Base de référence de sécurité Azure pour Service Fabric

Cette base de référence de sécurité applique les instructions de la version 1.0 du Benchmark de sécurité Azure à Service Fabric. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Service Fabric.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Service Fabric, ou dont la responsabilité incombe à Microsoft, ont été exclus. Pour voir comment Service Fabric est entièrement mappé au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Service Fabric .

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.1 : Protéger les ressources Azure au sein des réseaux virtuels

Conseils : Assurez-vous qu’un groupe de sécurité réseau a été appliqué à tous les déploiements de sous-réseaux du réseau virtuel avec des contrôles d’accès réseau spécifiques aux ports et sources approuvés de votre application.

Responsabilité : Customer

1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des cartes réseau

Aide : Utilisez Microsoft Defender pour le cloud et appliquez les recommandations de protection réseau pour le réseau virtuel, le sous-réseau et le groupe de sécurité réseau utilisés pour sécuriser votre cluster Azure Service Fabric. Activez les journaux de flux de groupe de sécurité réseau et envoyez les journaux dans un compte de Stockage Azure à l’audit du trafic. Vous pouvez également envoyer ces journaux à un espace de travail Azure Log Analytics et utiliser Azure Traffic Analytics pour fournir des insights sur le flux de trafic dans votre cloud Azure. Azure Traffic Analytics offre certains avantages, parmi lesquels la possibilité de visualiser l’activité réseau et d’identifier les zones réactives, de détecter les menaces de sécurité, de bien comprendre les modèles de flux de trafic et enfin de repérer les configurations réseau incorrectes.

Responsabilité : Customer

1.3 : Protéger les applications web critiques

Aide : Proposez une passerelle frontale afin de fournir un point d’entrée unique pour les utilisateurs, les appareils ou d’autres applications. La gestion des API Azure s’intègre directement à Service Fabric, ce qui vous permet de sécuriser l’accès aux services principaux, d’empêcher les attaques par déni de service à l’aide de la limitation et de vérifier les clés API, les jetons JWT, les certificats et d’autres informations d’identification.

Déployez un pare-feu d'applications web Azure pour protéger les applications web critiques afin de bénéficier d'un contrôle supplémentaire du trafic entrant. Activez le paramètre de diagnostic du WAF et ingérez les journaux dans un compte de stockage, un hub d'événements ou un espace de travail Log Analytics.

Responsabilité : Customer

1.4 : Refuser les communications présentant des adresses IP connues comme étant malveillantes

Aide : Pour obtenir des protections contre les attaques DDoS, activez la protection Azure DDoS standard sur le réseau virtuel sur lequel votre cluster Azure Service Fabric est déployé. Utilisez la fonctionnalité de renseignement sur les menaces intégrée de Microsoft Defender pour le cloud pour refuser les communications avec des adresses IP Internet connues comme étant malveillantes ou inutilisées.

Responsabilité : Customer

1.5 : Enregistrer les paquets réseau

Conseils : Activez les journaux de flux de groupe de sécurité réseau pour le groupe de sécurité réseau attaché au sous-réseau utilisé pour protéger votre cluster Service Fabric. Enregistrez les journaux de flux NSG dans un compte de stockage Azure pour générer des enregistrements de flux. Si cela s’avère nécessaire pour analyser une activité anormale, activez la capture de paquets Azure Network Watcher.

Responsabilité : Customer

1.6 : Déployer des systèmes de détection et de prévention des intrusions basés sur le réseau (IDS/IPS)

Aide : Sélectionnez une offre de la place de marché Azure qui prend en charge les fonctionnalités IDS/IPS avec des fonctionnalités d’inspection de charge utile. Si la détection et/ou la prévention des intrusions basées sur l’inspection de la charge utile ne font pas partie des exigences, vous pouvez utiliser le Pare-feu Azure avec Threat Intelligence. Le filtrage basé sur le renseignement sur les menaces du Pare-feu Azure peut générer des alertes et refuser le trafic depuis ou vers des adresses IP et des domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence.

Déployez la solution de pare-feu de votre choix dans les limites réseau de votre organisation pour détecter et/ou refuser le trafic malveillant.

Responsabilité : Customer

1.7 : Gérer le trafic à destination des applications web

Aide : Déployez Azure Application Gateway pour les applications web en activant le protocole HTTPS/SSL pour les certificats approuvés.

Responsabilité : Customer

1.8 : Réduire la complexité et les frais administratifs liés aux règles de sécurité réseau

Conseils : Utilisez les étiquettes de service du réseau virtuel pour définir les contrôles d’accès réseau sur les groupes de sécurité réseau (NSG) attachés au sous-réseau dans lequel votre cluster Azure Service Fabric est déployé. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de la balise de service (par exemple, ApiManagement) dans le champ Source ou Destination approprié d'une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

1.9 : Gérer les configurations de sécurité standard pour les périphériques réseau

Conseils : Définissez et implémentez des configurations de sécurité standard pour les ressources réseau liées à votre cluster Azure Service Fabric. Utilisez des alias Azure Policy dans les espaces de noms « Microsoft.ServiceFabric » et « Microsoft.Network » afin de créer des stratégies personnalisées pour auditer ou appliquer la configuration réseau de votre cluster Azure Service Fabric.

Vous pouvez également utiliser Azure Blueprints pour simplifier les déploiements Azure à grande échelle en regroupant les principaux artefacts d’environnement (par exemple, les modèles Resource Manager, les contrôles Azure RBAC et les stratégies) dans une même définition de blueprint. Appliquez facilement le blueprint aux nouveaux abonnements et environnements, et ajustez le contrôle et la gestion par le biais du versioning.

Responsabilité : Customer

1.10 : Règles de configuration du trafic de documents

Conseil : Utilisez des étiquettes pour les groupes de sécurité réseau et autres ressources liées à la sécurité réseau et au flux de trafic qui sont associés à votre cluster Service Fabric. Concernant les règles de groupe de sécurité réseau individuelles, utilisez le champ « Description » afin de spécifier le besoin métier, la durée, etc., pour toutes les règles qui autorisent le trafic vers et depuis un réseau.

Utilisez l’une des définitions de stratégie Azure intégrée en lien avec l’étiquetage comme « Exiger une étiquette et sa valeur » pour vous assurer que toutes les ressources créées sont étiquetées et être informé de l’existence de ressources non étiquetées.

Vous pouvez utiliser Azure PowerShell ou l’interface de ligne de commande (CLI) Azure pour rechercher des ressources ou effectuer des actions sur des ressources en fonction de leurs étiquettes.

Responsabilité : Customer

1.11 : Utiliser des outils automatisés pour superviser les configurations des ressources réseau et détecter les modifications

Aide : Utilisez le journal d’activité Azure pour superviser les configurations des ressources réseau et détecter les changements des ressources réseau associées à vos déploiements Azure Service Fabric. Créez des alertes dans Azure Monitor, qui se déclenchent lors de la modification de ressources réseau critiques.

Responsabilité : Customer

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.2 : Configurer la gestion des journaux de sécurité centrale

Aide : Vous pouvez intégrer votre cluster Azure Service Fabric à Azure Monitor pour agréger les données de sécurité générées par le cluster. Pour consulter des exemples de problèmes de diagnostic et de solutions Service Fabric.

Responsabilité : Customer

2.3 : Activer la journalisation d’audit pour les ressources Azure

Aide : Activez Azure Monitor pour le cluster Service Fabric, puis dirigez-le vers un espace de travail Log Analytics. Cela permet de journaliser des informations de cluster pertinentes et des métriques de système d’exploitation pour tous les nœuds de cluster Azure Service Fabric.

Responsabilité : Customer

2.4 : Collecter les journaux de sécurité des systèmes d’exploitation

Aide : Intégration du cluster Azure Service Fabric à Azure Monitor. Vérifiez que la période de conservation des journaux définie dans l’espace de travail Log Analytics utilisé est conforme aux obligations réglementaires de votre organisation.

Responsabilité : Customer

2.5 : Configurer la conservation du stockage des journaux de sécurité

Aide : Intégration du cluster Service Fabric à Azure Monitor. Vérifiez que la période de conservation des journaux définie dans l’espace de travail Log Analytics utilisé est conforme aux obligations réglementaires de votre organisation.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Aide : Utilisez des requêtes d’espace de travail Log Analytics pour interroger des journaux Azure Service Fabric.

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Conseils : Utilisez l’espace de travail Azure Log Analytics pour superviser les activités anormales dans les événements et les journaux de sécurité liés à votre cluster Azure Service Fabric, et générer des alertes s’y rapportant.

Responsabilité : Customer

2.8 : Centraliser la journalisation anti-programme malveillant

Aide : Par défaut, Windows Defender est installé sur Windows Server 2016. Si vous n’utilisez pas Windows Defender, reportez-vous à la documentation de votre logiciel anti-programme malveillant pour les règles de configuration. Windows Defender n’est pas pris en charge sur Linux.

Responsabilité : Customer

2.9 : Activer la journalisation des requêtes DNS

Aide : Implémentez une solution tierce pour la journalisation DNS.

Responsabilité : Customer

2.10 : Activer l’enregistrement d’audit en ligne de commande

Instructions : Configurez manuellement la journalisation de console au niveau de chaque nœud.

Responsabilité : Customer

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Aide : Tenez à jour l’enregistrement du compte d’administration local créé lors du provisionnement du cluster Azure Service Fabric ainsi que des autres comptes que vous créez. De plus, si l’intégration Azure Active Directory (Azure AD) est utilisée, Azure AD comporte des rôles intégrés qui doivent être explicitement attribués et qui peuvent donc être interrogés. Utilisez le module Azure AD PowerShell pour effectuer des requêtes ad hoc afin de découvrir les comptes qui sont membres de groupes d’administration.

Appliquez également les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Aide : Lors du provisionnement d’un cluster, Azure vous oblige à créer des mots de passe pour l’accès au portail web. Il n’y a pas de mot de passe par défaut à changer. Toutefois, vous pouvez spécifier des mots de passe différents pour l’accès au portail web.

Responsabilité : Customer

3.3 : Utiliser des comptes d’administration dédiés

Conseil : Intégrez l’authentification pour Azure Service Fabric avec Azure Active Directory (Azure AD). Créez des stratégies et des procédures concernant l’utilisation de comptes d’administration dédiés.

Appliquez également les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.4 : Utiliser l’authentification unique (SSO) avec Azure Active Directory

Conseil : Dans la mesure du possible, utilisez l’authentification unique (SSO) Azure Active Directory (Azure AD) plutôt que de configurer des informations d’identification autonomes service par service. Appliquez également les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Aide : Activez l’authentification multifacteur Azure Active Directory (Azure AD) et suivez les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.6 : Utiliser des ordinateurs dédiés (stations de travail avec accès privilégié) pour toutes les tâches administratives

Aide : Utilisez des stations de travail à accès privilégié (PAW, Privileged Access Workstation) sur lesquelles l’authentification multifacteur est configurée pour vous connecter à vos clusters Service Fabric et aux ressources associées, et les configurer.

Responsabilité : Customer

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Aide : Utilisez Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pour générer des journaux et des alertes quand des activités suspectes ou potentiellement dangereuses se produisent dans l’environnement. Utilisez également les détections de risque Azure AD pour visualiser les alertes et des rapports sur les comportements à risque des utilisateurs.

Responsabilité : Customer

3.8 : Gérer les ressources Azure à partir des emplacements approuvés uniquement

Aide : Utilisez des emplacements nommés à accès conditionnel pour autoriser l’accès uniquement à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

Responsabilité : Customer

3.9 : Utiliser Azure Active Directory

Aide : Utilisez Azure Active Directory (Azure AD) comme système central d’authentification et d’autorisation pour sécuriser l’accès aux points de terminaison de gestion des clusters Service Fabric. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender permettant de bénéficier des services associés peut être nécessaire pour les alertes de ce contrôle.

Définitions intégrées d’Azure Policy – Microsoft.ServiceFabric :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Conseil : utilisez l’authentification Azure Active Directory (Azure AD) avec votre cluster Service Fabric. Azure AD fournit des journaux pour vous aider à découvrir les comptes obsolètes. De plus, utilisez les révisions d’accès des identités Azure pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès de l’utilisateur peut être passé en revue régulièrement pour vérifier que seuls les utilisateurs appropriés bénéficient d’un accès permanent.

Responsabilité : Customer

3.11 : Alerte en cas d’écart de comportement de connexion à un compte

Conseil : utilisez les journaux Connexion et Audit d’Azure Active Directory (Azure AD) pour superviser les tentatives d’accès à des comptes désactivés. Ces journaux peuvent être intégrés à n’importe quel outil SIEM/de supervision tiers.

Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure AD et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Azure Log Analytics. Configurez les alertes souhaitées dans un espace de travail Azure Log Analytics.

Responsabilité : Customer

3.12 : Alerter en cas d’écart de comportement de connexion à un compte

Aide : Utilisez les détections de risque et la fonctionnalité Risk and Identity Protection d’Azure Active Directory (Azure AD) pour configurer des réponses automatiques aux actions suspectes détectées liées aux identités d’utilisateur. Vous pouvez également ingérer des données dans Microsoft Sentinel pour approfondir vos recherches.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

4.1 : Conserver un inventaire des informations sensibles

Conseil : Utilisez des étiquettes sur des ressources associées à vos déploiements de cluster Service Fabric pour faciliter le suivi des ressources Azure qui stockent ou traitent des informations sensibles.

Responsabilité : Customer

4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles

Conseils : Implémentez des abonnements et/ou des groupes d’administration distincts pour le développement, les tests et la production. Les ressources doivent être séparées par un réseau virtuel ou un sous-réseau, étiquetés de manière appropriée et sécurisés par un groupe de sécurité réseau ou un Pare-feu Azure. Les ressources de stockage ou de traitement des données sensibles doivent être suffisamment isolées. En ce qui concerne les machines virtuelles qui stockent ou traitent des données sensibles, implémentez une stratégie et des procédures pour les désactiver quand elles ne sont pas utilisées.

Responsabilité : Customer

4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles

Aide : Déployez un outil automatisé sur les périmètres du réseau qui surveille le transfert non autorisé d’informations sensibles et bloque ces transferts tout en alertant les professionnels de la sécurité des informations.

Pour la plateforme sous-jacente qui est gérée par Microsoft, Microsoft traite tout le contenu client comme sensible et déploie d'importants efforts pour vous protéger contre la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Partagé

4.4 : Chiffrer toutes les informations sensibles en transit

Instructions : Chiffrer toutes les informations sensibles en transit. Assurez-vous que les clients qui se connectent à vos ressources Azure peuvent négocier TLS 1.2 ou une version ultérieure.

Pour l’authentification mutuelle Service Fabric entre les clients et les nœuds, utilisez un certificat X.509 pour l’identité du serveur et le chiffrement TLS pour les communications HTTP. Un nombre quelconque de certificats supplémentaires peuvent être installés sur un cluster à des fins de sécurité des applications, notamment le chiffrement et le déchiffrement des valeurs et des données de configuration de l’application sur les nœuds pendant la réplication. Suivez les recommandations de chiffrement au repos et en transit de Microsoft Defender pour le cloud, le cas échéant.

Responsabilité : Partagé

4.5 : Utiliser un outil de découverte actif pour identifier les données sensibles

Instructions : Les fonctionnalités d’identification des données, de classification des données et de protection contre la perte de données ne sont pas encore disponibles pour le Stockage Azure ou les ressources de calcul. Implémentez une solution tierce si nécessaire à des fins de conformité.

Pour la plateforme sous-jacente managée par Microsoft, Microsoft considère tout le contenu client comme sensible et met tout en œuvre pour empêcher la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Partagé

4.7 : Utiliser la protection contre la perte de données basée sur l’hôte pour appliquer le contrôle d’accès

Conseil : Pour les clusters Azure Service Fabric qui stockent ou traitent des informations sensibles, marquez le cluster et les ressources associées comme sensibles à l’utilisation d’étiquettes. Les fonctionnalités d’identification des données, de classification des données et de protection contre la perte de données ne sont pas encore disponibles pour le Stockage Azure ou les ressources de calcul. Implémentez une solution tierce si nécessaire à des fins de conformité.

Pour la plateforme sous-jacente managée par Microsoft, Microsoft considère tout le contenu client comme sensible et met tout en œuvre pour empêcher la perte et l’exposition des données client. Pour garantir la sécurité des données client dans Azure, Microsoft a implémenté et tient à jour une suite de contrôles et de fonctionnalités de protection des données robustes.

Responsabilité : Partagé

4.8 : Chiffrer des informations sensibles au repos

Aide : Utilisez le chiffrement au repos sur toutes les ressources Azure. Microsoft recommande d’autoriser Azure à gérer vos clés de chiffrement, mais il existe une option vous permettant de gérer vos propres clés dans certains cas.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender permettant de bénéficier des services associés peut être nécessaire pour les alertes de ce contrôle.

Définitions intégrées d’Azure Policy – Microsoft.ServiceFabric :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0

4.9 : Consigner et alerter les modifications apportées aux ressources Azure critiques

Aide : Utilisez Azure Monitor avec le journal des activités Azure pour créer des alertes lorsque des modifications sont apportées à des ressources Azure critiques.

Responsabilité : Customer

Gestion des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des vulnérabilités.

5.1 : Exécuter les outils d’analyse des vulnérabilités automatisés

Aide : Exécutez régulièrement les services d’analyse des fautes et de chaos Service Fabric pour simuler les erreurs sur l’ensemble du cluster afin d’évaluer la robustesse et la fiabilité de vos services.

Suivez les recommandations d’évaluation des vulnérabilités de Microsoft Defender pour le cloud sur vos machines virtuelles et images conteneur Azure.

Utilisez une solution tierce pour effectuer des évaluations des vulnérabilités sur les périphériques réseau et les applications Web. Lors de l’exécution d’analyses à distance, n’utilisez pas un compte d’administration unique et perpétuel. Envisagez d’implémenter une méthodologie d’approvisionnement JIT pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.

Responsabilité : Customer

5.2 : Déployer une solution de gestion des correctifs de système d’exploitation automatisée

Conseil : Activez les mises à niveau automatiques de l’image du système d’exploitation sur les groupes de machines virtuelles identiques de votre cluster Service Fabric.

Pour tester les correctifs du système d’exploitation avant de passer en production, vous pouvez également utiliser le déclencheur manuel pour les mises à niveau d’images du système d’exploitation de votre groupe identique. Notez que l’option de déclencheur manuel ne fournit pas de restauration intégrée. Surveillez les correctifs du système d’exploitation à l’aide de la gestion des mises à jour proposée par Azure Automation.

Responsabilité : Customer

5.3 : Déployer une solution de gestion automatisée des correctifs des logiciels tiers

Aide : Activez les mises à niveau automatiques de l’image du système d’exploitation sur les groupes de machines virtuelles identiques de votre cluster Azure Service Fabric. L’application d’orchestration des correctifs est une solution alternative conçue pour les clusters hébergés Service Fabric en dehors d’Azure. L’application d’orchestration des correctifs peut être utilisé avec les clusters Azure, avec une surcharge d’hébergement supplémentaire.

Responsabilité : Customer

5.4 : Comparer les analyses de vulnérabilités dos à dos

Conseils : Exportez les résultats de l’analyse à intervalles réguliers et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous appliquez les recommandations de gestion des vulnérabilités proposées par Microsoft Defender pour le cloud, vous pouvez basculer vers le portail de la solution sélectionnée pour afficher les données d’analyse historiques.

Responsabilité : Customer

5.5 : Utilisez un processus de classement des risques pour classer par ordre de priorité la correction des vulnérabilités découvertes.

Instructions : Utilisez un programme de scoring des risques courants (par exemple, Common Vulnerability Scoring System) ou bien les évaluations des risques par défaut fournies par votre outil d’analyse tiers.

Responsabilité : Customer

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Aide : Utilisez Azure Resource Graph pour interroger/découvrir toutes les ressources (telles que calcul, stockage, réseau, ports et protocoles) dans vos abonnements. Vérifiez les autorisations (lecture) appropriées dans votre locataire et répertoriez tous les abonnements Azure, ainsi que les ressources dans vos abonnements.

Bien que les ressources Azure classiques puissent être découvertes via Resource Graph, il est vivement recommandé de créer et d’utiliser des ressources Azure Resource Manager à l’avenir.

Responsabilité : Customer

6.2 : Gérer les métadonnées de ressources

Conseils : Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Conseils : Utilisez des étiquettes, des groupes d’administration et diviser des abonnements, le cas échéant, pour organiser et suivre les ressources. Rapprochez régulièrement l’inventaire et assurez-vous que les ressources non autorisées sont supprimées de l’abonnement en temps utile.

Responsabilité : Customer

6.4 : Définir et tenir un inventaire des ressources Azure approuvées

Aide : Définissez des ressources Azure approuvées et des logiciels approuvés pour les ressources de calcul.

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Conseils : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant Azure Policy avec les définitions intégrées suivantes :

  • Types de ressources non autorisés

  • Types de ressources autorisés

Utilisez Azure Resource Graph pour interroger/découvrir les ressources dans vos abonnements. Vérifiez que toutes les ressources Azure présentes dans l’environnement sont approuvées.

Responsabilité : Customer

6.6 : Analyser les applications logicielles non approuvées dans des ressources de calcul

Instructions : Implémentez une solution tierce afin de superviser les nœuds de cluster pour les applications logicielles non approuvées.

Responsabilité : Customer

6.7 : Supprimer des ressources et applications logicielles Azure non approuvées

Conseil : Utilisez Azure Resource Graph pour interroger/découvrir toutes les ressources (comme le calcul, le stockage, le réseau, les ports, les protocoles, etc.), dont les clusters Service Fabric, dans vos abonnements. Supprimez toutes les ressources Azure non approuvées que vous découvrez. Concernant les nœuds de cluster Service Fabric, implémentez une solution tierce pour générer des alertes sur les logiciels non approuvés ou les supprimer.

Responsabilité : Customer

6.8 : Utiliser des applications approuvées uniquement

Conseil : Pour les nœuds de cluster Service Fabric, implémentez une solution tierce qui empêche l’exécution de logiciels non autorisés.

Responsabilité : Customer

6.9 : Utiliser des services Azure approuvés uniquement

Aide : Utilisez Azure Policy pour limiter les services que vous pouvez approvisionner dans votre environnement.

Responsabilité : Customer

6.10 : Tenir un inventaire des titres de logiciels approuvés

Aide : Pour les nœuds de cluster Azure Service Fabric, implémentez une solution tierce qui empêche l’exécution de types de fichier non autorisés.

Responsabilité : Customer

6.11 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Aide : Utilisez l’accès conditionnel Azure pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

6.12 : Limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul

Aide : Utilisez des configurations de système d’exploitation spécifiques ou des ressources tierces pour limiter la capacité des utilisateurs à exécuter des scripts dans des ressources de calcul Azure.

Responsabilité : Customer

6.13 : Séparer physiquement ou logiquement des applications à risque élevé

Aide : Les logiciels nécessaires à des opérations métier, mais qui peuvent poser un risque élevé pour l’organisation, doivent être isolés sur leur propre machine virtuelle et/ou réseau virtuel et être suffisamment sécurisés à l’aide d’un Pare-feu Azure ou d’un groupe de sécurité réseau.

Responsabilité : Customer

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Aide : Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.ServiceFabric » afin de créer des stratégies personnalisées pour auditer ou appliquer la configuration réseau de votre cluster Service Fabric.

Responsabilité : Customer

7.2 : Établir des configurations sécurisées du système d’exploitation

Conseil : Les images du système d’exploitation Service Fabric sont gérées et entretenues par Microsoft. Client chargé d’implémenter des configurations sécurisées pour le système d’exploitation de vos nœuds de cluster.

Responsabilité : Customer

7.3 : Gérer les configurations de ressources Azure sécurisées

Conseil : Utilisez les effets Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer des paramètres sécurisés pour vos clusters Azure Service Fabric et les ressources associées.

Responsabilité : Customer

7.4 : Préserver la sécurité des configurations du système d'exploitation

Conseil : Les images du système d’exploitation du cluster Service Fabric sont gérées et entretenues par Microsoft. Client chargé de l’implémentation de la configuration de l’état au niveau du système d’exploitation.

Responsabilité : Partagé

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Aide : Si vous utilisez des définitions Azure Policy personnalisées, utilisez Azure DevOps ou Azure Repos pour stocker et gérer votre code en toute sécurité.

Responsabilité : Customer

7.6 Stocker en toute sécurité des images de système d’exploitation personnalisées

Aide : Si vous avez recours à des images personnalisées, utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour garantir que seuls les utilisateurs autorisés ont accès à ces images. Pour les images conteneur, stockez-les dans Azure Container Registry et utilisez Azure RBAC pour vous assurer que seuls les utilisateurs autorisés peuvent accéder aux images.

Responsabilité : Customer

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Aide : Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.ServiceFabric » pour créer des stratégies personnalisées d’alerte, d’audit ou d’application de configurations système. En outre, développez un processus et un pipeline pour la gestion des exceptions de stratégie.

Responsabilité : Customer

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Aide : Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.ServiceFabric » afin de créer des stratégies personnalisées pour auditer ou appliquer la configuration de votre cluster Service Fabric.

Responsabilité : Customer

7.10 : Implémenter la surveillance de la configuration automatique pour les systèmes d’exploitation

Conseils : Utilisez Microsoft Defender pour le cloud pour effectuer des analyses de base pour le système d’exploitation et les paramètres Docker pour les conteneurs.

Responsabilité : Customer

7.11 : Gérer les secrets Azure en toute sécurité

Conseils : Utilisez Managed Service Identity conjointement avec Azure Key Vault pour simplifier et sécuriser la gestion des secrets pour vos applications Cloud.

Responsabilité : Customer

7.12 : Gérer les identités de façon sécurisée et automatique

Conseils : Les identités gérées peuvent être utilisées dans les clusters Service Fabric déployés par Azure et pour les applications déployées en tant que ressources Azure. Les identités managées permettent de s’authentifier auprès d’un service qui prend en charge l’authentification Azure Active Directory (Azure AD), notamment Key Vault, sans informations d’identification dans votre code.

Responsabilité : Customer

7.13 : Éliminer l’exposition involontaire des informations d’identification

Aide : Si vous utilisez du code lié à votre déploiement Azure Service Fabric, vous pouvez implémenter Credential Scanner pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Utilisez Azure Key Vault pour faire pivoter automatiquement les certificats de cluster Service Fabric.

Responsabilité : Customer

Défense contre les programmes malveillants

Pour plus d’informations, consultez Benchmark de sécurité Azure : Défense contre les programmes malveillants.

8.1 : Utiliser un logiciel anti-programme malveillant géré de manière centralisée

Aide : Par défaut, l’antivirus Windows Defender est installé sur Windows Server 2016. L’interface utilisateur est installée par défaut sur certaines références SKU, mais elle n’est pas obligatoire.

Si vous n’utilisez pas Windows Defender, reportez-vous à la documentation de votre logiciel anti-programme malveillant pour les règles de configuration. Windows Defender n’est pas pris en charge sur Linux.

Responsabilité : Customer

Récupération des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : récupération de données.

9.1 : garantir des sauvegardes automatisées régulières

Aide : Le service de sauvegarde et de restauration de Service Fabric permet de sauvegarder facilement et automatiquement les informations stockées dans les services avec état. Une sauvegarde périodique des données d’application est essentielle pour éviter la perte de données et l’indisponibilité du service. Service Fabric fournit un service de sauvegarde et restauration facultatif, ce qui vous permet de configurer une sauvegarde périodique des services fiables (Reliable Services) avec état (dont les services d’acteur) sans avoir à écrire du code supplémentaire. Il facilite également la restauration des sauvegardes précédemment effectuées.

Responsabilité : Customer

9.2 : Effectuer des sauvegardes complètes du système et sauvegarder les clés gérées par le client

Aide : Activez le service de restauration de sauvegarde dans votre cluster Service Fabric et créez des stratégies de sauvegarde pour sauvegarder régulièrement et à la demande des services avec état. Sauvegardez les clés gérées par le client dans Azure Key Vault.

Responsabilité : Customer

9.3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Aide : Vérifiez que vous pouvez effectuer la restauration à partir du service de restauration de sauvegarde en examinant périodiquement les informations de configuration de la sauvegarde et les sauvegardes disponibles. Testez la restauration des clés gérées par le client sauvegardées.

Responsabilité : Customer

9.4 : Garantir la protection des sauvegardes et des clés gérées par le client

Aide : Les sauvegardes effectuées à partir du service de restauration de sauvegarde Service Fabric utilisent un compte de stockage Azure dans votre abonnement. Le stockage Azure chiffre toutes les données dans un compte de stockage au repos. Par défaut, les données sont chiffrées avec des clés managées par Microsoft Afin d’avoir un contrôle supplémentaire sur les clés de chiffrement, vous pouvez fournir des clés gérées par le client à utiliser pour le chiffrement des données de stockage.

Si vous utilisez des clés gérées par le client, vérifiez que la suppression réversible est activée dans Key Vault pour protéger les clés contre toute suppression accidentelle ou malveillante.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Aide : Développez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Aide : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à la métrique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

En outre, marquez les abonnements à l’aide d’étiquettes et créez un système de nommage pour identifier et classer les ressources Azure, en particulier celles qui traitent des données sensibles. Il vous incombe de hiérarchiser le traitement des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Exécutez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes de façon régulière. Identifiez les points faibles et les lacunes, et révisez le plan en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Instructions : Microsoft utilisera les informations de contact pour le signalement d’incidents de sécurité pour vous contacter si le Microsoft Security Response Center (MSRC) découvre que vos données ont été consultées de manière illégale ou par un tiers non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Conseils : Exportez les alertes et les recommandations de Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation continue. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Conseils : Utilisez la fonctionnalité d’automatisation des workflows dans Microsoft Defender pour le cloud pour déclencher automatiquement des réponses via « Logic Apps » sur les alertes et recommandations de sécurité.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes