Contrôle de sécurité V2 : Gestion de la posture et des vulnérabilités
Notes
La version la plus à jour d’Azure Security Benchmark est disponible ici.
La gestion de la posture et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et améliorer la posture de sécurité d’Azure. Cela inclut l’analyse des vulnérabilités, les tests d’intrusion et la correction des intrusions, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources Azure.
Pour afficher l’instance Azure Policy intégrée applicable, consultez Informations sur l’initiative intégrée Conformité réglementaire Azure Security Benchmark : Gestion de la posture et des vulnérabilités
PV-1 : Établir des configurations sécurisées pour les services Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-1 | 5,1 | CM-2, CM-6 |
Définissez les barrières de sécurité pour les équipes en charge de l’infrastructure et les équipes DevOps en facilitant la configuration sécurisée des services Azure qu’ils utilisent.
Commencez votre configuration de la sécurité des services Azure par les bases de référence des services dans Azure Security Benchmark et effectuez des personnalisations en fonction des besoins de votre organisation.
Utilisez Azure Security Center pour configurer Azure Policy afin d’auditer et d’appliquer les configurations de vos ressources Azure.
Vous pouvez utiliser Azure Blueprints pour automatiser le déploiement et la configuration de services et d’environnements d’application, notamment des modèles Azure Resource Manager, des contrôles Azure RBAC et des stratégies, dans une même définition de blueprint.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-2 : Supporter des configurations sécurisées pour les services Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-2 | 5.2 | CM-2, CM-6 |
Utilisez Azure Security Center pour superviser votre base de référence de configuration et utilisez la règle Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer une configuration sécurisée sur des ressources de calcul Azure, notamment les machines virtuelles, les conteneurs, etc.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-3 : Établir des configurations sécurisées pour des ressources de calcul
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-3 | 5,1 | CM-2, CM-6 |
Utilisez Azure Security Center et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, y compris les machines virtuelles et les conteneurs. Vous pouvez utiliser des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour établir la configuration de sécurité du système d’exploitation requis par votre organisation.
Charger un disque dur virtuel et l'utiliser pour créer des machines virtuelles Windows dans Azure
Créer une machine virtuelle Linux à partir d'un disque personnalisé avec Azure CLI
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-4 : Supporter des configurations sécurisées pour des ressources de calcul
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-4 | 5.2 | CM-2, CM-6 |
Utilisez Azure Security Center et Azure Policy pour évaluer régulièrement les risques de configuration sur toutes vos ressources de calcul Azure, notamment les machines virtuelles, les conteneurs, etc., et les atténuer. De plus, vous pouvez utiliser des modèles Azure Resource Manager, des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour tenir à jour la configuration de sécurité du système d’exploitation exigée par votre organisation. Combinés avec Azure Automation State Configuration, les modèles de machine virtuelle Microsoft peuvent vous aider à satisfaire aux exigences de sécurité.
Notez également que les images de machines virtuelles de la Place de marché Azure publiées par Microsoft sont gérées et tenues à jour par Microsoft.
Azure Security Center peut également analyser les vulnérabilités dans les images conteneur et effectuer une supervision continue de votre configuration Docker dans des conteneurs, en fonction du Benchmark CIS Docker. Vous pouvez utiliser la page de recommandations Azure Security Center pour consulter les recommandations et corriger les problèmes.
Implémenter les recommandations d'évaluation des vulnérabilités d'Azure Security Center
Guide pratique pour créer une machine virtuelle Azure à partir d’un modèle ARM
Informations sur le téléchargement du modèle d’une machine virtuelle
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-5 : Stocker de manière sécurisée des images de système d’exploitation et des images conteneur personnalisées
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-5 | 5.3 | CM-2, CM-6 |
Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour garantir que seuls les utilisateurs autorisés peuvent accéder à vos images personnalisées. Une galerie Azure Shared Image Gallery vous permet de partager vos images avec différents utilisateurs, principaux de service ou groupes AD au sein de votre organisation. Stockez les images conteneur dans Azure Container Registry, et utilisez un contrôle d’accès en fonction du rôle Azure pour vous assurer que seuls des utilisateurs autorisés puissent y accéder.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-6 : Effectuez des évaluations des vulnérabilités logicielles
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-6 | 3.1, 3.2, 3.3, 3.6 | CA-2, RA-5 |
Suivez les recommandations d’Azure Security Center relatives à l’évaluation des vulnérabilités sur vos machines virtuelles Azure, images conteneur et serveurs SQL. Azure Security Center dispose d’un analyseur de vulnérabilité intégré pour analyser des machines virtuelles.
Utilisez une solution tierce pour effectuer des évaluations des vulnérabilités sur les périphériques réseau et les applications Web. Lors de l’exécution d’analyses à distance, n’utilisez pas un compte d’administration unique et perpétuel. Envisagez de mettre en place une méthodologie de provisionnement JIT (juste-à-temps) pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.
Exportez les résultats de l’analyse à intervalles réguliers, et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. Quand vous suivez les recommandations de gestion des vulnérabilités proposées par Azure Security Center, vous pouvez pivoter vers le portail de la solution d’analyse sélectionnée pour consulter les données d’analyse historiques.
Implémenter les recommandations d'évaluation des vulnérabilités d'Azure Security Center
Exportation des résultats d’une analyse des vulnérabilités Azure Security Center
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-7 | 3.7 | CA-2, RA-5, SI-2 |
Déployez rapidement des mises à jour logicielles pour corriger les vulnérabilités logicielles dans les systèmes d’exploitation et les applications.
Utilisez un programme de scoring des risques courants (par exemple, Common Vulnerability Scoring System) ou bien les évaluations des risques par défaut fournies par votre outil d’analyse tiers et adaptez-les à votre environnement, en tenant compte des applications présentant un risque élevé pour la sécurité et de celles qui nécessitent une durée de fonctionnement élevée.
Utilisez Azure Automation Update Management ou une solution tierce pour garantir que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, assurez-vous que Windows Update a été activé et configuré pour être mis à jour automatiquement.
Pour les logiciels tiers, utilisez une solution tierce de gestion des correctifs ou un éditeur de mise à jour System Center pour Configuration Manager.
Configurer Update Management pour les machines virtuelles dans Azure
Gestion des mises à jour et des correctifs des machines virtuelles Azure
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
PV-8 : Effectuer une simulation d’attaque régulière
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PV-8 | 20 | CA-8, CA-2, RA-5 |
Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.
Responsabilité : Partagé
Parties prenantes de la sécurité des clients (En savoir plus) :