Base de référence de sécurité Azure pour Microsoft Purview

Cette base de référence de sécurité applique des conseils de la version 2.0 du benchmark de sécurité Azure à Microsoft Purview. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Microsoft Purview.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Microsoft Purview et ceux pour lesquels les conseils globaux sont recommandés sont recommandés, ont été exclus. Pour voir comment Microsoft Purview est entièrement mappé au benchmark de sécurité Azure, consultez le fichier complet de mappage de base de référence de sécurité Microsoft Purview.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : Microsoft Purview ne prend pas en charge le déploiement directement dans un réseau virtuel. Certaines fonctionnalités de mise en réseau ne sont pas applicables aux ressources de l’offre :

  • Groupes de sécurité réseau (NSG).
  • Tables de routage.
  • Autres appliances dépendantes du réseau, par exemple un pare-feu Azure.

Vous pouvez utiliser des points de terminaison privés qui peuvent être activés sur votre réseau virtuel. Vous pouvez également désactiver l’accès à Internet public pour vous connecter en toute sécurité à Microsoft Purview.

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Conseil : Si vous voulez créer des connexions privées entre les centres de donnés Azure et l’infrastructure locale dans un environnement de colocalisation, utilisez Azure ExpressRoute ou un réseau privé virtuel (VPN) Azure. Les connexions ExpressRoute ne passent pas par l’Internet public. Par rapport à des connexions Internet classiques, les connexions ExpressRoute offrent les avantages suivants :

  • Une plus grande fiabilité
  • Des vitesses supérieures
  • Des latences plus faibles

Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel. Il suffit d’utiliser n’importe quelle combinaison de ces options de VPN et d’Azure ExpressRoute.

Lorsque vous utilisez un point de terminaison privé avec Microsoft Purview, connectez le réseau où se trouve votre point de terminaison Microsoft Purview aux réseaux où se trouvent les sources de données. Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels. Le trafic entre les réseaux virtuels appairés est privé, et il est conservé sur le réseau dorsal d’Azure.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Conseils : Pour activer l’accès privé à Microsoft Purview à partir de vos réseaux virtuels sans traverser Internet, utilisez Azure Private Link. L’accès privé est une mesure supplémentaire de défense en profondeur qui vient s’ajouter à la sécurité de l’authentification et du trafic proposée par les services Azure.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseils : Microsoft Purview n’expose pas ses configurations DNS sous-jacentes. Ces paramètres sont gérés par Microsoft.

Responsabilité : Microsoft

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Microsoft Purview utilise Azure Active Directory (Azure AD) comme service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources Microsoft Cloud, comme :

    • Portail Azure
    • Microsoft Purview
    • Infrastructure as a service (IaaS)
    • Platform as a service (PaaS)
    • Services et applications SaaS (Software as a service)
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

Faites de la sécurisation d’Azure AD une priorité absolue dans le cadre des pratiques de votre organisation en matière de sécurité cloud. Pour vous aider à comparer la posture de sécurité de votre identité aux recommandations de Microsoft, Azure AD fournit un score d’identité sécurisée. Utilisez le score pour évaluer dans quelle mesure votre configuration correspond aux meilleures pratiques recommandées. Utilisez également le score pour améliorer votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes. Grâce à une identité externe, un utilisateur sans compte Microsoft peut se connecter à ses applications et ressources.

Responsabilité : Partagé

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseils : Microsoft Purview prend en charge les identités managées pour ses ressources Azure. Au lieu de créer des principaux de service pour accéder à d’autres ressources, utilisez des identités managées avec Microsoft Purview. Microsoft Purview peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. L’authentification s’effectue par le biais d’une règle prédéfinie d’octroi d’accès. Cette règle d’octroi d’accès n’utilise pas d’informations d’identification codées en dur dans le code source ou les fichiers config.

Responsabilité : Microsoft

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Comment vous assurez-vous que les comptes d’utilisateur et leur niveau d’accès sont valides ? Vous passez en revue les comptes et vérifiez régulièrement l’accès à l’attribution à Microsoft Purview. Avec les révisions d’accès Azure AD, passez en revue les appartenances aux groupes et les attributions de rôles liées à vos ressources Microsoft Purview. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Pour créer un workflow de rapport de révision d’accès qui facilite le processus de révision, utilisez Azure AD Privileged Identity Management (PIM).

Configurez Azure AD PIM de sorte qu’il déclenche des alertes lorsqu’un nombre excessif de comptes Administrateur est créé. Configurez-le également pour identifier les comptes Administrateur obsolètes ou mal configurés.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Microsoft Purview est intégré à Azure RBAC pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Attribuez ces rôles à des :

  • Utilisateurs
  • Groupes
  • Principaux de service
  • Identités managées

Des rôles intégrés sont prédéfinis pour certaines ressources. Inventoriez ou interrogez ces rôles à l’aide d’outils, tels que :

  • Azure CLI
  • Azure PowerShell
  • Portail Azure

Limitez toujours les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC à ce dont les rôles ont besoin. Cette pratique complète l’approche juste-à-temps (JAT) d’Azure AD PIM, et elle doit être révisée régulièrement.

Utilisez des rôles intégrés pour accorder des autorisations. Ne créez des rôles personnalisés que si nécessaire.

Responsabilité : Customer

PA-8 : Choisir le processus d’approbation pour le support Microsoft

Conseils : Microsoft Purview ne prend pas en charge customer lockbox. Pour approuver l’accès aux données client, Microsoft peut travailler avec les clients via des méthodes hors Lockbox.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-1 : Découvrir, classer et étiqueter des données sensibles

Conseils : Utilisez Microsoft Purview pour découvrir, étiqueter et classifier votre patrimoine de données Azure. Inscrivez toutes vos sources de données. Configurez les analyses Microsoft Purview pour découvrir, classifier et étiqueter vos données sensibles. Concevez ensuite les contrôles appropriés afin que les systèmes technologiques de votre organisation effectuent les actions suivantes sur les informations sensibles en toute sécurité :

  • Stockage
  • Traitement en cours
  • Transmission

Pour plus d’informations, lisez l’article suivant :

Responsabilité : Customer

DP-2 : Protection des données sensibles

Conseils : Microsoft Purview stocke les métadonnées de source de données client. Le service fournit un contrôle d’accès affiné par le biais des rôles Microsoft Purview et du RBAC Azure.

Protégez les données sensibles en limitant l’accès à celles-ci grâce aux contrôles suivants :

  • Azure RBAC
  • Contrôles d’accès réseau
  • Contrôles spécifiques des services Azure (par exemple, le chiffrement dans les bases de données SQL et autres)

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès à la stratégie de segmentation de votre entreprise. Informez la stratégie de segmentation de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

Microsoft gère la plateforme sous-jacente. Microsoft considère tout le contenu des clients comme sensible et le protège contre la perte et l’exposition des données des clients. Pour assurer la sécurité des données des clients dans Azure, Microsoft implémente quelques contrôles et capacités de protection des données par défaut.

Responsabilité : Partagé

DP-3 : Détection des transferts non autorisés de données sensibles

Conseils : Microsoft Purview offre une fonctionnalité de supervision de traçabilité. Actuellement, Microsoft Purview prend en charge les outils d’extraction, de transformation et de chargement (ETL) suivants :

  • Azure Data Factory
  • Azure Data Share
  • Power BI

La traçabilité des données permet d’afficher la façon dont les données se propagent d’un système à l’autre. Cet affichage permet d’éliminer la duplication des données sensibles. Il fournit une représentation graphique pour accroître la visibilité de la traçabilité des données.

Pour vos sources de données que Microsoft Purview analyse, surveillez le transfert non autorisé de données vers des emplacements en dehors de la visibilité et du contrôle de l’entreprise. Utilisez les options de Microsoft Defender et de journalisation propres au service pour effectuer cette surveillance. Cette action implique généralement la surveillance des activités anormales, telles que les transferts importants ou inhabituels. Ces activités peuvent être le signe d’une exfiltration non autorisée de données.

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseil : Pour compléter les contrôles d’accès, protégez les données en transit contre les attaques « hors bande » (par exemple, la capture du trafic). La solution utilise le chiffrement pour s’assurer que les attaquants ne peuvent pas facilement lire ou modifier les données.

Microsoft Purview prend en charge le chiffrement des données en transit avec le protocole TLS v1.2 ou version ultérieure.

Ce chiffrement est certes facultatif pour le trafic sur les réseaux privés, mais il est essentiel pour le trafic sur les réseaux externes et publics. Dans le cas du trafic HTTP, vérifiez que les clients qui se connectent à vos ressources Azure peuvent négocier la version 1.2 ou ultérieure du protocole TLS. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Désactivez les chiffrements faibles ainsi que les versions obsolètes des protocoles SSL, TLS et SSH.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseils : Pour compléter les contrôles d’accès, Microsoft Purview chiffre les données au repos pour se protéger contre les attaques hors bande (telles que l’accès au stockage sous-jacent). La solution utilise le chiffrement avec des clés gérées par Microsoft. Cela permet de s’assurer que les attaquants ne peuvent pas facilement lire ou modifier les données.

Actuellement, Microsoft Purview ne prend pas en charge le chiffrement au repos de ses métadonnées avec une clé gérée par le client.

Responsabilité : Partagé

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Dans votre locataire et vos abonnements Azure, accordez à vos équipes de sécurité les autorisations « Rôle de lecteur de données Microsoft Purview » et « Lecteur ». Ensuite, les équipes peuvent lire toutes les configurations, contenu et résultats Microsoft Purview pour les risques de sécurité.

Selon la structuration des responsabilités, le monitoring des risques de sécurité peut incomber à une équipe de sécurité centrale ou à une équipe locale. Regroupez toujours les informations et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez appliquer les autorisations Lecteur de sécurité de manière générale à l’ensemble d’un locataire (groupe d’administration racine), ou vous pouvez étendre les autorisations à des groupes d’administration ou à des abonnements spécifiques.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Rendre les équipes de sécurité capables d’accéder à un inventaire continu des ressources Azure, comme Microsoft Purview. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation aux risques émergents. L’inventaire est également une source d’informations pour l’amélioration continue de la sécurité. Créez un groupe Azure AD pour contenir l’équipe de sécurité autorisée de votre organisation. Attribuez ensuite l’accès en lecture à toutes les ressources Microsoft Purview pour le groupe. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur au sein de votre abonnement.

Pour organiser logiquement les ressources en une taxonomie, appliquez des étiquettes aux éléments suivants :

  • Ressources Azure
  • Groupes de ressources
  • Abonnements

Chaque étiquette se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Microsoft Purview n’autorise pas l’exécution d’une application ou l’installation de logiciels sur ses ressources.

Responsabilité : Partagé

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Microsoft Purview ne fournit pas de fonctionnalités natives pour surveiller les menaces de sécurité liées à ses ressources.

Transférez tous les journaux d’activité de Microsoft Purview à votre SIEM, que vous pouvez utiliser pour configurer des détections de menaces personnalisées. Monitorez les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Vous pouvez obtenir des alertes à partir des éléments suivants :

  • Données de journal
  • Agents
  • Autres données

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Partagé

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d’activité contiennent toutes les opérations d’écriture (PUT, POST et DELETE) pour vos ressources Microsoft Purview. Les journaux sont automatiquement disponibles, mais ils n’incluent pas les opérations de lecture (GET). Utilisez les journaux d’activité pour rechercher une erreur lors de la résolution des problèmes. Vous pouvez également utiliser les journaux pour superviser la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez les journaux de ressources Azure pour Microsoft Purview pour les données telles que « ScanStatusLogEvent » et « AllMetrics ». Vous pouvez utiliser Microsoft Defender pour le Cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être essentiels pour examiner les incidents de sécurité et faire des exercices d’investigation.

Responsabilité : Partagé

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Pour activer la corrélation des données de journal Microsoft Purview, centraliser le stockage et l’analyse de journalisation. Pour chaque source de journal, assurez-vous d’avoir attribué les éléments suivants :

  • Propriétaire des données
  • Directives d’accès
  • Emplacement de stockage
  • Des outils permettant de traiter les données et d’y accéder
  • Exigences de conservation des données

Intégrez les journaux d’activité Azure dans votre journalisation centralisée. Ingérez les journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les éléments suivants :

  • Appareils de point de terminaison
  • Ressources réseau
  • Autres systèmes de sécurité

Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour effectuer des requêtes et des opérations d’analytique. Utilisez les comptes de stockage Azure pour le stockage à long terme et l’archivage.

Activez et intégrez les données à Microsoft Sentinel ou à une solution SIEM tierce. De nombreuses organisations choisissent Microsoft Sentinel pour les données « chaudes » souvent utilisées. Ces organisations choisissent ensuite Stockage Azure pour les données « froides » qui sont consultées moins fréquemment.

Responsabilité : Partagé

LT-6 : Configurer la rétention du stockage des journaux

Conseils : Avez-vous des comptes de stockage ou des espaces de travail Log Analytics utilisés pour stocker les journaux Microsoft Purview ? définissez la période de rétention des journaux selon les règles de conformité de votre organisation. Pour le stockage à long terme et l’archivage, utilisez des comptes Stockage Azure ou des comptes d’espace de travail Log Analytics.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : Microsoft Purview ne prend pas en charge la configuration de vos propres sources de synchronisation temporelle. Le service Microsoft Purview s’appuie sur les sources de synchronisation de temps Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseils : Microsoft Purview prend en charge le déploiement de sa ressource via des modèles Azure Resource Manager. Utilisez Azure Policy pour appliquer ou surveiller des configurations sécurisées. Actuellement, il n’existe pas de définitions de Azure Policy intégrées pour Microsoft Purview. Toutefois, vous pouvez créer vos propres définitions personnalisées en utilisant les alias de l’espace de noms « Microsoft.Purview ».

Dans une définition de blueprint unique, utilisez Azure Blueprints pour automatiser le déploiement et la configuration du service Microsoft Purview en regroupant :

  • Modèles Azure Resource Manager
  • Contrôles RBAC Azure
  • Définitions Azure Policy

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseils : Utilisez Microsoft Defender pour Cloud pour surveiller votre base de référence de configuration Microsoft Purview. Empêchez les configurations non sécurisées grâce à Azure Policy. Microsoft Purview prend en charge le déploiement de sa ressource via des modèles Azure Resource Manager. Vous pouvez utiliser Azure Policy pour appliquer ou surveiller les configurations sécurisées avec le service. Actuellement, il n’existe pas de définitions de Azure Policy intégrées pour Microsoft Purview. Toutefois, vous pouvez créer vos propres définitions personnalisées en utilisant les alias de l’espace de noms « Microsoft.Purview ».

Responsabilité : Customer

PV-6 : Exécution d’évaluations des vulnérabilités logicielles

Conseils : Microsoft Purview est une offre PaaS. Elle ne déploie aucune ressource de calcul orientée client qui prenne en charge les outils d’évaluation des vulnérabilités. Pour la plateforme sous-jacente qui prend en charge Microsoft Purview, Microsoft gère les vulnérabilités et les évaluations.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseils : Microsoft Purview est une offre PaaS. Elle ne déploie aucune ressource de calcul orientée client qui prenne en charge les outils d’évaluation des vulnérabilités. Pour la plateforme sous-jacente qui prend en charge Microsoft Purview, Microsoft gère les vulnérabilités et les évaluations.

Responsabilité : Microsoft

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-2 : Utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Conseils : Microsoft Purview ne déploie aucune ressource de calcul orientée client qui oblige les clients à configurer la protection anti-programme malveillant. Microsoft gère l’infrastructure sous-jacente pour Microsoft Purview et la gestion des logiciels anti-programme malveillant.

Responsabilité : Microsoft

ES-3 : Assurer la mise à jour des logiciels et des signatures anti-programme malveillant

Conseils : Microsoft Purview ne déploie aucune ressource de calcul orientée client qui oblige les clients à configurer la protection anti-programme malveillant. Microsoft gère l’infrastructure sous-jacente pour Microsoft Purview et la gestion des logiciels anti-programme malveillant.

Responsabilité : Microsoft

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Conseils : Microsoft Purview ne prend pas en charge les sauvegardes de données automatisées natives. Vous êtes responsable des activités de sauvegarde et de restauration. Pour exporter des métadonnées et des propriétés critiques pour la sauvegarde et la récupération, utilisez les API REST Microsoft Purview.

Responsabilité : Partagé

BR-2 : Chiffrer les données de sauvegarde

Conseils : Microsoft Purview ne prend actuellement pas en charge la sauvegarde automatisée des données ou le chiffrement de sauvegarde.

Responsabilité : Customer

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Microsoft Purview ne prend actuellement pas en charge la sauvegarde automatisée des données, le chiffrement de sauvegarde ou les clés gérées par le client.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Toutes les informations d’identification utilisées pour Microsoft Purview sont stockées dans un coffre de clés Azure auquel vous pouvez vous connecter à partir de Microsoft Purview. Conservez les mesures en place pour empêcher et récupérer la perte de clés utilisées avec Microsoft Purview. Pour protéger les clés contre les suppressions accidentelles et les suppressions malveillantes, activez la suppression réversible et la protection contre la suppression définitive dans Azure Key Vault.

Responsabilité : Customer

Étapes suivantes