Ligne de base de sécurité Azure Virtual WAN

Cette base de référence de sécurité applique des conseils de la version 3.0 du benchmark de sécurité Azure à Virtual WAN. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Virtual WAN.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les fonctionnalités non applicables à Virtual WAN ont été exclues. Pour voir comment Virtual WAN est entièrement mappé à Azure Security Benchmark, consultez le fichier de mappage complet de la base de référence de sécurité Virtual WAN.

Profil de sécurité

Le profil de sécurité résume les comportements à impact élevé des Virtual WAN, ce qui peut entraîner une augmentation des considérations de sécurité.

Attribut comportement du service Valeur
Catégorie de produit Mise en réseau
Le client peut accéder à HOST /OS Aucun accès
Le service peut être déployé dans le réseau virtuel du client False
Stocke le contenu client au repos False

Gestion des identités

Pour plus d’informations, consultez le benchmark de sécurité Azure : Gestion des identités.

IM-8 : restreindre l’exposition des informations d’identification et des secrets

Fonctionnalités

Informations d’identification du service et secrets prennent en charge l’intégration et le stockage dans Azure Key Vault

Description : le plan de données prend en charge l’utilisation native d’Azure Key Vault pour les informations d’identification et le magasin de secrets. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : assurez-vous que les secrets et les informations d’identification sont stockés dans des emplacements sécurisés tels qu’Azure Key Vault, au lieu de les incorporer dans du code ou des fichiers de configuration.

Protection de données

Pour plus d'informations, consultez Benchmark de sécurité Azure : Protection des données.

DP-3 : chiffrer les données sensibles en transit

Fonctionnalités

Données dans le chiffrement de transit

Description : Le service prend en charge le chiffrement en transit des données pour le plan de données. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Partagé

Conseils de configuration : Activez le transfert sécurisé dans les services où il existe une fonctionnalité de chiffrement native des données en transit intégrée. Microsoft Azure Virtual WAN fournit des fonctionnalités de routage personnalisées et offre un chiffrement pour votre trafic ExpressRoute. La gestion des routes est assurée en totalité par le routeur de hub virtuel, qui permet également la connectivité de transit entre les réseaux virtuels. Le chiffrement de votre trafic ExpressRoute avec Virtual WAN assure un transit chiffré entre les réseaux locaux et les réseaux virtuels Azure sur ExpressRoute, sans passer par l’Internet public ni utiliser des adresses IP publiques.

Référence : Chiffrement en transit

DP-6 : Utiliser un processus sécurisé de gestion de clés

Fonctionnalités

Gestion des clés dans Azure Key Vault

Description : Le service prend en charge l’intégration d’Azure Key Vault pour toutes les clés client, secrets ou certificats. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Partagé

Conseils de configuration : Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement. Le VPN de site à site dans Virtual WAN utilise des clés prédéfinies (PSK) qui sont découvertes, créées et gérées par le client dans leur Key Vault Azure. Exécuter le moteur d’analyse des informations d’identification pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Gestion des ressources

Pour plus d’informations, consultez le benchmark de sécurité Azure : Gestion des ressources.

AM-2 : Utiliser uniquement des services approuvés

Fonctionnalités

Prise en charge d’Azure Policy

Description : Les configurations de service peuvent être surveillées et appliquées via Azure Policy. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Partagé

Conseils de configuration : Utilisez Microsoft Defender pour Cloud pour configurer Azure Policy pour auditer et appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources. Utilisez Azure Policy [refuser] et [déployer s’il n’existe pas] effets pour appliquer une configuration sécurisée sur les ressources Azure.

Journalisation et détection des menaces

Pour plus d’informations, consultez le benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : activer les fonctionnalités de détection des menaces

Fonctionnalités

Microsoft Defender pour service / offre de produits

Description : Le service dispose d’une solution Microsoft Defender spécifique à l’offre pour surveiller et alerter sur les problèmes de sécurité. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
False Non applicable Non applicable

Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser ce service.

LT-4 : Activer la journalisation pour l’investigation de sécurité

Fonctionnalités

Journaux des ressources Azure

Description : le service produit des journaux de ressources qui peuvent fournir des métriques et une journalisation spécifiques au service améliorées. Le client peut configurer ces journaux de ressources et les envoyer à son propre récepteur de données, comme un compte de stockage ou un espace de travail Log Analytics. Plus d’informations

Pris en charge Activé par défaut Responsabilité de configuration
True False Customer

Conseils de configuration : Activez les journaux des ressources pour le service Virtual Wan et les ressources associées. Divers journaux de ressources sont disponibles pour Virtual WAN et peuvent être configurés pour la ressource Virtual WAN avec Portail Azure. Vous pouvez choisir d’envoyer à Log Analytics, de diffuser vers un Event Hub ou de simplement archiver dans un compte de stockage. Les journaux de ressources sont pris en charge pour les VPN ExpressRoute et P2S/S2S.

Référence : Journaux des ressources

Étapes suivantes