Base de référence de sécurité Azure pour Azure HPC Cache

Cette base de référence de sécurité applique les conseils duBenchmark de sécurité Azure version 2.0 à Microsoft Azure HPC Cache. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure HPC Cache.

Lorsqu’une fonctionnalité a des Azure Policy définitions pertinentes répertoriées dans cette base de référence, pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure HPC Cache, et ceux pour lesquels l’aide globale est recommandée textuellement, ont été exclus. Pour voir la correspondance complète entre Azure HPC Cache et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Azure HPC Cache.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : Lorsque vous déployez des ressources Azure HPC Cache, vous devez créer ou utiliser un réseau virtuel existant.

Vérifiez que tous les réseaux virtuels Azure suivent un principe de segmentation d’entreprise qui s’aligne sur les risques métier. Tout système qui peut entraîner des risques plus élevés pour l’organisation doit être isolé sur son propre réseau virtuel et être suffisamment sécurisé à l’aide d’un groupe de sécurité réseau (NSG) et/ou du Pare-feu Azure.

Avant de pouvoir utiliser votre cache, vous devez configurer deux prérequis liés au réseau :

  • Un sous-réseau dédié pour l’instance Azure HPC Cache

  • La prise en charge du DNS afin que le cache puisse accéder au stockage et aux autres ressources

Azure HPC Cache a besoin d’un sous-réseau dédié avec les qualités suivantes :

  • Le sous-réseau doit disposer d’au moins 64 adresses IP.

  • La communication à l’intérieur du sous-réseau doit être illimitée. Si vous utilisez un groupe de sécurité réseau pour le sous-réseau de cache, assurez-vous qu’il autorise tous les services entre les adresses IP internes.

  • Le sous-réseau ne peut pas héberger d’autres machines virtuelles, même pour les services associés tels que les ordinateurs clients.

  • Si vous utilisez plusieurs instances Azure HPC Cache, chacune d’elles doit avoir son propre sous-réseau.

La méthode recommandée consiste à créer un nouveau sous-réseau pour chaque cache. Vous pouvez créer un réseau virtuel et un sous-réseau dans le cadre de la création du cache.

Pour utiliser Azure HPC Cache avec un stockage NAS local, vous devez vous assurer que certains ports du réseau local autorisent un trafic illimité depuis le sous-réseau d’Azure HPC Cache.

Comment créer un groupe de sécurité réseau avec des règles de sécurité : /azure/virtual-network/tutorial-filter-network-traffic

Comment déployer et configurer le Pare-feu Azure : /azure/firewall/tutorial-firewall-deploy-portal

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Conseils : Azure ExpressRoute ou le réseau privé virtuel (VPN) Azure permettent de créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne transitent pas par l’Internet public et offrent davantage de fiabilité, des vitesses supérieures et des latences inférieures par rapport aux connexions Internet classiques. Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et d’Azure ExpressRoute.

Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.

Les ressources HPC Cache sont connectées uniquement à votre réseau virtuel Azure et ne sont pas accessibles à partir des réseaux internes de production d’Azure. Par conséquent, vous pouvez accéder au service HPC Cache directement à partir de votre réseau virtuel, à partir de réseaux virtuels appairés ou à partir d’un emplacement local via une passerelle Réseau virtuel (ExpressRoute ou passerelle VPN.) L’accès aux ressources de calcul HPC Cache n’est autorisé que par le personnel de service/ingénierie autorisé nécessitant un accès JIT audité.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Conseils : Utilisez des points de terminaison de service de réseau virtuel Azure pour fournir un accès sécurisé à Azure HPC Cache. Les points de terminaison de service constituent un itinéraire optimisé sur le réseau principal Azure sans traverser Internet.

Azure HPC Cache ne prend pas en charge l’utilisation d’Azure Private Link pour sécuriser ses points de terminaison de gestion sur un réseau privé.

L’accès privé est une mesure de défense renforcée supplémentaire en plus de la sécurité de l’authentification et du trafic proposée par les services Azure.

Responsabilité : Customer

NS-4 : Protégez les applications et les services contre les attaques réseau externes

Conseils : Protégez vos ressources Azure HPC Cache des attaques de réseaux externes, notamment les attaques par déni de service distribué (DDoS), les attaques spécifiques aux applications et le trafic Internet non sollicité et potentiellement malveillant.

Pour cette protection, Azure intègre des capacités natives :

  • Utilisez le Pare-feu Azure pour protéger les applications et les services contre le trafic potentiellement malveillant provenant d’Internet et d’autres emplacements externes.
  • Protégez vos ressources contre les attaques DDoS en activant la protection DDoS Standard sur vos réseaux virtuels Azure.
  • Utilisez Microsoft Defender pour le cloud afin de détecter les risques de configuration incorrecte dans vos ressources réseau.

Azure HPC Cache n’est pas destiné à exécuter des applications web et ne nécessite pas de configuration de paramètres supplémentaires ni de déploiement de services réseau supplémentaires pour le protéger des attaques de réseau externe qui ciblent les applications web.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseils : Non applicable ; cette recommandation est destinée à des offres qui peuvent être déployées dans des réseaux virtuels Azure ou qui ont la capacité de définir des regroupements de plages d’adresses IP autorisées pour une gestion efficace. Azure HPC Cache ne prend pas actuellement en charge les étiquettes de service.

La méthode recommandée consiste à créer un nouveau sous-réseau pour chaque cache. Vous pouvez créer un réseau virtuel et un sous-réseau dans le cadre de la création du cache.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseils : Suivez les meilleures pratiques concernant la sécurité DNS afin d’atténuer les attaques courantes comme les entrées DNS non résolues, les attaques d’amplifications DNS, l’empoisonnement et l’usurpation d’identité DNS, entre autres.

Azure HPC Cache a besoin d’un accès DNS pour accéder aux ressources situées en dehors du réseau virtuel privé du cache. Si votre workflow comprend des ressources externes à Azure, vous devez configurer et sécuriser votre propre serveur DNS en plus d’utiliser Azure DNS.

  • Pour accéder aux points de terminaison Stockage Blob Azure, aux ordinateurs client basés sur Azure ou à d’autres ressources Azure, utilisez Azure DNS.
  • Pour accéder au stockage local ou pour vous connecter au cache à partir de clients externes à Azure, vous devez créer un serveur DNS personnalisé qui peut résoudre ces noms d’hôte.
  • Si votre workflow comprend des ressources internes et externes, configurez votre serveur DNS personnalisé pour qu’il transfère les demandes de résolution spécifiques à Azure vers le serveur Azure DNS.

Quand Azure DNS est utilisé comme votre service DNS faisant autorité, vérifiez que les zones et les enregistrements DNS sont protégés contre toute modification accidentelle ou malveillante en utilisant Azure RBAC et des verrous de ressources.

Si vous configurez votre propre serveur DNS, veillez à suivre les instructions de sécurité suivantes :

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Azure HPC Cache n’est pas intégré à Azure Active Directory pour les opérations internes. Toutefois, Azure AD peut être utilisé pour authentifier les utilisateurs dans le portail Azure ou l’interface CLI afin de créer, d’afficher et de gérer les déploiements d’Azure HPC Cache et les composants connexes.

Azure Active Directory (Azure AD) est le service par défaut de gestion des identités et des accès dans Azure. Vous devez normaliser Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.

  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d'identité sécurisée pour vous aider à évaluer la sécurité des identités par rapport aux recommandations de Microsoft en matière de meilleures pratiques. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge l’identité externe, ce qui permet aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseils : Azure HPC Cache utilise des identités managées Azure pour les comptes non humains tels que les services ou l’automatisation. Il est recommandé de recourir à la fonctionnalité d’identité managée Azure plutôt que de créer un compte humain plus puissant pour accéder aux ressources ou les exécuter.

Azure HPC Cache peut s’authentifier en mode natif auprès des services/ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD) par le biais de règles prédéfinies d’octroi d’accès. Cela évite d’avoir à utiliser des informations d’identification codées en dur dans le code source ou les fichiers config.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Azure HPC Cache ne s’intègre pas à Azure Active Directory (Azure AD) pour les opérations internes. Toutefois, Azure AD peut être utilisé pour authentifier les utilisateurs dans le portail Azure ou l’interface CLI afin de créer, d’afficher et de gérer les déploiements d’Azure HPC Cache et les composants connexes.

Azure AD fournit la gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. Cela inclut les identités d’entreprise, comme les employés, ainsi que les identités externes, comme les partenaires et les fournisseurs. Cela permet à l’authentification unique de gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez l’ensemble de vos utilisateurs, applications et appareils à Azure AD pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Examinez régulièrement les comptes d’utilisateur et l’attribution des accès pour veiller à ce que les comptes et leur niveau d’accès soient valides.

Azure HPC Cache peut utiliser des comptes Azure Active Directory (Azure AD) pour gérer l’accès utilisateur via le portail Azure et les interfaces connexes. Azure AD propose des révisions d’accès qui vous aident à réviser les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

En outre, Azure Privileged Identity Management peut être configuré pour alerter en cas de création d’un nombre excessif de comptes d’administrateur et pour identifier les comptes d’administrateur obsolètes ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et des rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Vous devrez gérer ces utilisateurs séparément.

Lorsque vous utilisez des cibles de stockage NFS, vous devez collaborer avec les administrateurs réseau et les gestionnaires de pare-feu pour vérifier les paramètres d’accès et vous assurer qu’Azure HPC cache pourra communiquer avec les systèmes de stockage NFS.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure HPC Cache est intégré au contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs, regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels que Azure CLI, Azure PowerShell ou le Portail Azure.

Les privilèges que vous attribués aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Cette stratégie complète l’approche juste-à-temps (JIT, Just In Time) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) et doit être révisée régulièrement.

Utilisez des rôles intégrés pour allouer les autorisations et créez un rôle personnalisé uniquement lorsque cela est nécessaire.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-1 : Découvrir, classer et étiqueter des données sensibles

Conseils : Azure HPC Cache gère les données sensibles, mais n’a pas la capacité de les détecter, de les classer et de les étiqueter.

Responsabilité : Partagé

DP-2 : Protection des données sensibles

Conseils : Protégez les données sensibles en limitant l’accès avec le contrôle d’accès en fonction du rôle Azure (Azure RBAC), des contrôles d’accès basés sur le réseau et des contrôles spécifiques dans les services Azure (comme le chiffrement dans les bases de données SQL et autres).

Pour assurer un contrôle d’accès cohérent, tous les types de contrôle d’accès doivent être alignés sur la stratégie de segmentation de votre entreprise. La stratégie de segmentation de l’entreprise doit aussi être informée de l’emplacement des systèmes et données sensibles ou vitaux de l’entreprise.

Pour la plateforme sous-jacente gérée par Microsoft, Microsoft traite tout le contenu client en tant que contenu sensible, et assure une protection contre la perte et l’exposition des données client. Pour assurer la sécurité des données des clients dans Azure, Microsoft a implémenté certains contrôles et fonctionnalités de protection des données par défaut.

Responsabilité : Partagé

DP-3 : Détection des transferts non autorisés de données sensibles

Conseils : Azure HPC Cache transmet des données sensibles, mais ne permet pas de surveiller le transfert non autorisé de données sensibles.

Responsabilité : Partagé

DP-4 : Chiffrement des informations sensibles en transit

Conseils : Azure HPC Cache prend en charge le chiffrement des données en transit avec TLS 1.2 ou version ultérieure.

C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, vérifiez que les clients se connectant à vos ressources Azure peuvent négocier TLS v1.2 ou une version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Les versions et protocoles SSL, TLS et SSH rendus obsolètes et les chiffrements faibles doivent être désactivés.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseils : En complément des contrôles d’accès, les données au repos doivent être protégées contre les attaques « hors bande » (par exemple, l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela vise à empêcher que les attaquants puissent facilement lire ou modifier les données.

Azure assure par défaut un chiffrement des données au repos. Pour les données hautement sensibles, vous avez le choix entre plusieurs options pour implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut, mais met à votre disposition des options pour gérer vos propres clés (clés gérées par le client) pour certains services Azure.

Toutes les données stockées dans Azure, y compris sur les caches de disque, sont chiffrées au repos à l’aide de clés gérées par Microsoft par défaut. Vous devez seulement personnaliser les paramètres d’Azure HPC Cache si vous souhaitez gérer les clés utilisées pour chiffrer vos données.

Si nécessaire à des fins de conformité sur les ressources de calcul, implémentez un outil tiers (par exemple, une solution automatisée de protection contre la perte de données basée sur un hôte) pour appliquer des contrôles d’accès aux données même lorsque celles-ci sont copiées à partir d’un système.

Responsabilité : Partagé

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Azure HPC Cache prend en charge l’utilisation d’étiquettes. Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque balise se compose d’une paire nom-valeur.

Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production. Vous pouvez ajouter des étiquettes lors de la création d’un cache, ainsi qu’après le déploiement du cache.

Utilisez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Le nom, la version, l’éditeur et l’heure d’actualisation du logiciel sont disponibles sur le portail Azure. Pour avoir accès à la date d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité et placez les journaux des événements Windows dans un espace de travail Log Analytics. Azure HPC Cache ne permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Azure HPC Cache prend en charge les déploiements d’Azure Resource Manager. Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Utilisez la fonctionnalité de détection des menaces intégrée à Microsoft Defender pour le cloud et activez Microsoft Defender pour vos ressources HPC Cache. Microsoft Defender pour HPC Cache offre une couche supplémentaire de sécurité intelligente qui détecte les tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses de vos ressources de cache.

Transférez tous les journaux d’Azure HPC Cache à votre solution SIEM, qui peut être utilisée pour configurer des détections de menaces personnalisées. Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Aide : Azure Active Directory (Azure AD) fournit les journaux d’utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou d’autres outils de supervision/SIEM pour des cas d’usage plus sophistiqués de supervision et d’analytique :

  • Connexions – Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
  • Journaux d’audit : fournissent une traçabilité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD, comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
  • Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également alerter dans le cas de certaines activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué ou des comptes dépréciés dans l’abonnement. En plus de la supervision de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application), de ressources de données (base de données SQL et stockage) et de couches de service Azure. Cette capacité vous permet d’avoir une visibilité sur les anomalies de compte à l’intérieur des ressources individuelles.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils : Vous pouvez utiliser les passerelles VPN et leur capacité de capture de paquets, en plus des outils de capture de paquets généralement disponibles, pour enregistrer les paquets de réseau circulant entre vos réseaux virtuels.

Déployez un groupe de sécurité réseau sur le réseau sur lequel vos ressources Azure HPC Cache sont déployées. Activez les journaux de flux du groupe de sécurité réseau sur vos groupes de sécurité réseau pour l’audit du trafic.

Vos journaux de flux sont conservés dans un compte de stockage. Activez la solution Traffic Analytics pour traiter et envoyer ces journaux de flux à un espace de travail Log Analytics. Traffic Analytics fournit des informations supplémentaires sur le flux de trafic pour vos réseaux Azure. Traffic Analytics peut vous aider à visualiser l’activité réseau et à identifier les zones réactives, à identifier les menaces de sécurité, à comprendre les modèles de flux de trafic et à repérer les mauvaises configurations du réseau.

Le cache a besoin d’un accès DNS pour accéder aux ressources situées en dehors de son réseau virtuel. Selon les ressources que vous utilisez, vous devrez peut-être configurer un serveur DNS personnalisé et configurer un transfert entre ce serveur et les serveurs Azure DNS.

Implémentez une solution tierce de journalisation DNS à partir de la Place de marché Azure en fonction des besoins de votre organisation.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les ressources Azure HPC Cache créent automatiquement des journaux d’activité. Ces journaux contiennent toutes les opérations d’écriture (PUT, POST, DELETE), mais n’incluent pas les opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Vous pouvez également utiliser Microsoft Defender pour le cloud et Azure Policy pour activer les journaux de ressources Azure pour HPC Cache et pour collecter les données de journaux. Ces journaux peuvent être essentiels pour l’examen ultérieur des incidents de sécurité et l’exécution d’exercices légaux.

Responsabilité : Partagé

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences en matière de conservation des données.

Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.

En outre, activez et intégrez les données dans Microsoft Sentinel ou une solution SIEM tierce.

De nombreuses organisations choisissent d’utiliser Microsoft Sentinel pour les données « à chaud » qui sont utilisées fréquemment et le Stockage Azure pour les données « à froid » qui sont utilisées moins fréquemment.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil : HPC Cache ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Le service HPC Cache s’appuie sur les sources de synchronisation de l’heure de Microsoft, qui ne sont pas exposées aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseil:  Utilisez Microsoft Defender pour le cloud et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Conseil : Non applicable. Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge HPC Cache.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Conseils : Étant donné qu’Azure HPC Cache est une solution de mise en cache et non un système de stockage, veillez à ce que les données de ses cibles de stockage soient régulièrement sauvegardées. Suivez les procédures standard pour les conteneurs de blobs Azure et pour sauvegarder toutes les cibles de stockage locales.

Pour réduire l’interruption en cas de panne régionale, vous pouvez prendre des mesures pour garantir l’accès aux données entre les régions.

Chaque instance Azure HPC Cache s’exécute dans un abonnement et dans une région. Cela signifie que votre workflow de cache peut être interrompu si la région connaît une panne totale. Pour réduire cette interruption, l’organisation doit utiliser un stockage principal accessible à partir de plusieurs régions. Ce stockage peut être soit un système NAS local avec une prise en charge DNS appropriée, soit un Stockage Blob Azure qui réside dans une autre région que celle du cache.

À mesure que votre workflow progresse dans votre région primaire, les données sont enregistrées dans le stockage à long terme en dehors de la région. Si la zone de cache n’est plus disponible, vous pouvez dupliquer une instance Azure HPC Cache dans une région secondaire, vous connecter au même stockage et reprendre le travail à partir du nouveau cache.

Responsabilité : Customer

BR-2 : Chiffrer les données de sauvegarde

Conseils : Assurez-vous que vos sauvegardes sont protégées contre les attaques. Cela doit inclure le chiffrement des sauvegardes afin de vous protéger contre la perte de confidentialité.

Pour une sauvegarde locale à l’aide du service Sauvegarde Azure, le chiffrement au repos est assuré à l’aide de la phrase secrète que vous fournissez. Pour une sauvegarde de service Azure normale, les données de sauvegarde sont automatiquement chiffrées à l’aide de clés gérées par la plateforme Azure. Vous pouvez choisir de chiffrer la sauvegarde à l’aide de clés gérées par le client. Dans ce cas, assurez-vous que cette clé gérée par le client dans le coffre de clés se trouve également dans l’étendue de la sauvegarde.

Azure HPC Cache est également protégé par le chiffrement de l’hôte de machine virtuelle sur les disques gérés qui contiennent vos données mises en cache, même si vous ajoutez une clé de client pour les caches de disque. L’ajout d’une clé gérée par le client pour le double chiffrement offre un niveau supplémentaire de sécurité aux clients ayant des besoins élevés en matière de sécurité. Pour plus d’informations, lisez Chiffrement côté serveur de stockage sur disque Azure.

Utilisez le contrôle d’accès en fonction du rôle dans Sauvegarde Azure, Azure Key Vault ou d’autres ressources pour protéger les sauvegardes et les clés gérées par le client. En outre, vous pouvez activer des fonctionnalités de sécurité avancées pour exiger une authentification multifacteur avant que les sauvegardes soient modifiées ou supprimées.

Responsabilité : Customer

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Vérifiez régulièrement que vous pouvez restaurer les clés gérées par le client qui sont sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Assurez-vous que vous avez pris les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Customer

Étapes suivantes