS.

Responsabilité : Customer

3.9 : Utiliser Azure Active Directory

Aide : Utiliser Azure Active Directory (Azure AD) comme système d’authentification et d’autorisation central. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur.

Event Grid peut activer une identité de service managé pour des rubriques ou des domaines de grille d’événement Azure, et utiliser cette identité pour transférer des événements vers des destinations prises en charge, comme les files d’attente et les rubriques Service Bus, les hubs d’événements et les comptes de stockage. Le jeton de signature d’accès partagé (SAS) est utilisé pour la publication d’événements dans Azure Event Grid.

Responsabilité : Customer

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Aide : Azure Active Directory (Azure AD) fournit des journaux pour vous aider à découvrir les comptes obsolètes. Par ailleurs, utilisez les révisions d’accès et des identités Azure AD pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seuls les utilisateurs appropriés continuent de bénéficier d’un accès.

Utilisez Azure AD Privileged Identity Management (PIM) pour générer des journaux et des alertes quand des activités suspectes ou potentiellement dangereuses se produisent dans l’environnement.

Responsabilité : Customer

3.11 : Superviser les tentatives d’accès à des informations d’identification désactivées

Conseil : vous avez accès aux sources des journaux Activité de connexion, Audit et Événement à risque Azure Active Directory (Azure AD), qui permettent l’intégration à n’importe quel outil SIEM/de supervision.

Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure AD et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Vous pouvez configurer les alertes souhaitées dans un espace de travail Log Analytics.

Responsabilité : Customer

3.12 : Alerte en cas d’écart de comportement de connexion à un compte

Aide : Utilisez les fonctionnalités d’Azure Active Directory (Azure AD) Identity Protection pour configurer des réponses automatisées aux actions suspectes détectées, liées aux identités d’utilisateur. Vous pouvez également ingérer des données dans Microsoft Sentinel pour approfondir vos recherches.

Responsabilité : Customer

3.13 : Fournir à Microsoft un accès aux données client pertinentes pendant les scénarios de support

Conseils : non applicable. Le service Event Grid ne prend actuellement pas en charge Customer Lockbox.

Responsabilité : Non applicable

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

4.1 : Conserver un inventaire des informations sensibles

Conseils : Utilisez des étiquettes pour faciliter le suivi des ressources Azure qui stockent ou traitent des informations sensibles.

Responsabilité : Customer

4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles

Aide : Implémentez une isolation en utilisant des abonnements et groupes d’administration distincts selon les domaines de sécurité (par exemple, le type d’environnement et le niveau de confidentialité des données). Vous pouvez limiter le niveau d’accès à vos ressources Azure demandées par vos applications et environnements d’entreprise. Vous pouvez contrôler l’accès aux ressources Azure via Azure RBAC.

Responsabilité : Customer

4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles

Aide : Pour la plateforme sous-jacente qui est gérée par Microsoft, Microsoft traite tout le contenu client comme sensible et déploie d'importants efforts pour vous protéger contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Partagé

4.4 : Chiffrer toutes les informations sensibles en transit

Aide : Azure Event Grid requiert le protocole HTTPS pour la publication et prend en charge HTTPS pour remettre des événements à un point de terminaison webhook. Dans Azure global, Event Grid prend en charge les versions 1.1 et 1.2 de TLS, mais nous vous recommandons vivement d’utiliser la version 1.2. Dans les clouds nationaux tels qu’Azure Government et Azure géré par 21Vianet en Chine, Event Grid ne prend en charge que la version 1.2 de TLS.

Responsabilité : Customer

4.5 : Utiliser un outil de découverte actif pour identifier les données sensibles

Aide : Les fonctionnalités d’identification des données, de classification des données et de protection contre la perte de données ne sont pas encore disponibles pour Azure Event Grid. Implémentez une solution tierce si nécessaire à des fins de conformité.

Pour la plateforme sous-jacente qui est gérée par Microsoft, Microsoft traite tout le contenu client comme sensible et déploie d'importants efforts pour vous protéger contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Customer

4.6 : Utiliser Azure RBAC pour contrôler l’accès aux ressources

Conseil : Azure Event Grid prend en charge l’utilisation d’Azure Active Directory (Azure AD) pour autoriser les requêtes de ressources Event Grid. Azure AD vous permet d’utiliser le contrôle d’accès en fonction du rôle (Azure RBAC) pour accorder des autorisations à un principal de sécurité, qui peut être un utilisateur ou un principal de service d’application.

Responsabilité : Customer

4.9 : Consigner et alerter les modifications apportées aux ressources Azure critiques

Aide : Utilisez Azure Monitor avec le journal d’activité Azure pour créer des alertes en cas de modifications sur des instances de production de ressources Azure Event Grid et d’autres ressources critiques ou associées.

Responsabilité : Customer

Gestion des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des vulnérabilités.

5.3 : Déployer une solution de gestion automatisée des correctifs de logiciels tiers

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

5.4 : Comparer les analyses de vulnérabilités dos à dos

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

5.5 : Utilisez un processus de classement des risques pour classer par ordre de priorité la correction des vulnérabilités découvertes.

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

6.2 : Gérer les métadonnées de ressources

Conseils : Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Aide : Le cas échéant, utilisez des étiquettes, des groupes d’administration et des abonnements séparés pour organiser et suivre les ressources. Rapprochez régulièrement l’inventaire et assurez-vous que les ressources non autorisées sont supprimées de l’abonnement en temps utile.

Responsabilité : Customer

6.4 : Dresser et tenir un inventaire des ressources Azure approuvées

Conseils : Créez un inventaire des ressources Azure et logiciels approuvés pour les ressources de calcul en fonction des besoins de votre organisation.

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Conseils : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant Azure Policy avec les définitions intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Utilisez également Azure Resource Graph pour interroger/découvrir des ressources dans les abonnements.

Responsabilité : Customer

6.6 : Analyser les applications logicielles non approuvées dans des ressources de calcul

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

6.7 : Supprimer des ressources et applications logicielles Azure non approuvées

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

6.8 : Utiliser des applications approuvées uniquement

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

6.9 : Utiliser des services Azure approuvés uniquement

Conseils : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant Azure Policy avec les définitions intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Utilisez également Azure Resource Graph pour interroger/découvrir des ressources dans les abonnements.

Responsabilité : Customer

6.10 : Tenir un inventaire des titres de logiciels approuvés

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

6.11 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Conseil : utilisez l’accès conditionnel Azure Active Directory (Azure AD) pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

6.12 : Limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Non applicable

6.13 : Séparer physiquement ou logiquement des applications à risque élevé

Conseils : Non applicable. Cette recommandation a trait aux applications web s’exécutant sur Azure App Service ou des ressources de calcul.

Responsabilité : Non applicable

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Aide : Définissez et implémentez des configurations de sécurité standard pour votre service Azure Event Grid avec Azure Policy. Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.EventGrid » pour créer des stratégies personnalisées d’audit ou d’application de la configuration de vos services Azure Event Grid.

Azure Resource Manager a la possibilité d’exporter le modèle au format JSON (JavaScript Object Notation), qui doit être examiné pour vérifier que les configurations répondent aux exigences de sécurité de votre organisation avant les déploiements.

Responsabilité : Customer

7.2 : Établir des configurations sécurisées du système d’exploitation

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

7.3 : Gérer les configurations de ressources Azure sécurisées

Aide : Utilisez les stratégies Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer des paramètres sécurisés à vos ressources Azure. En outre, vous pouvez utiliser des modèles Azure Resource Manager pour appliquer la configuration de sécurité des ressources Azure requise par votre organisation.

Responsabilité : Customer

7.4 : Préserver la sécurité des configurations du système d'exploitation

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Aide : Si vous utilisez des définitions Azure Policy personnalisées pour vos ressources Event Grid ou associées, utilisez Azure Repos pour stocker et gérer votre code de manière sécurisée.

Responsabilité : Customer

7.6 Stocker en toute sécurité des images de système d’exploitation personnalisées

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Conseils : Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.EventGrid » pour créer des stratégies personnalisées d’alerte, d’audit ou d’application de configurations système. En outre, développez un processus et un pipeline pour la gestion des exceptions de stratégie.

Responsabilité : Customer

7.8 : Déployer des outils de gestion de la configuration pour les systèmes d'exploitation

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Conseil : Utilisez Microsoft Defender pour le cloud pour effectuer des analyses de référence pour vos ressources Azure. En outre, utilisez Azure Policy pour alerter et auditer les configurations des ressources Azure.

Responsabilité : Customer

7.10 : Implémenter la surveillance de la configuration automatique pour les systèmes d’exploitation

Aide : Non applicable. Ces conseils concernent les ressources de calcul.

Responsabilité : Non applicable

7.11 : Gérer les secrets Azure en toute sécurité

Conseils : Event Grid utilise un jeton de signature d’accès partagé (SAS) pour publier des événements dans des rubriques ou des domaines Event Grid. Génération de jetons SAS avec unique accès aux ressources nécessaires dans une fenêtre de temps limitée.

Utilisez les identités managées conjointement avec Azure Key Vault afin de simplifier la gestion des secrets pour vos applications cloud.

Responsabilité : Customer

7.12 : Gérer les identités de façon sécurisée et automatique

Conseils : Event Grid peut activer une identité de service managé pour des rubriques ou des domaines Azure Event Grid. Utilisez-le pour transférer des événements vers des destinations prises en charge, telles que des files d’attente et rubriques Service Bus, des concentrateurs d’événements et des comptes de stockage.

Responsabilité : Customer

7.13 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Exécuter le moteur d’analyse des informations d’identification pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Responsabilité : Customer

Défense contre les programmes malveillants

Pour plus d’informations, consultez Benchmark de sécurité Azure : Défense contre les programmes malveillants.

8.2 : Pré-analyser les fichiers à charger sur des ressources Azure non liées au calcul

Conseils : Microsoft Antimalware est activé sur l’hôte sous-jacent qui prend en charge les services Azure (par exemple, Azure Event Grid), mais il ne s’exécute pas sur du contenu client.

Il vous incombe de pré-analyser tout contenu chargé vers des ressources Azure autres que de calcul. Microsoft ne peut pas accéder aux données client et ne peut donc pas effectuer d’analyses anti-programme malveillant du contenu client en votre nom.

Responsabilité : Customer

Récupération des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : récupération de données.

9.1 : garantir des sauvegardes automatisées régulières

Aide : Event Grid inclut la géoreprise d’activité après sinistre (GeoDR) automatique des métadonnées pour tous les domaines, rubriques et abonnements aux événements existants, pas seulement les nouveaux. Si une région Azure entière tombe en panne, Event Grid disposera déjà de toutes vos métadonnées d’infrastructure liées aux événements synchronisées avec une région jumelée.

Responsabilité : Customer

9.2 : Effectuer des sauvegardes complètes du système et sauvegarder les clés gérées par le client

Aide : Event Grid inclut la géoreprise d’activité après sinistre (GeoDR) automatique des métadonnées pour tous les domaines, rubriques et abonnements aux événements existants, pas seulement les nouveaux. Si une région Azure entière tombe en panne, Event Grid disposera déjà de toutes vos métadonnées d’infrastructure liées aux événements synchronisées avec une région jumelée.

Actuellement, Event Grid ne prend pas en charge les clés gérées par le client.

Responsabilité : Customer

9.3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Event Grid inclut la géoreprise d’activité après sinistre (GeoDR) automatique des métadonnées pour tous les domaines, rubriques et abonnements aux événements existants, pas seulement les nouveaux. Si une région Azure entière tombe en panne, Event Grid disposera déjà de toutes vos métadonnées d’infrastructure liées aux événements synchronisées avec une région jumelée.

Actuellement, Event Grid ne prend pas en charge les clés gérées par le client.

Responsabilité : Customer

9.4 : Garantir la protection des sauvegardes et des clés gérées par le client

Aide : Activez la suppression réversible et la protection contre la purge dans Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Actuellement, Event Grid ne prend pas en charge les clés gérées par le client.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Aide : Développez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Conseil : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

En outre, marquez les abonnements à l’aide d’étiquettes et créez un système de nommage pour identifier et classer les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser le traitement des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Effectuez des exercices pour tester les capacités de réponse aux incidents de vos systèmes à intervalles réguliers, afin de protéger vos ressources Azure. Identifiez les points faibles et les lacunes, puis révisez votre plan de réponse en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Instructions : Microsoft utilisera les informations de contact pour le signalement d’incidents de sécurité pour vous contacter si le Microsoft Security Response Center (MSRC) découvre que vos données ont été consultées de manière illégale ou par un tiers non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Aide : exportez vos alertes et recommandations Microsoft Defender pour le cloud à l’aide de la fonctionnalité Exportation continue. Cela vous aide à identifier les risques pesant sur les ressources Azure. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Aide : utilisez la fonctionnalité d’automatisation de workflow de Microsoft Defender pour le cloud afin de déclencher automatiquement des réponses aux alertes et aux recommandations de sécurité pour protéger vos ressources Azure.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes