Sécurité et conformité de Visual Studio App Center

Article
03/15/2024

Important

Visual Studio App Center doit être mis hors service le 31 mars 2025. Bien que vous puissiez continuer à utiliser Visual Studio App Center jusqu’à ce qu’il soit entièrement mis hors service, il existe plusieurs alternatives recommandées vers lesquelles vous pouvez envisager de migrer.

En savoir plus sur les chronologies et les alternatives de support.

App Center prend la sécurité au sérieux. En tant que service Microsoft Azure de première partie, nous sommes chargés de suivre toutes les exigences internes de Microsoft pour fonctionner de manière sécurisée et fiable.

Nous voulons vous donner une idée de certains des principes que nous suivons pour assurer la sécurité d’App Center. Bien qu’elle ne soit pas destinée à être une liste exhaustive de concepts de sécurité, elle est façonnée par un certain nombre de demandes de clients pour obtenir des informations similaires.

Important

Cette documentation est destinée à partager des informations sur notre position en matière de sécurité. Rien dans cette documentation n’implique ou ne doit être considéré comme signifiant qu’App Center n’aura jamais de problème de sécurité. Rien dans cette documentation ne remplace les informations contenues dans les Conditions d’utilisation du service en ligne de Microsoft. Si vous avez connaissance d’un problème de sécurité potentiel avec App Center, contactez immédiatement le Centre de réponse à la sécurité Microsoft .

Résidence et souveraineté des données

App Center fonctionne presque entièrement dans le États-Unis. Toutes les données et le traitement des applications, des utilisateurs, des organisations, de la génération, de la distribution, de l’analyse et des diagnostics se produisent dans le États-Unis. Aucune option n’est disponible pour héberger ces données client dans un autre pays/région.

La seule partie d’App Center qui s’exécute en dehors du États-Unis est App Center Test. Les appareils de test App Center se trouvent au Danemark. Les données générées à l’aide d’App Center Test sont conservées au Danemark et dans le États-Unis.

Les réseaux de distribution de contenu (CDN) sont utilisés pour traiter certaines versions de contenu et d’applications à partir d’App Center. Les points de présence CDN sont situés dans le monde entier, mais toutes les données sources se trouvent dans le États-Unis.

Notes

En raison de politiques et de lois propres à un pays, nous ne pouvons pas garantir le fonctionnement d’App Center dans tous les pays/régions. Pour certains utilisateurs de la région Chine, les données du Kit de développement logiciel (SDK) Analytics and Diagnostics peuvent subir un retard important ou ne pas accéder à nos serveurs basés sur le États-Unis.

Sécurité des données

Chiffrement pendant le transit

Tout le trafic réseau dans App Center, que ce soit via Internet ou au sein d’un centre de données Azure, est sécurisé avec HTTPS à l’aide de TLS 1.2+.

Chiffrement au repos

Toutes les données détenues par App Center sont chiffrées au repos. Nous utilisons les fonctionnalités de chiffrement fournies par les produits de stockage de données Microsoft Azure que nous utilisons pour créer App Center. Il s’agit notamment de Stockage Azure, de Azure SQL et d’Azure Cosmos DB.

Clés de chiffrement

Nous utilisons des clés fournies par le système pour le chiffrement au repos. App Center ne prend pas en charge les clés gérées par le client pour le chiffrement.

Multilocation

App Center est un système mutualisé. Toutes les données client sont conservées dans un ensemble de magasins de données. Il n’existe aucune option permettant de conserver les données d’un client dans un ensemble distinct ou isolé de magasins de données.

Sécurité du code

La base de code d’App Center est analysée par les outils Microsoft internes pour rechercher des problèmes tels que des dépendances obsolètes et des vulnérabilités de sécurité connues. Tous les problèmes détectés sont affichés dans un tableau de bord de sécurité et traités par l’équipe d’ingénierie.

Pour nous assurer que les activités au sein du service sont légitimes, ainsi que pour détecter les violations ou les tentatives de violation, nous utilisons l’infrastructure d’Azure pour journaliser et surveiller les aspects clés du service. En outre, toutes les activités de déploiement et d’administrateur sont enregistrées en toute sécurité, tout comme l’accès de l’opérateur au stockage de production.

Si une éventuelle intrusion ou une vulnérabilité de sécurité à haute priorité a été identifiée, nous disposons d’un plan clair de réponse aux incidents de sécurité. Ce plan décrit les parties responsables, les étapes nécessaires pour sécuriser les données client et la façon de contacter des experts en sécurité dans Microsoft Security Response Center (MSRC), Microsoft Azure et les membres de l’équipe de direction d’App Center. Nous informons également les propriétaires organization si nous pensons que leurs données sont divulguées ou endommagées.

En général, App Center suit le cycle de vie du développement de la sécurité Microsoft.

Accès aux systèmes de production

De temps à autre, les employés Microsoft ont besoin d’accéder aux données client stockées dans App Center. Tous les employés qui ont accès aux données client doivent passer une case activée d’arrière-plan, qui vérifie l’emploi précédent et les condamnations pénales. En outre, nous autorisons l’accès aux systèmes de production uniquement en cas d’incident de site actif ou d’autres activités de maintenance approuvées. Tous les membres du personnel ayant besoin d’accéder aux systèmes App Center de production doivent utiliser une station de travail d’accès sécurisé, à l’aide d’une élévation juste-à-temps (JIT). Toutes les demandes d’élévation JIT doivent être approuvées par un autre membre de l’équipe et sont journalisées et auditées.

Les données dans App Center sont classées pour faire la distinction entre les données client (que vous chargez sur App Center), les données organisationnelles (informations utilisées lors de l’inscription ou de l’administration de votre organization) et les données Microsoft (informations requises ou collectées par le biais du fonctionnement du service). En fonction de la classification, nous contrôlons les scénarios d’utilisation, les restrictions d’accès et les exigences de rétention.

Toutes les connexions utilisent l’authentification multifacteur Azure Active Directory (MFA/2FA).

Continuité d’activité et reprise d’activité (BCDR)

App Center respecte les exigences internes de Microsoft et d’Azure pour l’exploitation d’un système résilient. Nous participons aux conseils de planification, examinons régulièrement nos plans de continuité d’activité et de reprise d’activité avec les équipes Microsoft internes appropriées, et mettons à jour ces plans si nécessaire.

Nous testons régulièrement nos plans de récupération d’urgence.

Audit et test externes

App Center n’a pas poursuivi d’audits externes (tels que SOC 2 ou ISO 27001) ni de tests d’intrusion externes, car peu de nos clients en ont besoin.

Cela étant dit, nous sommes soumis à plusieurs systèmes et exigences de conformité internes à Microsoft, Azure et Cloud & AI Division. Ces exigences chevauchent considérablement ce que vous trouverez dans les programmes d’audit externe. Rester en conformité avec les exigences Azure internes de Microsoft signifie que notre position en matière de sécurité et de continuité d’activité est presque identique à celle des systèmes qui ont effectué des audits externes.

App Center prend entièrement en charge le RGPD. Nous disposons d’une documentation complète pour expliquer comment les données sont gérées et comment vous pouvez envoyer des demandes de personnes concernées.

Rapports de sécurité

App Center fonctionne avec le Centre de réponse à la sécurité Microsoft (MSRC) pour résoudre tous les problèmes de sécurité signalés de l’extérieur. Si vous avez connaissance d’un problème de sécurité potentiel avec App Center, contactez immédiatement MSRC.

Partager via