Contrôle de sécurité v3 : Posture et gestion des vulnérabilités
La gestion des postures et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et améliorer la posture de sécurité d’Azure, ce qui inclut l’analyse des vulnérabilités, les tests et la correction des intrusions, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction dans les ressources Azure.
PV-1 : Définir et établir des configurations sécurisées
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 1,1 |
Principe de sécurité : Définissez les lignes de base de configuration sécurisée pour différents types de ressources dans le cloud. Vous pouvez également utiliser les outils de gestion de la configuration pour établir automatiquement la ligne de base de configuration avant ou pendant le déploiement des ressources afin que l’environnement puisse être conforme par défaut après le déploiement.
Conseils Azure : utilisez le Benchmark de sécurité Azure et la ligne de base de service pour définir votre ligne de base de configuration pour chaque offre ou service Azure correspondant. Consultez Architecture de référence Azure et Architecture de zone d’atterrissage Cloud Adoption Framework pour comprendre les contrôles et configurations de sécurité critiques qui peuvent être nécessaires pour différentes ressources Azure.
Utilisez Azure Blueprints pour automatiser le déploiement et la configuration de services et d’environnements d’application, notamment des modèles Azure Resource Manager, des contrôles Azure RBAC et des stratégies, dans une même définition de blueprint.
Implémentation et contexte supplémentaire :
- Illustration de l’implémentation de GuardRails dans une zone d’atterrissage à l’échelle de l’entreprise
- Utilisation des stratégies de sécurité dans Microsoft Defender pour le cloud
- Tutoriel : Créer et gérer des stratégies pour assurer la conformité
- Azure Blueprints
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion de la posture
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
PV-2 : auditer et appliquer les configurations sécurisées
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.1, 4.2 | CM-2, CM-6 | 2,2 |
Principe de sécurité : surveillez et alertez en continu en cas d’écart par rapport à la ligne de base de configuration définie. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou déployez une configuration.
Conseils Azure : utilisez Microsoft Defender pour le cloud pour configurer Azure Policy pour l’audit et appliquer des configurations de vos ressources Azure. Utilisez Azure Monitor pour créer des alertes en cas d’écart de configuration détecté sur les ressources.
Utilisez Azure Policy [refuser] et [déployer si n’existe pas] pour appliquer des paramètres sécurisés à vos ressources Azure.
Pour l’audit et l’application de la configuration des ressources non prises en charge par Azure Policy, vous devrez peut-être écrire vos propres scripts ou utiliser des outils tiers pour implémenter l’audit et l’application de la configuration.
Implémentation et contexte supplémentaire :
- Comprendre les effets d'Azure Policy
- Créer et gérer des stratégies pour assurer la conformité
- Obtenir les données de conformité des ressources Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion de la posture
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
PV-3 : définir et établir des configurations sécurisées pour les ressources de calcul
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2,2 |
Principe de sécurité : définissez les lignes de base de configuration sécurisées pour vos ressources de calcul, telles que les machines virtuelles et les conteneurs. Utilisez les outils de gestion de la configuration pour établir automatiquement la ligne de base de configuration avant ou pendant le déploiement des ressources de calcul afin que l’environnement puisse être conforme par défaut après le déploiement. Vous pouvez également utiliser une image préconfigurée pour créer la ligne de base de configuration souhaitée dans le modèle d’image de ressource de calcul.
Conseils Azure : utilisez la ligne de base du système d’exploitation recommandé d’Azure (pour Windows et Linux) comme point de référence pour définir votre ligne de base de configuration des ressources de calcul.
En outre, vous pouvez utiliser une image de machine virtuelle ou de conteneur personnalisée avec une configuration Azure Policy invitée et Azure Automation State Configuration pour établir la configuration de sécurité souhaitée.
Implémentation et contexte supplémentaire :
- Base de référence de configuration de sécurité système d’exploitation Linux
- Base de référence de configuration de sécurité système d’exploitation Windows
- Recommandation de configuration de la sécurité pour les ressources de calcul
- Présentation d'Azure Automation State Configuration
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion de la posture
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
PV-4 : auditer et appliquer des configurations sécurisées pour les ressources de calcul
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4,1 | CM-2, CM-6 | 2,2 |
Principe de sécurité : surveillez et alertez en continu en cas d’écart par rapport à la ligne de base de configuration définie dans vos ressources de calcul. Appliquez la configuration souhaitée en fonction de la configuration de base en refusant la configuration non conforme ou déployez une configuration dans les ressources de calcul.
Conseils Azure : utilisez Microsoft Defender pour le cloud et l’agent de configuration invité Azure Policy pour évaluer et corriger régulièrement les écarts de configuration sur vos ressources de calcul Azure, y compris les machines virtuelles, les conteneurs et autres. De plus, vous pouvez utiliser des modèles Azure Resource Manager, des images de système d’exploitation personnalisées ou Azure Automation State Configuration pour tenir à jour la configuration de sécurité du système d’exploitation. Combinés avec Azure Automation State Configuration, les modèles de machine virtuelle Microsoft peuvent vous aider à satisfaire aux exigences de sécurité.
Remarque : les images de machines virtuelles de la Place de marché Azure publiées par Microsoft sont gérées et tenues à jour par Microsoft.
Implémentation et contexte supplémentaire :
- Comment implémenter les recommandations d’évaluation des vulnérabilités de Microsoft Defender pour le cloud
- Guide pratique pour créer une machine virtuelle Azure à partir d’un modèle ARM
- Vue d’ensemble d’Azure Automation State Configuration
- Créer une machine virtuelle Windows sur le portail Azure
- Sécurité des conteneurs dans Microsoft Defender pour le cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion de la posture
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
PV-5 : effectuer des évaluations des vulnérabilités
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.5, 7.1, 7.5, 7.6 | RA-3, RA-5 | 6.1, 6.2, 6.6 |
Principe de sécurité : effectuez une évaluation des vulnérabilités pour vos ressources cloud à tous les niveaux selon une planification fixe ou à la demande. Suivez et comparez les résultats de l’analyse pour vérifier que les vulnérabilités sont corrigées. L’évaluation doit inclure tous les types de vulnérabilités, telles que les vulnérabilités dans les services Azure, sur le réseau, sur le web, dans les systèmes d’exploitation, ainsi que les problèmes de configurations, etc.
Tenez compte des risques potentiels associés à l’accès privilégié utilisé par les analyseurs de vulnérabilité. Suivez les meilleures pratiques en matière de sécurité d’accès privilégié pour sécuriser les comptes d’administration utilisés pour l’analyse.
Conseils Azure : suivez les recommandations de Microsoft Defender pour le cloud relatives à l’évaluation des vulnérabilités sur vos machines virtuelles Azure, images conteneur et serveurs SQL. Microsoft Defender pour le cloud dispose d’un analyseur de vulnérabilité intégré pour l’analyse des machines virtuelles. Utilisez une solution tierce pour effectuer des évaluations des vulnérabilités sur les périphériques réseau et les applications (p. ex. : applications web)
Exportez les résultats de l’analyse à intervalles réguliers, et comparez les résultats pour vérifier que les vulnérabilités ont été corrigées. Lorsque vous suivez les recommandations de gestion des vulnérabilités proposées par Microsoft Defender pour le cloud, vous pouvez pivoter vers le portail de la solution d’analyse sélectionnée pour afficher les données d’analyse historiques.
Lors de l’exécution d’analyses à distance, n’utilisez pas un compte d’administration unique et perpétuel. Envisagez de mettre en place une méthodologie de provisionnement JIT (juste-à-temps) pour le compte d’analyse. Les informations d’identification du compte d’analyse doivent être protégées, surveillées et utilisées uniquement pour l’analyse des vulnérabilités.
Remarque : les services Azure Defender (notamment Defender pour les serveurs, Container Registry, App Service, SQL et DNS) incorporent certaines fonctionnalités d’évaluation des vulnérabilités. Les alertes générées à partir des services Azure Defender doivent être surveillées et revues avec le résultat de l’outil d’analyse des vulnérabilités de Microsoft Defender pour le cloud.
Remarque : vérifiez vos notifications par courrier électronique dans Microsoft Defender pour le cloud.
Implémentation et contexte supplémentaire :
- Comment implémenter les recommandations d’évaluation des vulnérabilités de Microsoft Defender pour le cloud
- Analyseur de vulnérabilité intégré pour machines virtuelles
- Évaluation des vulnérabilités SQL
- Exportation des résultats de l’analyse des vulnérabilités de Microsoft Defender pour le cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion de la posture
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
PV-6 : corriger rapidement et automatiquement les vulnérabilités
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 7.2, 7.3, 7.4, 7.7 | RA-3, RA-5, SI-2: CORRECTION DES DÉFAUTS | 6.1, 6.2, 6.5, 11.2 |
Principe de sécurité : déployez rapidement et automatiquement des correctifs et des mises à jour pour corriger les vulnérabilités dans vos ressources cloud. Utilisez l’approche appropriée basée sur les risques pour hiérarchiser la correction des vulnérabilités. Par exemple, des vulnérabilités plus graves dans une ressource de valeur plus élevée doivent être traitées comme une priorité plus élevée.
Conseils Azure : utilisez Azure Automation Update Management ou une solution tierce pour garantir que les mises à jour de sécurité les plus récentes sont installées sur vos machines virtuelles Windows et Linux. Pour les machines virtuelles Windows, assurez-vous que Windows Update a été activé et configuré pour être mis à jour automatiquement.
Pour les logiciels tiers, utilisez une solution tierce de gestion des correctifs ou un éditeur de mise à jour System Center pour Configuration Manager.
Hiérarchisez les mises à jour à déployer en premier à l’aide d’un programme de scoring de risque commun (par exemple, le système de notation des vulnérabilités courantes) ou des niveaux de risque par défaut fournis par votre outil d’analyse tiers et adaptez votre environnement. Vous devez également prendre en compte les applications qui présentent un risque élevé pour la sécurité et celles qui nécessitent un temps d’activité élevé.
Implémentation et contexte supplémentaire :
- Configurer Update Management pour les machines virtuelles dans Azure
- Gestion des mises à jour et des correctifs des machines virtuelles Azure
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion de la posture
- Sécurité d’infrastructure et de point de terminaison
- Sécurité des applications et DevOps
PV-7 : effectuer des opérations d’équipe rouges régulières
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 18.1, 18.2, 18.3, 18.4, 18.5 | CA-8, RA-5 | 6.6, 11.2, 11.3 |
Principe de sécurité : simulez des attaques réelles pour fournir une vue plus complète de la vulnérabilité de votre organisation. Les tests d’exploitation et de pénétration de l’équipe Red Team complètent l’approche traditionnelle d’analyse des vulnérabilités pour découvrir les risques.
Suivez les meilleures pratiques du secteur pour concevoir, préparer et effectuer ce type de test pour vous assurer qu’il ne risque pas de nuire à votre environnement ou de le mettre hors service. Cela doit toujours inclure l’examen de l’étendue des tests et des contraintes avec les parties prenantes et les propriétaires des ressources concernés.
Conseils Azure : selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés.
Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.
Implémentation et contexte supplémentaire :
- Test d’intrusion dans Azure
- Règles d’engagement des tests d’intrusion
- Microsoft Cloud Red Teaming
- Guide technique sur les tests et l’évaluation de la sécurité des informations
Parties prenantes de la sécurité des clients (En savoir plus) :