Ligne de base de sécurité Azure pour Azure Spring Cloud Service

Cette base de référence de sécurité applique les instructions du benchmark de sécurité Azure version 2.0 à Azure Spring Cloud Service. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Spring Cloud Service.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une section a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Spring Cloud Service et ceux pour lesquels l’aide globale est recommandée textuellement ont été exclus. Pour voir comment Azure Spring Cloud Service est entièrement mappé au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Azure Spring Cloud Service.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : Lorsque vous déployez des ressources Azure Spring Cloud Service, créez ou utilisez un réseau virtuel existant. Vérifiez que tous les réseaux virtuels Azure suivent un principe de segmentation d’entreprise qui s’aligne sur les risques métier. Si un système présente un risque plus élevé pour l’organisation, isolez-le au sein de son propre réseau virtuel. Sécurisez suffisamment ce système avec un groupe de sécurité réseau (NSG) ou le Pare-feu Azure.

À l’aide du renforcement du réseau adaptatif Microsoft Defender pour le cloud, recommandez des configurations NSG qui limitent les ports et les adresses IP sources. Basez les configurations sur les règles du trafic réseau externe.

En fonction de vos applications et de votre stratégie de segmentation d’entreprise, limitez ou autorisez le trafic entre des ressources internes à l’aide des règles de votre NSG. Pour des applications spécifiques et bien définies (par exemple une application à trois niveaux), il peut s’agir d’une approche « Refuser par défaut » hautement sécurisée.

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Aide : Avec Azure ExpressRoute ou le réseau privé virtuel (VPN, Virtual Private Network) Azure, créez des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne passent pas par l’Internet public. Par rapport à des connexions Internet classiques, les connexions ExpressRoute offrent les avantages suivants :

  • Une plus grande fiabilité
  • Des vitesses supérieures
  • Des latences plus faibles

Pour un VPN point à site et un VPN site à site, connectez des appareils ou des réseaux locaux à un réseau virtuel. Utilisez n’importe quelle combinaison de ces options de VPN et d’Azure ExpressRoute.

Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels. Le trafic réseau entre les réseaux virtuels homologués est privé. Ce type de trafic est conservé sur le réseau principal Azure.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions intégrées d’Azure Policy - Microsoft.AppPlatform :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Spring Cloud doit utiliser l’injection de réseau Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. Audit, Désactivé, Refus 1.0.0

NS-3 : Établir un accès réseau privé aux services Azure

Conseils : Azure Spring Cloud Service n’autorise pas la sécurisation de ses points de terminaison de gestion sur un réseau privé avec le service de liaison privée.

Azure Spring Cloud Service ne permet pas de configurer des points de terminaison de service de réseau virtuel.

Responsabilité : Customer

NS-4 : Protégez les applications et les services contre les attaques réseau externes

Conseils : Protégez vos ressources Azure Spring Cloud Service contre les attaques de réseaux externes, notamment :

  • Attaques par déni de service distribué (DDoS).
  • Attaques spécifiques à l’application.
  • Trafic Internet non sollicité et potentiellement malveillant.

Utilisez le Pare-feu Azure pour protéger les applications et les services contre le trafic potentiellement malveillant provenant d’Internet et d’autres emplacements externes. Pour protéger vos ressources contre les attaques DDoS, activez la protection DDoS standard sur vos réseaux virtuels Azure. Utilisez Microsoft Defender pour le cloud pour déceler les risques de configuration incorrecte dans les ressources liées au réseau.

Pour protéger vos applications qui s’exécutent sur Azure Spring Cloud Service contre les attaques de la couche application, utilisez les fonctionnalités de pare-feu d’applications Web (WAF) dans :

  • Azure Application Gateway
  • Azure Front Door
  • Azure Content Delivery Network (CDN)

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

NS-5 : Déployer des systèmes de détection et de prévention des intrusions (IDS/IPS)

Conseils : Utilisez le filtrage basé sur le renseignement sur les menaces du Pare-feu Azure pour générer des alertes ou bloquer le trafic en provenance ou à destination d’adresses IP et de domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence. Quand l’inspection de la charge utile est nécessaire, déployez un système tiers de détection et de prévention d’intrusion (IDS/IPS) à partir de la Place de marché Azure avec des fonctionnalités d’inspection de charge utile. Vous pouvez également utiliser un système IDS/IPS basé sur un hôte ou une solution de détection de point de terminaison et réponse (EDR) basée sur un hôte avec ou au lieu d’un système IDS/IPS basé sur le réseau.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseils : À l’aide des étiquettes de service du réseau virtuel Azure, définissez les contrôles d’accès au réseau sur les groupes de sécurité réseau ou Pare-feu Azure qui sont configurés pour vos ressources Azure Spring Cloud Service. Utilisez des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service dans le champ de source ou de destination approprié d’une règle, autorisez ou refusez le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse que l’étiquette de service englobe. Il met automatiquement à jour l’étiquette de service lorsque les adresses changent.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseils : Suivez les meilleures pratiques de sécurité DNS pour atténuer les attaques courantes :

  • DNS non résolus
  • Attaques d’amplifications DNS
  • Empoisonnement DNS et usurpation d’identité

Que faire si vous souhaitez utiliser Azure DNS comme service DNS faisant autorité ? Protégez ensuite les zones et les enregistrements DNS contre toute modification accidentelle ou malveillante à l'aide du contrôle d'accès en fonction du rôle Azure (Azure RBAC) et des verrous de ressources.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Azure Spring Cloud Service utilise Azure Active Directory (Azure AD) comme service par défaut de gestion des identités et des accès. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources Microsoft Cloud, comme :

    • Portail Azure
    • Stockage Azure
    • Machines virtuelles Azure (Linux et Windows)
    • Azure Key Vault
    • Platform as a service (PaaS)
    • Applications SaaS (software as a Service)
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

Faites de la sécurisation d’Azure AD une priorité absolue dans le cadre des pratiques de votre organisation en matière de sécurité cloud. Pour vous aider à comparer la posture de sécurité de votre identité aux recommandations de Microsoft, Azure AD fournit un score d’identité sécurisée. Utilisez ce score pour évaluer dans quelle mesure votre configuration correspond aux meilleures pratiques. Améliorez ensuite votre position de sécurité.

Remarque : Azure AD prend en charge les identités externes. Les utilisateurs qui ne disposent pas d’un compte Microsoft peuvent ainsi se connecter à leurs applications et ressources à l’aide de leur identité externe.

Azure Spring Cloud intègre le rôle « Lecteur de données Azure Spring Cloud », qui indique l’accès « en lecture » aux ressources du plan de données Azure Spring Cloud. Que faire si les clients veulent autoriser d'autres personnes à accéder à leur plan de données Azure Spring Cloud ? Les clients peuvent alors utiliser ce rôle et accorder l’autorisation à d’autres utilisateurs.

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseils : Azure Spring Cloud Service prend en charge les identités gérées pour ses ressources Azure. Au lieu de créer des principaux de service pour accéder à d’autres ressources, utilisez des identités managées avec Azure Spring Cloud Service. Azure Spring Cloud Service peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. L’authentification s’effectue par le biais d’une règle prédéfinie d’octroi d’accès. Elle n’utilise pas d’informations d’identification codées en dur dans le code source ou les fichiers config.

Voulez-vous configurer des principaux de service avec des informations d’identification de certificat et revenir aux secrets des clients ? Azure Spring Cloud Service vous recommande alors d’utiliser Azure AD pour créer un principal de service avec des autorisations limitées au niveau de la ressource. Dans les deux cas, Key Vault peut être utilisé avec des identités managées par Azure. L’environnement d’exécution (par exemple, en tant que fonction Azure) peut ensuite récupérer les informations d’identification du coffre de clés.

Responsabilité : Partagé

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseils : Azure Spring Cloud Service utilise Azure AD pour fournir la gestion des identités et des accès à :

  • Ressources Azure
  • Applications cloud
  • Applications locales

La gestion des identités et des accès comprend les identités d’entreprise, telles que les employés, et les identités externes, telles que :

  • Partenaires
  • Fournisseurs
  • Fournisseurs

Grâce à cette gestion, l’authentification unique (SSO) peut gérer et sécuriser l’accès aux données et aux ressources de votre organisation. Vous pouvez appliquer l’authentification unique localement et dans le cloud. Pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus, connectez à Azure AD tous vos :

  • Utilisateurs
  • Applications
  • Périphériques

Pour plus d’informations, lisez l’article suivant :

Responsabilité : Customer

IM-4 : Utiliser des contrôles d’authentification forte pour tous les accès basés sur Azure AD

Conseils : Azure Spring Cloud Service utilise Azure AD, qui prend en charge des contrôles d’authentification forte par le biais de l’authentification multifacteur et de méthodes fortes sans mot de passe.

  • MFA. Activez Azure AD Multifactor Authentication. Pour appliquer les meilleures pratiques dans votre configuration de l’authentification multifacteur, suivez les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud. En fonction des conditions de connexion et des facteurs de risque, l’authentification multifacteur peut être appliquée à :

    • tous les utilisateurs
    • Sélectionnez les utilisateurs
    • au niveau de chaque utilisateur
  • Authentification sans mot de passe. Trois options d’authentification sans mot de passe sont proposées :

    • Windows Hello Entreprise
    • Application Microsoft Authenticator
    • Des méthodes d’authentification locales, telles que les cartes à puce

Pour les administrateurs et les utilisateurs privilégiés, utilisez le niveau le plus élevé de la méthode d’authentification forte. Ensuite, déployez la stratégie d’authentification forte appropriée pour les autres utilisateurs.

Responsabilité : Customer

IM-5 : Surveiller et alerter en cas d’anomalies de compte

Conseils : Azure Spring Cloud Service est intégré à Azure AD, qui fournit les sources de données suivantes :

  • Connexions. Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit. Les journaux d’audit fournissent une traçabilité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Il peut s’agir, par exemple, de modifications apportées à une ressource au sein d’Azure AD, telles que l’ajout ou la suppression des éléments suivants :

    • Utilisateurs
    • Applications
    • Groupes
    • Rôles
    • Stratégies
  • Connexions risquées. Une connexion risquée indique une tentative de connexion qui a pu être effectuée par une personne autre que le propriétaire légitime du compte d’utilisateur.

  • Utilisateurs marqués d’un indicateur de risque. Un utilisateur à risque est un compte d’utilisateur susceptible d’être compromis.

Ces sources de données peuvent être intégrées à :

  • Azure Monitor
  • Microsoft Sentinel
  • Des systèmes tiers d’informations de sécurité et de gestion d’événements (SIEM)

Microsoft Defender pour le cloud peut également vous alerter à propos de certaines activités suspectes. Ces activités incluent un nombre excessif de tentatives d’authentification ayant échoué ou des comptes dépréciés dans l’abonnement.

Azure Advanced Threat Protection (ATP) est une solution de sécurité. Elle peut utiliser les signaux d’Active Directory pour identifier, détecter et examiner :

  • Les menaces avancées
  • Les identités compromises
  • Les actions malveillantes d’une personne interne

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

IM-6 : Restreindre l’accès aux ressources Azure en fonction des conditions

Conseils : Azure Spring Cloud Service prend en charge l’accès conditionnel Azure AD pour un contrôle d’accès plus granulaire basé sur des conditions définies par l’utilisateur. Ces conditions incluent les connexions utilisateur à partir de certaines plages d'adresses IP qui doivent se connecter via l’authentification multifacteur (MFA). Vous pouvez également utiliser une stratégie de gestion granulaire des sessions d’authentification dans différents cas d’usage. Ces stratégies d'accès conditionnel s'appliquent uniquement aux comptes d'utilisateur qui s'authentifient auprès d'Azure AD pour accéder à Azure Spring Cloud Service. Ces stratégies ne s'appliquent pas aux principaux de service, clés ou jetons utilisés pour se connecter à votre ressource Azure Spring Cloud Service.

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Azure Spring Cloud Service permet aux clients de déployer et d’exécuter les entités suivantes avec des identités ou des secrets :

  • Code
  • Configurations
  • Données persistantes

Implémentez Credential Scanner pour identifier les informations d’identification au sein de ces entités. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels que Key Vault.

Pour GitHub, vous pouvez utiliser la fonctionnalité native d’analyse de secret pour identifier les informations d’identification ou d’autres formes de secrets dans le code.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-2 : Limiter l’accès administratif aux systèmes critiques de l’entreprise

Conseils : Azure Spring Cloud Service utilise Azure RBAC pour isoler l’accès aux systèmes critiques de l’entreprise. Il limite les comptes qui bénéficient d’un accès privilégié aux abonnements et aux groupes d’administration dans lesquels ils se trouvent.

Restreignez également l’accès aux systèmes de gestion, d’identité et de sécurité qui ont un accès administratif à vos contrôles d'accès vitaux pour l'entreprise, tels que :

  • Contrôleurs de domaine Active Directory (DCS)
  • Les outils de sécurité.
  • Les outils de gestion du système avec les agents installés sur les systèmes vitaux pour l’entreprise.

Les attaquants qui compromettent ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources stratégiques de l’entreprise.

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès avec la stratégie de segmentation de votre entreprise.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Pour garantir la validité des comptes Azure AD et de leur accès, Azure Spring Cloud Service utilise ces comptes pour :

  • Gérer ses ressources.
  • Passer en revue les comptes d’utilisateur.
  • Accéder régulièrement aux affectations.

Utilisez les révisions Azure AD et d’accès pour passer en revue les éléments suivants :

  • Appartenances aux groupes
  • Accès aux applications d’entreprise
  • Affectations de rôles

Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Pour faciliter le processus de révision, utilisez Azure AD Privileged Identity Management (PIM) afin de créer des workflows de rapport pour les révisions d’accès.

Vous pouvez également configurer Azure AD PIM pour vous avertir lorsque trop de comptes d’administrateur sont créés. Ou le configurer pour identifier les comptes d’administrateur périmés ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Gérez ces utilisateurs séparément.

Azure Spring Cloud intègre le rôle « Lecteur de données Azure Spring Cloud ». Ce rôle indique un accès « en lecture » aux ressources de plan de données dans Azure Spring Cloud. Que faire si un client veut autoriser d'autres personnes à accéder à son plan de données Azure Spring Cloud ? Le client peut alors utiliser ce rôle et accorder l’autorisation à d’autres utilisateurs,

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

PA-4 : Configurer l’accès d’urgence dans Azure AD

Conseils : Azure Spring Cloud Service utilise Azure AD pour gérer ses ressources. Vous voulez éviter d'être accidentellement bloqué en dehors de votre organisation Azure AD ? Dans ce cas, configurez un compte d'accès d'urgence pour y accéder lorsque les comptes administratifs normaux ne peuvent pas être utilisés. Les comptes d’accès d’urgence sont hautement privilégiés. N’affectez pas ces comptes à des personnes spécifiques. Les comptes d’accès d’urgence sont limités à des cas d’urgence ou à des scénarios « de secours » où il est impossible d’utiliser des comptes d’administration normaux.

Conservez les informations d’identification (par exemple, le mot de passe, le certificat ou la carte à puce) pour les comptes d’accès d’urgence sécurisés. Communiquez les informations d’identification uniquement aux personnes autorisées à les utiliser uniquement en cas d’urgence.

Responsabilité : Customer

PA-5 : Automatiser la gestion des droits d'utilisation

Conseils : Azure Spring Cloud Service s’intègre à Azure AD pour gérer ses ressources. Grâce aux fonctionnalités de gestion des droits d'Azure AD, automatisez les workflows de demandes d'accès, notamment :

  • Attributions d'accès
  • Révisions
  • Expiration

L’approbation en deux ou plusieurs étapes est également prise en charge.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont d’une importance capitale pour la sécurité des rôles sensibles, par exemple :

  • Administrateur
  • Développeur
  • Opérateur de service critique

Utilisez des stations de travail utilisateur hautement sécurisées ou Azure Bastion pour les tâches d’administration. Pour déployer une station de travail utilisateur sécurisée et gérée, utilisez un ou plusieurs des éléments suivants :

  • Azure AD
  • Microsoft Defender - Protection avancée contre les menaces (ATP)
  • Microsoft Intune

Gérez de manière centralisée les stations de travail sécurisées afin d’appliquer la configuration sécurisée, notamment :

  • Authentification renforcée
  • Lignes de base logicielles et matérielles
  • Accès logique et réseau restreints

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure Spring Cloud Service s’intègre à Azure RBAC pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Attribuez ces rôles à différentes entités :

  • Utilisateurs
  • Groupes
  • Principaux de service
  • Identités managées

Des rôles intégrés sont prédéfinis pour certaines ressources. Vous pouvez inventorier et interroger ces rôles à l’aide de différents outils :

  • Azure CLI
  • Azure PowerShell
  • Portail Azure

Limitez toujours les privilèges que vous attribuez aux ressources par le biais du contrôle RBAC Azure à ce dont les rôles ont besoin. Cette pratique complète l'approche juste-à-temps (JIT) d'Azure AD PIM et doit être révisée régulièrement.

Utilisez des rôles intégrés pour accorder des autorisations. Créez des rôles personnalisés uniquement si nécessaire.

Azure Spring Cloud intègre le rôle « Lecteur de données Azure Spring Cloud », qui indique l’accès « en lecture » aux ressources du plan de données dans Azure Spring Cloud. Que faire si le client veut autoriser d'autres personnes à accéder à son plan de données Azure Spring Cloud ? Le client peut alors utiliser ce rôle et accorder l’autorisation à d’autres utilisateurs,

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-1 : Découvrir, classer et étiqueter des données sensibles

Conseils : Non applicable ; Azure Spring Cloud Service gère le contenu du client, mais il ne permet pas aux clients de découvrir, classer ou étiqueter ces données.

Responsabilité : Customer

DP-2 : Protection des données sensibles

Aide : Pour protéger les données sensibles, restreignez l’accès par différents moyens :

  • RBAC Azure.
  • Contrôles d’accès réseau.
  • Contrôles spécifiques dans les services Azure, par exemple le chiffrement.

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès avec la stratégie de segmentation de votre entreprise. Orientez cette stratégie en fonction de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

En ce qui concerne la plateforme sous-jacente (gérée par Microsoft), Microsoft traite tout le contenu client comme sensible. Il le protège contre la perte et l’exposition des données client. Pour assurer la sécurité des données client dans Azure, Microsoft a implémenté plusieurs contrôles et fonctionnalités de protection des données par défaut.

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseils : Pour compléter les contrôles d’accès, protégez les données en transit contre les attaques « hors bande », telles que la capture du trafic. Utilisez le chiffrement pour s’assurer que les attaquants ne peuvent pas facilement lire ou modifier les données.

Azure Spring Cloud Service prend en charge le chiffrement des données en transit avec le protocole Transport Layer Security (TLS) v1.2 ou version ultérieure.

Ce chiffrement est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Dans le cas du trafic HTTP, vérifiez que les clients qui se connectent à vos ressources Azure peuvent négocier la version 1.2 ou une version plus récente du protocole TLS. Pour la gestion à distance, au lieu d’un protocole non chiffré, utilisez l’un des protocoles suivants :

  • Secure Shell (SSH) pour Linux
  • Remote Desktop Protocol (RDP) et TLS pour Windows

Désactivez les chiffrements faibles, ainsi que les versions et protocoles obsolètes de :

  • SSL (Secure Sockets Layer)
  • TLS
  • SSH

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Conseils : Pour compléter les contrôles d’accès, Azure Spring Cloud Service chiffre les données au repos afin de protéger contre les attaques « hors-bande » (comme l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela permet de s’assurer que les attaquants ne peuvent pas facilement lire ou modifier les données.

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Accordez aux équipes de sécurité les autorisations de lecteur de sécurité dans votre locataire Azure et vos abonnements. Les équipes peuvent alors surveiller les risques de sécurité à l'aide de Microsoft Defender pour le cloud.

Selon la façon dont vous structurez les responsabilités de l'équipe de sécurité, une équipe de sécurité centrale ou une équipe locale peut être chargée de surveiller les risques de sécurité. Regroupez toujours les Insights et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez appliquer les autorisations du lecteur de sécurité de manière générale à un locataire entier (groupe de gestion racine), ou les étendre à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Assurez-vous que les équipes de sécurité peuvent accéder à un inventaire continuellement mis à jour des ressources sur Azure, notamment Azure Spring Cloud Service. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation à des risques émergents. L’inventaire est également une source d’informations pour l’amélioration continue de la sécurité. Créez un groupe Azure AD pour contenir l’équipe de sécurité autorisée de votre organisation. Attribuez à l'équipe un accès en lecture à toutes les ressources Azure Spring Cloud Service. Vous pouvez simplifier ces étapes en effectuant une seule attribution de rôle de niveau supérieur au sein de votre abonnement.

Pour organiser logiquement les ressources en une taxonomie, appliquez des étiquettes aux éléments suivants :

  • Ressources Azure
  • Groupes de ressources
  • Abonnements

Chaque étiquette se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Utilisez l’inventaire des machines virtuelles Azure pour automatiser la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Sur le portail Azure, les éléments suivants sont disponibles :

  • Nom du logiciel
  • Version
  • Serveur de publication
  • Heure d’actualisation

Pour accéder aux dates d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité. Placez ensuite les journaux des événements Windows dans un espace de travail Log Analytics.

Pour spécifier les types de fichiers auxquels une règle peut ou non s’appliquer, utilisez les contrôles d’application adaptative Microsoft Defender pour le cloud.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Auditez et limitez les services que les utilisateurs peuvent approvisionner dans votre environnement avec Azure Policy. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Avec Monitor, créez des règles qui déclenchent des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

AM-4 : Garantir la sécurité de la gestion du cycle de vie des actifs

Conseils : Non applicable ; vous ne pouvez pas utiliser Azure Spring Cloud Service pour garantir la sécurité des ressources dans un processus de gestion du cycle de vie. Il incombe au client de gérer les attributs et les configurations réseau des ressources considérées comme ayant un impact élevé. Demandez au client de créer un processus pour :

  • Capturer les modifications d’attributs et de configuration réseau.
  • Mesurer l’impact de la modification.
  • Créer des tâches de correction, le cas échéant.

Responsabilité : Customer

AM-5 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Conseils : À l’aide de l’accès conditionnel Azure, limitez la capacité des utilisateurs à interagir avec Azure Resource Manager. Configurez « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

AM-6 : Utiliser uniquement des applications approuvées dans les ressources de calcul

Conseils : À l’aide de l’inventaire des machines virtuelles Azure, automatisez la collecte d’informations sur tous les logiciels présents sur les machines virtuelles. Le portail Azure met à disposition les éléments suivants :

  • Nom du logiciel
  • Version
  • Serveur de publication
  • Heure d’actualisation

Pour accéder aux dates d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité. Importez ensuite les journaux des événements Windows dans un espace de travail Log Analytics.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Utilisez la fonctionnalité de détection des menaces intégrée à Microsoft Defender pour le cloud. Activez Microsoft Defender pour vos ressources Azure Spring Cloud Service. Microsoft Defender pour Azure Spring Cloud Service fournit une autre couche d’intelligence en matière de sécurité. Cette couche détecte les tentatives inhabituelles et potentiellement dangereuses d’accès à vos ressources Azure Spring Cloud Service ou d’exploitation de ces ressources.

Transmettez tous les journaux d'Azure Spring Cloud Service à votre SIEM afin de pouvoir configurer des détections de menaces personnalisées. Monitorez les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l'obtention d'alertes de haute qualité afin que les analystes n'aient pas à trier autant de faux positifs. Vous pouvez sourcer les alertes à partir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseil : Azure Active Directory (Azure AD) fournit les journaux utilisateur suivants :

  • Connexions. Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit. Les journaux d’audit fournissent une traçabilité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Il peut s’agir, par exemple, de modifications apportées à des ressources au sein d’Azure AD, telles que l’ajout ou la suppression des éléments suivants :

    • Utilisateurs
    • Applications
    • Groupes
    • Rôles
    • Stratégies
  • Connexions risquées. Une connexion risquée indique une tentative de connexion qui a pu être effectuée par une personne qui n’est pas le propriétaire légitime du compte d’utilisateur.

  • Utilisateurs marqués d’un indicateur de risque. Un utilisateur à risque est un compte d’utilisateur susceptible d’être compromis.

Vous pouvez consulter ces journaux dans les rapports Azure AD. Pour des cas d’usage plus sophistiqués en matière de surveillance et d’analyse, vous pouvez intégrer les journaux à :

  • Superviser
  • Microsoft Sentinel
  • Autres outils SIEM et de monitoring

Microsoft Defender pour le cloud peut également déclencher des alertes lors de certaines activités suspectes. Ces activités incluent un nombre excessif de tentatives d’authentification ayant échoué ou des comptes dépréciés dans l’abonnement. En plus de la surveillance de base de l’hygiène de sécurité, le module de protection contre les menaces Microsoft Defender pour le cloud peut également collecter des alertes de sécurité approfondies au sujet d’un élément individuel :

  • Ressources de calcul Azure (machines virtuelles, conteneurs et App Service)
  • Ressources de données (base de données SQL et stockage)
  • Couches de service Azure

Cette fonctionnalité vous permet d’afficher les anomalies de compte au sein de ressources uniques.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils: Pour l’analyse de la sécurité, activez et collectez les journaux pour :

  • Ressources NSG
  • Flux NSG
  • Pare-feu Azure
  • Pare-feu d’applications web (WAF)

Utilisez ces journaux pour prendre en charge :

  • Enquêtes sur l’incident
  • Chasse des menaces
  • Génération d’alertes de sécurité

Envoyez les journaux de flux à un espace de travail Log Analytics dans Monitor. Utilisez ensuite Traffic Analytics pour fournir des insights.

Azure Spring Cloud Service journalise tout le trafic réseau qu’il traite pour l’accès client. Activer la fonctionnalité de workflow réseau au sein de vos ressources d’offre déployées.

Collectez les journaux de requêtes DNS pour améliorer la corrélation des autres données réseau. En fonction des besoins de votre organisation, implémentez une solution tierce de journalisation DNS à partir de Place de marché Azure.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d’activité contiennent toutes les opérations d’écriture (PUT, POST et DELETE) pour vos ressources Azure Spring Cloud Service. Ils sont disponibles automatiquement. Cependant, ils ne contiennent pas d’opérations de lecture (GET). Vous pouvez les utiliser pour rechercher une erreur lors de la résolution des problèmes ou bien pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez les journaux de ressources Azure pour Azure Spring Cloud Service. Utilisez Microsoft Defender pour le cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être essentiels pour examiner les incidents de sécurité et faire des exercices d’investigation.

Azure Spring Cloud Service génère également des journaux d’audit de sécurité pour les comptes d’administrateur local. Activez les journaux d’audit de l’administrateur local.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : Non applicable ; Azure Spring Cloud Service ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure.

Azure Spring Cloud Service s’appuie sur les sources de synchronisation horaire de Microsoft. Il n’est pas exposé aux clients à des fins de configuration.

Responsabilité : Microsoft

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

IR-1 : Préparation – mettre à jour le processus de réponse aux incidents pour Azure

Conseil : Assurez-vous que votre organisation :

  • a mis en place des processus pour répondre aux incidents de sécurité ;
  • A mis à jour ces processus pour Azure.
  • Teste régulièrement les processus pour garantir leur efficacité.

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

IR-2 : Préparation – configurer la notification d’incident

Conseil : Configurez les coordonnées de la personne à contacter en cas d’incident de sécurité dans Microsoft Defender pour le cloud. Que se passe-t-il si le Centre de réponse aux problèmes de sécurité Microsoft détecte qu’une partie illégale ou non autorisée a accédé à vos données ? Microsoft utilise ensuite ces informations pour vous contacter. En fonction de vos besoins en matière de réponse aux incidents, vous pouvez personnaliser les alertes et les notifications d’incidents dans différents services Azure.

Responsabilité : Customer

IR-3 : Détection et analyse - créer des incidents en fonction d’alertes de haute qualité

Conseils : Mettez en place un processus de création d’alertes de haute qualité et de mesure de leur qualité. Cette procédure vous permet de tirer des leçons des incidents passés. Vous pouvez alors vous concentrer sur les alertes pour les analystes afin qu’ils ne perdent pas de temps sur les faux positifs.

En fusionnant et en mettant en corrélation diverses sources de signaux, vous pouvez créer des alertes de haute qualité basées sur :

  • L’expérience tirée des incidents passés.
  • Des sources validées par la communauté.
  • Des outils conçus pour générer et résoudre les alertes.

Microsoft Defender pour le cloud fournit des alertes de haute qualité sur de nombreuses ressources Azure. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel. Pour générer automatiquement des incidents à des fins d’enquête, Azure Sentinel vous permet de créer des règles d’alerte avancées.

Pour mieux identifier les risques concernant les ressources Azure, exportez vos alertes et recommandations Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation. Exportez les alertes et les recommandations manuellement. Ou exportez-les de manière continue.

Responsabilité : Customer

IR-4 : Détection et analyse – enquêter sur un incident

Conseils : Assurez-vous que les analystes peuvent interroger et utiliser diverses sources de données lors de l’examen d’incidents potentiels. Les analystes peuvent ainsi créer une vue complète de ce qui s’est passé. Pour éviter les problèmes non détectés, collectez divers journaux pour suivre les activités d’un pirate potentiel sur la chaîne de destruction. Capturez les insights et les enseignements pour les autres analystes et à des fins de référence historique future.

Les sources de données à examiner comprennent les sources de journalisation centralisées qui sont déjà collectées auprès des services et des systèmes en fonctionnement concernés. Les sources de données peuvent également inclure les éléments suivants :

  • Données réseau. Pour capturer des journaux de flux réseau et d’autres informations d’analyse, utilisez :

    • Journaux de flux de groupes de sécurité réseau
    • Azure Network Watcher
    • Superviser
  • Captures instantanées des systèmes en fonctionnement :

    • Utilisez la capacité de capture instantanée de la machine virtuelle Azure pour créer un instantané du disque du système en fonctionnement.

    • Utilisez la capacité native de sauvegarde de la mémoire du système d’exploitation pour créer un instantané de la mémoire du système en fonctionnement.

    • Utilisez la capacité de capture instantanée des services Azure ou celle de votre logiciel pour créer des instantanés des systèmes en fonctionnement.

Microsoft Sentinel fournit une analyse complète des données dans pratiquement n’importe quelle source de journal. Il fournit un portail de gestion des cas pour gérer le cycle de vie complet des incidents. À des fins de suivi et de rapport, les renseignements obtenus au cours d’une enquête peuvent être associés à un incident.

Responsabilité : Customer

IR-5 : Détection et analyse – se concentrer sur les incidents

Conseils : En fonction de la gravité de l’alerte et de la sensibilité des ressources, donnez aux analystes le contexte sur lequel les incidents doivent se concentrer en premier lieu.

Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte. Cette gravité vous aide à mettre en évidence les alertes qui doivent être examinées en priorité. La gravité est basée sur :

  • La confiance de Microsoft Defender pour le cloud dans le résultat obtenu.
  • La confiance de Microsoft Defender pour le cloud dans l’analyse utilisée pour déclencher l’alerte.
  • Le niveau de confiance qu’une tentative malveillante est à l’origine de l’activité qui a provoqué l’alerte.

Marquez les ressources à l’aide d’étiquettes. Créez un système d’attribution de noms pour identifier et classer les ressources Azure, notamment celles qui traitent des données sensibles. Vous devez vous concentrer sur la correction des alertes en fonction de la criticité des ressources et de l’environnement Azure où l’incident s’est produit.

Responsabilité : Customer

IR-6 : Confinement, éradication et récupération – automatiser la gestion des incidents

Conseils : Automatisez les tâches manuelles répétitives pour accélérer le temps de réponse et réduire la charge de travail des analystes. Tâches manuelles :

  • Prennent plus de temps pour s’exécuter.
  • Ralentissent la progression de chaque incident.
  • Réduisent le nombre d’incidents qu’un analyste peut gérer.

Les tâches manuelles augmentent également la fatigue des analystes, ce qui augmente le risque d’erreur humaine entraînant des retards. La fatigue dégrade la capacité des analystes à se concentrer efficacement sur des tâches complexes.

Utilisez les fonctionnalités d’automatisation de workflow dans Microsoft Defender pour le cloud et Microsoft Sentinel pour déclencher automatiquement des actions. Ou utilisez ces fonctionnalités pour exécuter un guide opérationnel qui répond aux alertes de sécurité entrantes. Le guide opérationnel effectue différentes actions, notamment :

  • L'envoi de notifications
  • La désactivation de comptes
  • L’isolement des réseaux problématiques

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseils : Utilisez Microsoft Defender pour le cloud et Azure Policy afin d’établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-6 : Réaliser des évaluation des vulnérabilités logicielles

Conseils : Non applicable ; Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Azure Spring Cloud Service.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseils : Pour les logiciels tiers, utilisez une solution tierce de gestion des correctifs. Ou utilisez System Center Updates Publisher for Configuration Manager.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : le cas échéant, procédez à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure. Assurez-vous de corriger tous les résultats critiques en matière de sécurité.

Suivez les règles d’engagement relatives aux tests d’intrusion cloud Microsoft pour que vos tests d’intrusion soient bien conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft et des tests d’intrusion de site actif sur les ressources gérées par Microsoft :

  • Infrastructure cloud
  • Services
  • Applications

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Mettez en place les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Pour protéger les clés contre les suppressions accidentelles et les suppressions malveillantes, activez la suppression réversible et la protection contre la suppression définitive dans Key Vault.

Responsabilité : Customer

Gouvernance et stratégie

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gouvernance et stratégie.

GS-1 : Définir la stratégie de gestion des ressources et de protection des données

Conseil : Documentez et communiquez une stratégie claire pour la surveillance et la protection continues des systèmes et des données. Pour les systèmes et les données critiques de l’entreprise, concentrez-vous sur les éléments suivants :

  • Découverte
  • Évaluation
  • Protection
  • Surveillance

Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :

  • Norme de classification des données adaptée aux risques pour l’entreprise

  • Visibilité de l’organisation de sécurité sur les risques et l’inventaire des actifs

  • Approbation de l’organisation de sécurité pour les services Azure en vue de leur utilisation

  • Sécurité des ressources tout au long de leur cycle de vie

  • Stratégie de contrôle d’accès requise adaptée à la classification des données de l’organisation

  • Utilisation des fonctionnalités de protection des données Azure natives et de tiers

  • Exigences de chiffrement des données pour les cas d’utilisation en transit et au repos

  • Normes de chiffrement appropriées

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

GS-2 : Définir la stratégie de segmentation d'entreprise

Conseil : Établissez une stratégie à l’échelle de l’entreprise pour segmenter l’accès aux ressources en utilisant une combinaison des éléments suivants :

  • Identité
  • Réseau
  • Application
  • Abonnement
  • Groupe d’administration
  • Autres contrôles

Équilibrez avec soin :

  • La nécessité d’une séparation de sécurité.
  • La nécessité de garantir le fonctionnement quotidien des systèmes qui communiquent et accèdent aux données.

Implémentez la stratégie de segmentation de façon homogène entre les types de contrôle, notamment :

  • Sécurité du réseau
  • Modèles d’identité et d’accès
  • Modèles de permission d’application et d’accès
  • Contrôles des processus humains

Pour plus d’informations, consultez les liens suivants :

Responsabilité : Customer

GS-3 : Définir la stratégie de gestion de la posture de la sécurité

Conseil : Mesurez et atténuez en permanence les risques liés à vos ressources individuelles et à l’environnement dans lequel elles sont hébergées. Concentrez-vous sur les ressources à forte valeur et les surfaces d’attaque très exposées, telles que :

  • Les applications publiées
  • Les points d’entrée et de sortie du réseau
  • Les points de terminaison d’utilisateur et d’administrateur

Pour plus d’informations, lisez l’article suivant :

Responsabilité : Customer

GS-4 : Aligner les rôles et les responsabilités de l’organisation

Conseils : Documentez et communiquez une stratégie claire pour les rôles et les responsabilités de votre organisation de sécurité. Mettez en évidence les points suivants :

  • Définir une responsabilité claire pour les décisions de sécurité.
  • Sensibiliser tout le monde au modèle de responsabilité partagée.
  • Former les équipes techniques aux technologies permettant de sécuriser le cloud.

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

GS-5 : Définir la stratégie de sécurité réseau

Conseils : Établir une approche de la sécurité réseau Azure. Intégrez cette approche à la stratégie globale de votre organisation en matière de contrôle d'accès sécurisé.

Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :

  • Responsabilité centralisée pour la gestion et la sécurité du réseau

  • Modèle de segmentation du réseau virtuel conforme à la stratégie de segmentation de l’entreprise

  • Stratégie de correction dans différents scénarios de menaces et d’attaques

  • Stratégie de périphérie, d’entrée et de sortie d’Internet

  • Stratégie de cloud hybride et d’interconnexion locale

  • Artefacts de sécurité réseau à jour, tels que des diagrammes de réseau et une architecture réseau de référence

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

GS-6 : Définir une stratégie d’accès privilégié et d’identité

Conseils : Établissez des approches basées sur l’identité et l’accès privilégié Azure. Intégrez ces éléments à la stratégie globale de votre organisation en matière de contrôle d'accès sécurisé.

Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :

  • Système centralisé d’identité et d’authentification et son interconnexion avec d’autres systèmes d’identité internes et externes

  • Méthodes d’authentification fortes dans différents cas d’usage et différentes conditions

  • Protection des utilisateurs disposant de privilèges élevés

  • Surveillance et traitement des activités anormales des utilisateurs

  • Vérification de l’identité et de l’accès des utilisateurs et processus de rapprochement

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

GS-7 : Définir la stratégie de journalisation et de réponse aux menaces

Conseils : Pour détecter et corriger rapidement les menaces tout en répondant aux exigences de conformité, établissez une stratégie de journalisation et de réponse aux menaces. Concentrez-vous sur la fourniture aux analystes d'alertes de haute qualité et d'expériences transparentes. Les analystes peuvent alors se concentrer sur les menaces plutôt que sur l’intégration et les étapes manuelles.

Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :

  • Rôle et responsabilités de l’organisation d’opérations de sécurité (SecOps)

  • Processus de réponse aux incidents bien défini qui est adapté à une infrastructure du secteur, par exemple le National Institute of Standards and Technology (NIST)

  • Capture et rétention des journaux pour prendre en charge les éléments suivants :

    • Détection de menaces
    • Réponse aux incidents
    • Besoins de conformité
  • Visibilité centralisée et mise en corrélation des informations sur les menaces à l’aide de :

    • SIEM
    • Capacités natives d’Azure
    • Autres sources
  • Plan de communication et de notification avec vos :

    • Clients
    • Fournisseurs
    • Parties publiques d’intérêt
  • Utilisation de plateformes natives Azure et tierces pour le traitement des incidents, par exemple :

    • Journalisation et détection des menaces
    • Exploration
    • Correction et éradication des attaques
  • Processus de gestion des incidents et des activités postérieures aux incidents, comme les leçons apprises et la rétention des preuves

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

GS-8 : Définir la stratégie de sauvegarde et de récupération

Conseil : Établissez une stratégie de sauvegarde et de récupération Azure pour votre organisation.

Cette stratégie doit inclure les recommandations, stratégies et normes documentées pour les éléments suivants :

  • Définitions de l’objectif de temps de récupération (RTO) et de l’objectif de point de récupération (RPO) conformément aux objectifs de résilience de votre entreprise

  • Conception de la redondance dans vos applications et configuration de l’infrastructure

  • Protection de la sauvegarde à l’aide du contrôle d’accès et du chiffrement des données

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

Étapes suivantes