Présentation du benchmark de sécurité cloud Microsoft

Notes

Microsoft Cloud Security Benchmark est le successeur d’Azure Security Benchmark (ASB), qui a été renommé en octobre 2022.

De nouveaux services et fonctionnalités sont publiés quotidiennement dans les plateformes Azure et les fournisseurs de services cloud, les développeurs publient rapidement de nouvelles applications cloud basées sur ces services, et les attaquants recherchent constamment de nouvelles façons d’exploiter des ressources mal configurées. Le cloud se déplace rapidement, les développeurs se déplacent rapidement et les attaquants se déplacent également rapidement. Comment vous assurer que vos déploiements cloud sont sécurisés ? En quoi les pratiques de sécurité pour les systèmes cloud diffèrent-elles des systèmes locaux et des fournisseurs de services cloud ? Comment surveillez-vous votre charge de travail pour assurer la cohérence entre plusieurs plateformes cloud ?

Microsoft a découvert que l’utilisation de benchmarks de sécurité peut vous aider à sécuriser rapidement les déploiements dans le cloud. Un framework complet des bonnes pratiques de sécurité des fournisseurs de services cloud peut vous donner un point de départ pour sélectionner des paramètres de configuration de sécurité spécifiques dans votre environnement cloud pour plusieurs fournisseurs de services et vous permettre de superviser ces configurations en utilisant un seul environnement.

Le benchmark de sécurité cloud Microsoft (MCSB) comprend une collection de recommandations de sécurité à fort impact que vous pouvez utiliser pour sécuriser vos services cloud dans un environnement unique ou multicloud. Les recommandations du MCSB incluent deux aspects importants :

  • Contrôles de sécurité : ces recommandations s’appliquent généralement à vos charges de travail cloud. Chaque recommandation identifie une liste des parties prenantes qui sont généralement impliquées dans la planification, l’approbation ou l’implémentation du benchmark.
  • Bases de référence de service : celles-ci appliquent les contrôles à des services cloud individuels pour fournir des recommandations sur la configuration de sécurité de ce service spécifique. Nous avons actuellement des bases de référence des services disponibles seulement pour Azure.

Implémenter le Benchmark de sécurité cloud Microsoft

  • Planifiez votre implémentation de MCSB en consultant la documentation relative aux contrôles d’entreprise et aux bases de référence spécifiques aux services pour planifier votre framework de contrôle, et la façon dont elle correspond à des directives comme les contrôles CIS (Center for Internet Security), NIST (National Institute of Standards and Technology) et le framework PCI-DSS (Payment Card Industry Data Security Standard).
  • Surveillez votre conformité avec les status MCSB (et d’autres ensembles de contrôles) à l’aide du tableau de bord Microsoft Defender for Cloud – Conformité réglementaire pour votre environnement multicloud. .
  • Établissez des garde-fous pour automatiser les configurations sécurisées et appliquer la conformité avec MCSB (et d’autres exigences de votre organisation) en utilisant des fonctionnalités comme Azure Blueprints, Azure Policy ou les technologies équivalentes d’autres plateformes cloud.

Cas d’usage courants

Le benchmark de sécurité cloud Microsoft peut souvent être utilisé pour relever les défis courants des clients ou des partenaires de service qui sont les suivants :

  • Nouveautés sur Azure (et d’autres plateformes cloud majeures, telles qu’AWS) et à la recherche de meilleures pratiques de sécurité pour garantir un déploiement sécurisé des services cloud et de votre propre charge de travail d’application.
  • Nous cherchons à améliorer la posture de sécurité des déploiements cloud existants pour hiérarchiser les principaux risques et atténuations.
  • Utilisation d’environnements multiclouds (tels qu’Azure et AWS) et défis liés à l’alignement de la surveillance et de l’évaluation des contrôles de sécurité à l’aide d’un seul volet de verre.
  • Évaluation des fonctionnalités de sécurité d’Azure (et d’autres plateformes cloud majeures, telles qu’AWS) avant d’intégrer/approuver un ou plusieurs services dans le catalogue de services cloud.
  • Respecter les exigences de conformité dans les secteurs hautement réglementés, tels que le secteur public, les finances et les soins de santé. Ces clients doivent s’assurer que leurs configurations de service d’Azure et d’autres clouds répondent aux spécifications de sécurité définies dans l’infrastructure, comme CIS, NIST ou PCI. MCSB fournit une approche efficace avec les contrôles déjà pré mappés à ces références du secteur.

Terminologie

Les termes « contrôle » et « base de référence » sont souvent utilisés dans la documentation du benchmark de sécurité cloud Microsoft. Il est important de comprendre comment MCSB utilise ces termes.

Terme Description Exemple
Control Un contrôle est une description de haut niveau d’une fonctionnalité ou d’une activité à traiter, qui n’est pas propre à une technologie ou à une implémentation. La protection des données constitue l’une des familles de contrôles de sécurité. La protection des données contient des actions spécifiques qui doivent être entreprises pour s’assurer que les données sont bien protégées.
Ligne de base Une base de référence est l’implémentation du contrôle sur les services Azure individuels. Chaque organisation édicte une recommandation de benchmark et les configurations correspondantes sont nécessaires dans Azure. Remarque : Nous avons actuellement des bases de référence des services disponibles seulement pour Azure. La société Contoso cherche à activer les fonctionnalités de sécurité d’Azure SQL en suivant la configuration recommandée dans de base de référence de sécurité d’Azure SQL.

Vos commentaires sur le benchmark de sécurité cloud Microsoft sont les bienvenus ! Nous vous invitons à les formuler dans la zone de commentaires ci-dessous. Si vous préférez partager vos commentaires plus en privé avec l’équipe de sécurité cloud de Microsoft, envoyez-nous un e-mail à l’adresse benchmarkfeedback@microsoft.com.