Base de référence de sécurité Azure pour Service Bus

Cette base de référence de sécurité applique les conseils Azure Security Benchmark version 2.0 à Service Bus. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Service Bus.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Service Bus et ceux pour lesquels les directives globales sont recommandées textuellement ont été exclus. Pour voir comment Service Bus est entièrement mappé au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Service Bus.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : Microsoft Azure Service Bus ne prend pas en charge le déploiement direct sur un réseau virtuel. Certaines fonctionnalités de mise en réseau ne sont pas applicables aux ressources de l’offre :

  • Groupes de sécurité réseau (NSG).
  • Tables de routage.
  • Autres appliances dépendantes du réseau, par exemple un Pare-feu Azure.

Utilisez Microsoft Sentinel pour découvrir l’utilisation de protocoles hérités non sécurisés :

  • SSL (Secure Sockets Layer) (SSL) et TLS (Transport Layer Security) version 1 (TLSv1).
  • SMB (Server Message Block) version 1 (SMBv1).
  • LM (LAN Manager) et NTLM (NT LAN Manager) version 1 (NTLMv1).
  • wDigest.
  • Liaisons LDAP (Lightweight Directory Access Protocol) non signées.
  • Chiffrements faibles dans Kerberos.

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Microsoft

NS-3 : Établir un accès réseau privé aux services Azure

Conseils : Utilisez Azure Private Link pour activer l’accès privé à Service Bus à partir de vos réseaux virtuels sans passer par Internet.

L’accès privé est une autre mesure de défense renforcée qui vient s’ajouter à la sécurité de l’authentification et du trafic proposée par les services Azure.

Utilisez des points de terminaison de service de réseau virtuel Azure pour fournir un accès sécurisé à Service Bus. L’accès se fait par un itinéraire optimisé sur le réseau principal Azure sans traverser Internet.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseils : Utilisez les étiquettes de service du réseau virtuel Azure pour définir sur les groupes NSG ou le Pare-feu Azure des contrôles d’accès réseau configurés pour vos ressources Service Bus. Lorsque vous créez des règles de sécurité, utilisez des étiquettes de service à la place d'adresses IP spécifiques. En spécifiant le nom de l’étiquette de service dans le champ de source ou de destination de la règle appropriée, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse que l’étiquette de service englobe. Celle-ci est automatiquement mise à jour lorsque les adresses changent.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseils : Suivez les meilleures pratiques de sécurité DNS pour atténuer les attaques courantes :

  • DNS non résolus
  • Attaques d’amplifications DNS
  • Empoisonnement DNS et usurpation d’identité

Souhaitez-vous utiliser Azure DNS comme service DNS faisant autorité ? Protégez ensuite les zones et les enregistrements DNS contre toute modification accidentelle ou malveillante à l'aide du contrôle d'accès en fonction du rôle Azure (Azure RBAC) et des verrous de ressources.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Service Bus utilise Azure AD (Azure Active Directory) en tant que service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources Microsoft Cloud, comme :

    • Portail Azure
    • Stockage Azure
    • Machines virtuelles Azure (Linux et Windows)
    • Azure Key Vault
    • Platform as a service (PaaS)
    • Applications SaaS (software as a Service)
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

Faites de la sécurisation d’Azure AD une priorité absolue dans le cadre des pratiques de votre organisation en matière de sécurité cloud. Pour vous aider à comparer la posture de sécurité de votre identité aux recommandations de Microsoft, Azure AD fournit un score d’identité sécurisée. Utilisez ce score pour évaluer le degré de correspondance de votre configuration par rapport aux recommandations de meilleures pratiques. Améliorez ensuite votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes. Les utilisateurs sans compte Microsoft peuvent se connecter à leurs applications et ressources avec leur identité externe.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseils : Service Bus prend en charge les identités managées pour ses ressources Azure. Au lieu de créer des principaux de service pour accéder à d'autres ressources, utilisez des identités managées avec Service Bus. Service Bus peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. Il s’authentifie via une règle d’octroi d’accès prédéfinie sans utiliser d’informations d’identification codées en dur dans le code source ni de fichiers de configuration.

Voulez-vous configurer des principaux de service avec des informations d’identification de certificat et revenir aux secrets des clients ? Utilisez ensuite Azure AD pour créer un principal de service avec des autorisations restreintes au niveau de la ressource. Dans les deux cas, vous pouvez utiliser Key Vault avec des identités managées par Azure. L’environnement d’exécution (par exemple, en tant que fonction Azure) peut ensuite récupérer les informations d’identification du coffre de clés.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseils : Service Bus utilise Azure AD pour fournir la gestion des identités et des accès aux :

  • Ressources Azure
  • Applications cloud
  • Applications locales

Cette gestion s’applique aux identités d’entreprise, telles que les employés. Elle s’applique également aux identités externes, notamment :

  • Partenaires
  • Fournisseurs
  • Fournisseurs

Grâce à la gestion des identités et des accès, l’authentification unique (SSO) peut gérer et sécuriser l’accès aux données et aux ressources de votre organisation. La gestion de l’authentification unique s’effectue en local et dans le cloud. Pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus, connectez à Azure AD tous les éléments suivants :

  • Utilisateurs
  • Applications
  • Périphériques

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseils : Non applicable ; Service Bus n’utilise pas de comptes d’administration.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Pour s'assurer régulièrement que les comptes d'utilisateurs et leur accès sont valides, Service Bus utilise les comptes Azure AD pour :

  • gérer ses ressources ;
  • réviser les comptes d’utilisateur ;
  • accéder aux attributions.

Utilisez les révisions d’accès Azure AD pour vérifier les éléments suivants :

  • Appartenances aux groupes
  • Accès aux applications d’entreprise
  • Affectations de rôles

Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Pour faciliter le processus de révision, utilisez Azure AD Privileged Identity Management (PIM) afin de créer des workflows de rapport sur les révisions d’accès.

Vous pouvez également configurer Azure AD PIM pour :

  • vous avertir lorsqu’un nombre excessif de comptes Administrateur est créé ;
  • identifier les comptes Administrateur périmés ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Gérez ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont d’une importance capitale pour la sécurité des rôles sensibles, par exemple :

  • Administrateur
  • Développeur
  • Opérateur de service critique

Utilisez des stations de travail utilisateur hautement sécurisées ou Azure Bastion pour les tâches d’administration. Pour déployer une station de travail utilisateur sécurisée et gérée, utilisez un ou plusieurs des éléments suivants :

  • Azure AD
  • Microsoft Defender - Protection avancée contre les menaces (ATP)
  • Microsoft Intune

Vous pouvez gérer les stations de travail sécurisées de manière centralisée pour appliquer une configuration sécurisée, notamment :

  • Authentification renforcée
  • Lignes de base logicielles et matérielles
  • Accès logique et réseau restreints

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Service Bus est intégré au contrôle d’accès en fonction du rôle (RBAC) Azure pour gérer ses ressources. Le contrôle Azure RBAC vous permet de gérer l’accès aux ressources Azure avec des attributions de rôles. Attribuez ces rôles à différentes entités :

  • Utilisateurs
  • Groupes
  • Principaux de service
  • Identités managées

Des rôles intégrés sont prédéfinis pour certaines ressources. Inventoriez ou interrogez ces rôles à l’aide d’outils, tels que :

  • Azure CLI
  • Azure PowerShell
  • Portail Azure

Limitez toujours les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC à ce dont les rôles ont besoin. Cette pratique complète l’approche juste-à-temps (JAT) d’Azure AD PIM, et elle doit être révisée régulièrement.

Utilisez des rôles intégrés pour accorder des autorisations. Ne créez des rôles personnalisés que si nécessaire.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-3 : Détection des transferts non autorisés de données sensibles

Conseils : Supervisez les transferts non autorisés de données vers des emplacements situés hors du champ de visibilité ou de contrôle de l’entreprise. Cette pratique implique généralement de surveiller des activités anormales (transferts volumineux ou inhabituels) qui peuvent être le signe d’une exfiltration de données non autorisée.

Microsoft Defender pour le stockage et Microsoft Defender pour SQL peuvent vous alerter d’un transfert anormal d’informations, ce qui peut indiquer des transferts non autorisés d’informations sensibles.

Azure Information Protection offre des fonctionnalités de supervision pour les informations qui ont été classifiées et étiquetées.

Si nécessaire pour la conformité de la protection contre la perte de données (DLP), utilisez une solution DLP basée sur l’hôte. Cette solution applique des contrôles de détection ou de prévention pour empêcher l’exfiltration de données.

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Conseils : Pour compléter les contrôles d’accès, Service Bus chiffre les données au repos. Cette pratique protège contre les attaques « hors bande » qui utilisent le chiffrement, telles que l’accès au stockage sous-jacent. Les attaquants ne peuvent alors pas facilement lire ou modifier les données.

Par défaut, Azure assure un chiffrement des données au repos. Pour les données très sensibles, vous pouvez implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Pour que certains services Azure répondent aux exigences réglementaires, Azure gère vos clés de chiffrement par défaut. Toutefois, Azure fournit également des options permettant de gérer vos propres clés (clés gérées par le client).

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Accordez les autorisations Lecteur de sécurité à vos équipes de sécurité dans votre locataire et vos abonnements Azure. Elles pourront ainsi surveiller les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, le monitoring des risques de sécurité peut incomber à une équipe de sécurité centrale ou à une équipe locale. Regroupez toujours les insights et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez appliquer globalement des autorisations Lecteur de sécurité à tout un locataire (groupe d’administration racine). Vous pouvez également étendre les autorisations à des groupes d’administration ou à des abonnements spécifiques.

Remarque : des autorisations supplémentaires peuvent être nécessaires pour obtenir de la visibilité sur les charges de travail et les services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Accordez à vos équipes de sécurité l’accès à un inventaire continuellement mis à jour des ressources sur Azure, comme Service Bus. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation aux risques émergents. L’inventaire est également une source d’informations pour l’amélioration continue de la sécurité. Créez un groupe Azure AD pour contenir l’équipe de sécurité autorisée de votre organisation. Attribuez un accès en lecture à l’équipe pour toutes les ressources Service Bus. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur au sein de votre abonnement.

Pour les organiser logiquement en une taxonomie, appliquez des étiquettes à vos éléments Azure suivants :

  • Ressources
  • Groupes de ressources
  • Abonnements

Chaque étiquette se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Utilisez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Les éléments disponibles dans le portail Azure sont les suivants :

  • Nom du logiciel
  • Version
  • Serveur de publication
  • Heure d’actualisation

Pour accéder aux dates d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité. Importez ensuite les journaux des événements Windows dans un espace de travail Log Analytics.

Service Bus ne vous permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Avec Azure Policy, auditez et restreignez les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. En cas de détection d’un service non approuvé, Monitor permet de créer des règles qui déclenchent des alertes.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Utilisez la fonctionnalité de détection des menaces intégrée à Microsoft Defender pour le cloud et activez Microsoft Defender pour vos ressources Service Bus. Microsoft Defender pour Service Bus fournit une couche d’intelligence supplémentaire pour la sécurité. Il détecte les tentatives anormales et potentiellement dangereuses d’accès ou d’exploitation de vos ressources Service Bus.

Transférez tous les journaux de Service Bus à votre solution SIEM, que vous pouvez utiliser pour configurer des détections de menaces personnalisées. Monitorez les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire le nombre de faux positifs que les analystes doivent trier. Vous pouvez sourcer les alertes à partir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure AD fournit les journaux utilisateur suivants :

  • Connexions. Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit. Les journaux d’audit assurent la traçabilité de toutes les modifications apportées par diverses fonctionnalités dans Azure AD. Il peut s’agir, par exemple, de modifications apportées à des ressources au sein d’Azure AD, telles que l’ajout ou la suppression des éléments suivants :

    • Utilisateurs
    • Applications
    • Groupes
    • Rôles
    • Stratégies
  • Connexions risquées. Une connexion risquée indique une tentative de connexion qui a pu être effectuée par une personne autre que le propriétaire légitime du compte d’utilisateur.

  • Utilisateurs marqués d’un indicateur de risque. Un utilisateur à risque indique un compte d’utilisateur susceptible d’être compromis.

Vous pouvez consulter les journaux dans les rapports Azure AD. Pour des cas d’utilisation de monitoring et d’analytique plus sophistiqués, vous pouvez intégrer les journaux à différentes solutions :

  • Superviser
  • Microsoft Sentinel
  • Autres outils SIEM et de monitoring

Microsoft Defender pour le cloud peut également déclencher des alertes lors de certaines activités suspectes. Ces activités incluent un nombre excessif de tentatives d’authentification ayant échoué ou des comptes dépréciés dans l’abonnement. En plus de la supervision de base de l’hygiène de sécurité, le module de protection contre les menaces Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir des éléments suivants :

  • Ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou App Service)
  • Ressources de données (base de données SQL et stockage)
  • Couches de service Azure

Cette capacité vous permet de voir les anomalies de compte à l’intérieur des ressources individuelles.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils : Service Bus n’est pas destiné à être déployé dans des réseaux virtuels. Vous ne pouvez pas :

  • activer le journal de flux NSG ;
  • router le trafic via un pare-feu ;
  • capturer des paquets.

Pour l’analyse de la sécurité, activez et collectez les éléments suivants :

  • Journaux de ressources NSG
  • Journaux de flux NSG
  • Journaux d’activité de Pare-feu Azure
  • Journaux WAF (Web Application Firewall)

L’analyse de sécurité prend en charge les éléments suivants :

  • Enquêtes sur les incidents
  • Chasse des menaces
  • Génération d’alertes de sécurité

Envoyez les journaux de flux à un espace de travail Log Analytics dans Monitor. Ensuite, utilisez Traffic Analytics pour obtenir des insights.

Service Bus consigne tout le trafic réseau qu’il traite pour l’accès client. Activez la capacité de flux réseau au sein de vos ressources d’offre déployées.

Service Bus ne produit pas et ne traite pas les journaux de requêtes DNS.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d’activité contiennent toutes les opérations d’écriture (PUT, POST et DELETE) pour vos ressources Service Bus. Ils sont disponibles automatiquement. Cependant, ils ne contiennent pas d’opérations de lecture (GET). Utilisez les journaux d’activité pour rechercher une erreur lors de la résolution des problèmes. Vous pouvez également utiliser les journaux pour superviser la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez les journaux de ressources Azure pour Service Bus. Pour activer la collecte des journaux de ressources et des données de journaux, utilisez Microsoft Defender pour le cloud et Azure Policy. Ces journaux peuvent se révéler essentiels dans le cadre de l’investigation des incidents de sécurité et d’une analyse forensique.

Service Bus génère également des journaux d’audit de sécurité pour les comptes d’administrateur local. Activez ces journaux d’audit de l’administrateur local.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être requis par les alertes liées à ce contrôle.

Définitions intégrées d’Azure Policy – Microsoft.ServiceBus :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, vérifiez que vous attribuez les éléments suivants :

  • Propriétaire des données
  • Directives d’accès
  • Emplacement de stockage
  • Outils utilisés pour traiter les données et y accéder
  • Exigences de conservation des données

Intégrez les journaux d’activité Azure dans votre journalisation centralisée. Ingérez les journaux par le biais de Monitor pour agréger les données de sécurité générées par les éléments suivants :

  • Appareils de point de terminaison
  • Ressources réseau
  • Autres systèmes de sécurité

Dans Monitor, utilisez des espaces de travail Log Analytics pour effectuer des requêtes et des analyses. Utilisez des comptes de stockage pour le stockage à long terme et l’archivage.

Par ailleurs, activez les données et intégrez-les à Microsoft Sentinel ou à une solution SIEM tierce.

De nombreuses organisations choisissent Microsoft Sentinel pour les données « chaudes » souvent utilisées. Les organisations choisissent ensuite Stockage pour les données « froides » qui sont consultées moins fréquemment.

Pour les applications qui s’exécutent sur Service Bus, transférez tous les journaux liés à la sécurité à votre solution SIEM pour une gestion centralisée.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseils : Avez-vous des comptes de stockage ou des espaces de travail Log Analytics qui sont utilisés pour le stockage des journaux Service Bus ? Définissez ensuite la période de rétention des journaux en utilisant les réglementations de conformité de votre organisation.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : Non applicable ; Service Bus ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure.

Le service Service Bus s’appuie sur les sources de synchronisation de l’heure de Microsoft. Il n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseils : Avec Azure Blueprints, automatisez dans une seule définition blueprint le déploiement et la configuration des services et environnements d’application, notamment :

  • Modèles Azure Resource Manager (modèles ARM)
  • Contrôles Azure RBAC
  • Stratégies

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseils : Utilisez Microsoft Defender pour le cloud pour monitorer votre base de référence de configuration. À l’aide des définitions de stratégie « Deny » et « DeployIfNotExists » d’Azure Policy, appliquez une configuration sécurisée à toutes les ressources de calcul Azure, notamment :

  • Machines virtuelles
  • Conteneurs
  • Autres ressources de calcul

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseils : Non applicable. Cette recommandation a trait aux ressources de calcul.

Responsabilité : Customer

PV-6 : Exécution d’évaluations des vulnérabilités logicielles

Conseils : Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Service Bus.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Si nécessaire, procédez à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure. Assurez-vous de corriger tous les résultats critiques en matière de sécurité.

Suivez les règles d’engagement relatives aux tests d’intrusion cloud Microsoft pour que vos tests d’intrusion soient bien conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft et des tests d’intrusion de site actif sur les ressources gérées par Microsoft :

  • Infrastructure cloud
  • Services
  • Applications

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-2 : Utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Conseils : Le logiciel anti-programme malveillant de Microsoft est activé sur l’hôte sous-jacent qui prend en charge les services Azure (par exemple, Azure Functions). Il ne s’exécute pas sur le contenu du client.

Responsabilité : Microsoft

ES-3 : Assurer la mise à jour des logiciels et des signatures anti-programme malveillant

Conseils : Mettez à jour les signatures des logiciels anti-programme malveillant rapidement et de façon cohérente.

Pour garantir que tous les points de terminaison sont à jour avec les signatures les plus récentes, suivez les recommandations fournies par « Calculs et applications » dans Microsoft Defender pour le cloud.

Par défaut, pour Windows, Microsoft Antimalware installe automatiquement les dernières signatures et mises à jour du moteur. Si vous travaillez dans un environnement Linux, utilisez une solution de logiciel anti-programme malveillant tierce.

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Microsoft

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Conseils : Configurez la géo-reprise d’activité après sinistre pour Azure Service Bus. Que se passe-t-il lorsque des régions ou centres de données Azure entiers (si aucune zone de disponibilité n’est utilisée) subissent un temps d’arrêt ? Le traitement des données doit continuer à fonctionner dans une autre région ou un autre centre de données. La géo-reprise d’activité après sinistre et la géoréplication sont des fonctionnalités importantes pour les entreprises. Azure Service Bus prend en charge la géorécupération d’urgence et la géoréplication au niveau de l’espace de noms.

Responsabilité : Customer

BR-2 : Chiffrer les données de sauvegarde

Conseils : Service Bus fournit une fonctionnalité de chiffrement des données au repos à l’aide d’Azure Storage Service Encryption (Azure SSE). Service Bus s’appuie sur Stockage pour stocker les données. Toutes les données stockées avec Stockage Azure sont chiffrées à l'aide de clés gérées par Microsoft. Si vous utilisez Key Vault pour stocker des clés gérées par le client, veillez à effectuer des sauvegardes automatisées régulières de vos clés.

Veillez à effectuer des sauvegardes automatisées régulières de vos secrets Key Vault avec la commande PowerShell Backup-AzKeyVaultSecret.

Responsabilité : Partagé

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Vérifiez régulièrement que vous pouvez restaurer les clés sauvegardées qui sont gérées par le client.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Mettez en place les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Pour protéger les clés contre les suppressions accidentelles et les suppressions malveillantes, activez la suppression réversible et la protection contre la suppression définitive dans Key Vault.

Responsabilité : Customer

Étapes suivantes