Ligne de base de sécurité Azure Virtual WAN
Cette base de référence de sécurité applique les conseils du benchmark de sécurité cloud Microsoft version 1.0 à Virtual WAN. Le Benchmark de sécurité Microsoft Cloud fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité cloud Microsoft et les conseils associés applicables à Virtual WAN.
Vous pouvez superviser cette base de référence de la sécurité et ses recommandations en utilisant Microsoft Defender pour le cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire de la page du portail Microsoft Defender pour le cloud.
Lorsqu’une fonctionnalité a des définitions de Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux recommandations et contrôles de référence de sécurité cloud Microsoft. Certaines recommandations peuvent nécessiter un plan de Microsoft Defender payant pour activer certains scénarios de sécurité.
Notes
Les fonctionnalités non applicables à Virtual WAN ont été exclues. Pour voir comment Virtual WAN correspond complètement au benchmark de sécurité cloud Microsoft, consultez le fichier complet de mappage de la base de référence de sécurité Virtual WAN.
Profil de sécurité
Le profil de sécurité résume les comportements à impact élevé de Virtual WAN, ce qui peut entraîner des considérations de sécurité accrues.
| Attribut de comportement du service | Valeur |
|---|---|
| Catégorie de produit | Mise en réseau |
| Le client peut accéder à HOST/OS | Aucun accès |
| Le service peut être déployé dans le réseau virtuel du client | False |
| Stocke le contenu client au repos | False |
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des identités.
IM-8 : restreindre l’exposition des informations d’identification et des secrets
Fonctionnalités
Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault
Description : Le plan de données prend en charge l’utilisation native d’Azure Key Vault pour le magasin d’informations d’identification et de secrets. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | False | Customer |
Conseils de configuration : Assurez-vous que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels qu’Azure Key Vault, au lieu de les incorporer dans des fichiers de code ou de configuration.
Protection des données
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Protection des données.
DP-3 : chiffrer les données sensibles en transit
Fonctionnalités
Chiffrement des données en transit
Description : Le service prend en charge le chiffrement des données en transit pour le plan de données. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | False | Partagé |
Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement de données natives dans le transit intégrée. Microsoft Azure Virtual WAN fournit des fonctionnalités de routage personnalisées et offre un chiffrement pour votre trafic ExpressRoute. La gestion des routes est assurée en totalité par le routeur de hub virtuel, qui permet également la connectivité de transit entre les réseaux virtuels. Le chiffrement de votre trafic ExpressRoute avec Virtual WAN assure un transit chiffré entre les réseaux locaux et les réseaux virtuels Azure sur ExpressRoute, sans passer par l’Internet public ni utiliser des adresses IP publiques.
Référence : Chiffrement en transit
DP-6 : Utiliser un processus sécurisé de gestion de clés
Fonctionnalités
Gestion des clés dans Azure Key Vault
Description : Le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés client, secrets ou certificats. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | False | Partagé |
Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement. Le VPN de site à site dans Virtual WAN utilise des clés pré-partagées (PSK) qui sont découvertes, créées et gérées par le client dans son Key Vault Azure. Exécuter le moteur d’analyse des informations d’identification pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.
Gestion des ressources
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des ressources.
AM-2 : Utiliser uniquement des services approuvés
Fonctionnalités
Prise en charge d’Azure Policy
Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | False | Partagé |
Conseils de configuration : Utilisez Microsoft Defender pour le cloud pour configurer Azure Policy afin d’auditer et d’appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources. Utilisez les effets Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée sur les ressources Azure.
Journalisation et détection des menaces
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Journalisation et détection des menaces.
LT-1 : activer les fonctionnalités de détection des menaces
Fonctionnalités
Microsoft Defender pour les offres de services/produits
Description : le service dispose d’une solution de Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| False | Non applicable | Non applicable |
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.
LT-4 : Activer la journalisation pour l’examen de sécurité
Fonctionnalités
Journaux des ressources Azure
Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation améliorées spécifiques au service. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations
| Prise en charge | Activé par défaut | Responsabilité de la configuration |
|---|---|---|
| Vrai | False | Customer |
Conseils de configuration : Activez les journaux de ressources pour le service Virtual Wan et les ressources associées. Divers journaux de ressources sont disponibles pour Virtual WAN et peuvent être configurés pour la ressource Virtual WAN avec Portail Azure. Vous pouvez choisir d’envoyer à Log Analytics, de diffuser vers un Event Hub ou de simplement archiver dans un compte de stockage. Les journaux de ressources sont pris en charge pour les VPN ExpressRoute et P2S/S2S.
Référence : Journaux de ressources
Étapes suivantes
- Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
- En savoir plus sur les bases de référence de la sécurité Azure