Azure Local et ISO/IEC 27001:2022

S’applique à : Azure Local 2311.2 et versions ultérieures

Cet article explique comment Azure Local aide les organisations à respecter les exigences de contrôle de sécurité de la norme ISO/IEC 27001:2022, à la fois dans le cloud et localement. En savoir plus sur Azure Local et d’autres normes de sécurité sur Azure Local et les normes de sécurité.

ISO/IEC 27001:2022

ISO/IEC 27001 est une norme de sécurité mondiale qui spécifie les exigences en matière d’établissement, d’implémentation, d’exploitation, de surveillance, de maintenance et d’amélioration d’un système de gestion de la sécurité de l’information (ISMS). La certification à ISO/IEC 27001:2022 aide les organisations à améliorer leur posture de sécurité, à renforcer la confiance avec leurs clients et à répondre à diverses obligations légales et réglementaires qui impliquent la sécurité des informations, telles que PCI DSS, HIPAA, HITRUST et FedRAMP. En savoir plus sur la norme iso /IEC 27001.

Azure Local

Azure Local est une solution hybride qui fournit une intégration transparente entre l’infrastructure locale des organisations et les services cloud Azure, ce qui contribue à consolider les charges de travail et conteneurs virtualisés et à gagner en efficacité dans le cloud lorsque les données doivent rester locales pour des raisons légales ou de confidentialité. Les organisations qui recherchent la certification ISO/IEC 27001:2022 pour leurs solutions doivent prendre en compte à la fois leurs environnements cloud et locaux.

Services cloud connectés

Azure Local fournit une intégration approfondie à plusieurs services Azure, tels qu’Azure Monitor, Sauvegarde Azure et Azure Site Recovery, pour fournir de nouvelles fonctionnalités à l’environnement hybride. Ces services cloud sont soumis à des audits tiers indépendants réguliers pour la conformité ISO/IEC 27001:2022. Vous pouvez consulter le rapport de certificat et d’audit Azure ISO/IEC 27001:2022 dans les offres de conformité Azure – ISO/IEC 27001:2022.

Important

L’état de conformité Azure ne confère pas l’accréditation ISO/IEC 27001 pour les services qu’une organisation crée ou héberge sur la plateforme Azure. Les organisations sont responsables de la conformité de leurs opérations avec les exigences ISO/IEC 27001:2022.

Solutions locales

Localement, Azure Local fournit un ensemble de fonctionnalités qui aident les organisations à satisfaire les exigences de sécurité de la norme ISO/IEC 27001:2022. Les sections suivantes fournissent plus d’informations.

Fonctionnalités locales Azure pertinentes pour ISO/IEC 27001:2022

Cette section décrit comment les organisations peuvent utiliser des fonctionnalités locales Azure pour répondre aux contrôles de sécurité dans l’annexe A de l’ISO/IEC 27001:2022. Les informations suivantes couvrent uniquement les exigences techniques. Les exigences liées aux opérations de sécurité ne sont pas étendues, car Azure Local ne peut pas les affecter. Les conseils sont organisés par les neuf domaines de l’annexe A :

• Sécurité du réseau
• Gestion de l’identité et de l’accès
• Protection des données
• Logging
• Surveillance
• Configuration sécurisée
• Protection contre les menaces
• Sauvegarde et récupération
• Scalabilité et disponibilité

Les instructions de cet article décrivent comment les fonctionnalités locales Azure peuvent être utilisées pour répondre aux exigences de chaque domaine. Il est important de noter que tous les contrôles ne sont pas obligatoires. Les organisations doivent analyser leur environnement et effectuer une évaluation des risques pour déterminer quels contrôles sont nécessaires. Pour plus d’informations sur les exigences, consultez ISO/IEC 27001.

Sécurité du réseau

Les fonctionnalités de sécurité réseau décrites dans cette section peuvent vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.20 – Sécurité réseau
• 8.21 – Sécurité des services réseau
• 8.22 – Séparation des réseaux
• 8.23 – Filtrage web

Avec Azure Local, vous pouvez appliquer des contrôles de sécurité réseau pour protéger votre plateforme et les charges de travail en cours d’exécution contre les menaces réseau en dehors et à l’intérieur. Azure Local garantit également une allocation réseau équitable sur un hôte et améliore les performances et la disponibilité de la charge de travail avec des fonctionnalités d’équilibrage de charge. En savoir plus sur la sécurité réseau dans Azure Local dans les articles suivants.

• Vue d'ensemble du Pare-feu Datacenter
• Software Load Balancer (SLB) for Software Define Network (SDN)
• Passerelle RAS (Remote Access Service) pour SDN
• Stratégies de qualité de service pour vos charges de travail hébergées sur Azure Local

Gestion des identités et des accès

Les fonctionnalités de gestion des identités et des accès décrites dans cette section peuvent vous aider à répondre aux contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.2 : droits d’accès privilégiés
• 8.3 – Restrictions d’accès aux informations
• 8.5 – Authentification sécurisée

Azure Local fournit un accès complet et direct au système sous-jacent s’exécutant sur des machines via plusieurs interfaces telles qu’Azure Arc et Windows PowerShell. Vous pouvez utiliser des outils Windows classiques dans des environnements locaux ou des solutions cloud telles que Microsoft Entra ID (anciennement Azure Active Directory) pour gérer l’identité et l’accès à la plateforme. Dans les deux cas, vous pouvez tirer parti des fonctionnalités de sécurité intégrées, telles que l’authentification multifacteur (MFA), l’accès conditionnel, le contrôle d’accès en fonction du rôle (RBAC) et la gestion des identités privilégiées (PIM) pour garantir que votre environnement est sécurisé et conforme.

En savoir plus sur la gestion des identités et des accès locaux dans Microsoft Identity Manager et Privileged Access Management pour services de domaine Active Directory. En savoir plus sur la gestion des identités et des accès basées sur le cloud sur Microsoft Entra ID.

Protection des données

Les fonctionnalités de protection des données décrites dans cette section peuvent vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.5 – Authentification sécurisée
• 8.20 – Sécurité réseau
• 8.21 - Sécurité des services réseau
• 8.24 – Utilisation du chiffrement

Chiffrement des données avec BitLocker

Sur les instances locales Azure, tous les données au repos peuvent être chiffrés via le chiffrement XTS-AES 256 bits BitLocker. Par défaut, le système vous recommande d’autoriser BitLocker à chiffrer tous les volumes du système d’exploitation et les volumes partagés de cluster (CSV) dans votre déploiement local Azure. Pour les nouveaux volumes de stockage ajoutés après le déploiement, vous devez activer manuellement BitLocker pour chiffrer le nouveau volume de stockage. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes à iso/IEC 27001. Pour en savoir plus, consultez Utiliser BitLocker avec des volumes partagés de cluster (CSV).

Protection du trafic réseau externe avec TLS/DTLS

Par défaut, toutes les communications de l’hôte vers des points de terminaison locaux et distants sont chiffrées à l’aide de TLS1.2, TLS1.3 et DTLS 1.2. La plateforme désactive l’utilisation d’anciens protocoles/hachages tels que TLS/DTLS 1.1 SMB1. Azure Local prend également en charge des suites de chiffrement fortes comme les courbes elliptiques compatibles SDL limitées aux courbes NIST P-256 et P-384 uniquement.

Protection du trafic réseau interne avec SMB (Server Message Block)

La signature SMB est activée par défaut pour les connexions clientes dans les instances locales Azure. Pour le trafic intra-cluster, le chiffrement SMB est une option que les organisations peuvent activer pendant ou après le déploiement pour protéger les données en transit entre les systèmes. Les suites de chiffrement AES-256-GCM et AES-256-CCM sont désormais prises en charge par le protocole SMB 3.1.1 utilisé par le trafic de fichiers client-serveur et l’infrastructure de données intra-cluster. Le protocole continue également de prendre en charge la suite AES-128 plus largement compatible. En savoir plus sur les améliorations de sécurité SMB.

Logging

La fonctionnalité de journalisation décrite dans cette section peut vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.15 – Journalisation
• 8.17 – Synchronisation des horloges

Journaux système locaux

Par défaut, toutes les opérations effectuées dans l’instance locale Azure sont enregistrées afin que vous puissiez suivre qui a fait quoi, quand et où sur la plateforme. Les journaux et les alertes créés par Windows Defender sont également inclus pour vous aider à prévenir, détecter et réduire la probabilité et l’impact d’une compromission des données. Toutefois, étant donné que le journal système contient souvent un grand volume d’informations, la plupart d’entre elles sont superflues pour la surveillance de la sécurité des informations, vous devez identifier les événements qui sont pertinents pour être collectés et utilisés à des fins de surveillance de la sécurité. Les fonctionnalités de supervision Azure aident à collecter, stocker, alerter et analyser ces journaux. Référencez la base de référence de sécurité pour Azure Local pour en savoir plus.

Journaux d’activité locaux

Azure Local Lifecycle Manager crée et stocke les journaux d’activité pour tout plan d’action exécuté. Ces journaux prennent en charge une investigation et une surveillance plus approfondies.

Journaux d’activité cloud

En inscrivant vos systèmes auprès d’Azure, vous pouvez utiliser les journaux d’activité Azure Monitor pour enregistrer les opérations sur chaque ressource de la couche d’abonnement afin de déterminer qui, et quand, pour toutes les opérations d’écriture (put, post ou delete) effectuées sur les ressources de votre abonnement.

Journaux des identités cloud

Si vous utilisez Microsoft Entra ID pour gérer l’identité et l’accès à la plateforme, vous pouvez afficher les journaux d’activité dans les rapports Azure AD ou les intégrer à Azure Monitor, Microsoft Sentinel ou à d’autres outils SIEM/monitoring pour des cas d’utilisation sophistiqués de surveillance et d’analyse. Si vous utilisez Active Directory local, utilisez la solution de Microsoft Defender pour Identity pour consommer vos signaux Active Directory local pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées vers votre organisation.

Intégration de SIEM

Microsoft Defender pour le cloud et Microsoft Sentinel sont intégrés en mode natif aux machines locales Azure avec Arc. Vous pouvez activer et intégrer vos journaux à Microsoft Sentinel, qui fournit une fonctionnalité SIEM (Security Information Event Management) et une réponse automatisée de l’orchestration de la sécurité (SOAR). Microsoft Sentinel, comme d’autres services cloud Azure, est également conforme à de nombreuses normes de sécurité bien établies, telles que ISO/IEC 27001, qui peuvent vous aider à effectuer votre processus de certification. En outre, Azure Local fournit un redirecteur d’événements syslog natif pour envoyer les événements système aux solutions SIEM tierces.

Surveillance

Les fonctionnalités de surveillance décrites dans cette section peuvent vous aider à respecter les contrôles de sécurité suivants spécifiés dans la norme ISO/IEC 27001.

• 8.15 – Journalisation

Insights pour Azure Local

Insights pour Azure Local vous permet de surveiller l’intégrité, les performances et les informations d’utilisation des systèmes connectés à Azure et inscrits dans la supervision. Pendant la configuration d’Insights, une règle de collecte de données est créée, qui spécifie les données à collecter. Ces données sont stockées dans un espace de travail Log Analytics, qui est ensuite agrégé, filtré et analysé pour fournir des tableaux de bord de surveillance prédéfinis à l’aide de classeurs Azure. Vous pouvez afficher les données de surveillance pour les systèmes à nœud unique et à plusieurs nœuds à partir de votre page de ressources locales Azure ou d’Azure Monitor. En savoir plus sur Monitor Azure Local avec Insights.

Métriques pour Azure Local

Les métriques pour Azure Local stockent des données numériques à partir de ressources surveillées dans une base de données de série chronologique. Vous pouvez utiliser l’Explorateur de métriques Azure Monitor pour analyser de manière interactive les données de votre base de données de métriques et tracer les valeurs de plusieurs métriques au fil du temps. Avec Métriques, vous pouvez créer des graphiques à partir de valeurs de métriques et mettre en corrélation visuellement les tendances.

Alertes de journal

Pour indiquer des problèmes en temps réel, configurez des alertes pour Azure Local, à l’aide d’exemples de requêtes de journal préexistantes, telles que le processeur moyen du serveur, la mémoire disponible, la capacité de volume disponible et bien plus encore. Pour en savoir plus, consultez Configurer des alertes pour les systèmes locaux Azure.

Alertes de métrique

Une règle d’alerte de métrique supervise une ressource en évaluant les conditions sur les métriques de ressource à intervalles réguliers. Si les conditions sont remplies, une alerte est déclenchée. Une série chronologique de métriques est une série de valeurs de métriques capturées sur une période donnée. Vous pouvez utiliser ces métriques pour créer des règles d’alerte. Apprenez-en davantage sur la création d’alertes de métrique sur les alertes de métrique.

Alertes de service et d’appareil

Azure Local fournit des alertes basées sur le service pour la connectivité, les mises à jour du système d’exploitation, la configuration Azure et bien plus encore. Les alertes basées sur les appareils pour les erreurs d’intégrité du cluster sont également disponibles. Vous pouvez également surveiller les instances locales Azure et leurs composants sous-jacents à l’aide de PowerShell ou du service d’intégrité.

Configuration sécurisée

La fonctionnalité de configuration sécurisée décrite dans cette section peut vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.8 – Gestion des vulnérabilités techniques
• 8.9 – Gestion de la configuration

Sécurisé par défaut

Azure Local est configuré en toute sécurité par défaut avec des outils de sécurité et des technologies qui se défendent contre les menaces modernes et s’alignent sur les bases de référence azure Compute Security. En savoir plus sur Gérer les paramètres de sécurité par défaut pour Azure Local.

Protection contre la dérive

La configuration de sécurité par défaut et les paramètres principaux sécurisés de la plateforme sont protégés pendant le déploiement et l’exécution avec la protection de contrôle de dérive. Lorsqu’elle est activée, la protection de contrôle de dérive actualise régulièrement les paramètres de sécurité toutes les 90 minutes pour vous assurer que les modifications de l’état spécifié sont corrigées. Cette surveillance continue et cette autorémédiation vous permettent d’avoir une configuration de sécurité cohérente et fiable tout au long du cycle de vie de l’appareil. Vous pouvez désactiver la protection de dérive pendant le déploiement lorsque vous configurez les paramètres de sécurité.

Base de référence de sécurité pour la charge de travail

Pour les charges de travail s’exécutant sur Azure Local, vous pouvez utiliser la base de référence du système d’exploitation Azure recommandée (pour Windows et Linux) comme benchmark pour définir votre base de référence de configuration des ressources de calcul.

Mise à jour de plateforme

Tous les composants d’Azure Local, y compris le système d’exploitation, les principaux agents et les services, et l’extension de solution, peuvent être gérés facilement avec le Gestionnaire de cycle de vie. Cette fonctionnalité vous permet de regrouper différents composants dans une version de mise à jour et de valider la combinaison de versions pour garantir l’interopérabilité. En savoir plus sur lifecycle Manager pour les mises à jour de la solution locale Azure.

Les charges de travail client ne sont pas couvertes par cette solution de mise à jour.

Protection contre les menaces

Les fonctionnalités de protection contre les menaces de cette section peuvent vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.7 – Protection contre les programmes malveillants

Antivirus Windows Defender

L’antivirus Windows Defender est une application utilitaire qui permet d’appliquer l’analyse système en temps réel et l’analyse périodique pour protéger la plateforme et les charges de travail contre les virus, les logiciels malveillants, les logiciels espions et d’autres menaces. Par défaut, Antivirus Microsoft Defender est activé sur Azure Local. Microsoft recommande d’utiliser Antivirus Microsoft Defender avec Azure Local plutôt que des logiciels et des services de détection de logiciels et de logiciels malveillants tiers, car ils peuvent avoir un impact sur la capacité du système d’exploitation à recevoir des mises à jour. En savoir plus sur Antivirus Microsoft Defender sur Windows Server.

Contrôle d’application Windows Defender (WDAC)

Windows Defender Application Control (WDAC) est activé par défaut sur Azure Local pour contrôler quels pilotes et applications sont autorisés à s’exécuter directement sur chaque ordinateur, ce qui permet d’empêcher les programmes malveillants d’accéder aux systèmes. En savoir plus sur les stratégies de base incluses dans Azure Local et sur la création de stratégies supplémentaires sur Windows Defender Application Control pour Azure Local.

Microsoft Defender for Cloud

Microsoft Defender pour le cloud avec Endpoint Protection (activé via le plan Defender pour serveurs) fournit une solution de gestion de la sécurité avec des fonctionnalités avancées de protection contre les menaces. Il vous fournit des outils pour évaluer l’état de sécurité de votre infrastructure, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et résoudre les menaces futures. Il effectue tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via le provisionnement automatique et la protection avec les services Azure. En savoir plus sur Microsoft Defender pour le cloud.

Sauvegarde et récupération

Les fonctionnalités de sauvegarde et de récupération décrites dans cette section peuvent vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.7 – Protection contre les programmes malveillants
• 8.13 – Sauvegarde des informations
• 8.14 – Redondance des informations

Cluster étendu

Azure Local fournit une prise en charge intégrée de la récupération d’urgence des charges de travail virtualisées par le biais d’un clustering étendu. En déployant une instance locale Azure étendue, vous pouvez répliquer de manière synchrone ses charges de travail virtualisées entre deux emplacements locaux distincts et basculer automatiquement entre eux. Les basculements de site planifiés peuvent se produire sans temps d’arrêt à l’aide de la migration dynamique Hyper-V.

Nœuds de cluster Kubernetes

Si vous utilisez Azure Local pour héberger des déploiements basés sur des conteneurs, la plateforme vous aide à améliorer l’agilité et la résilience inhérentes aux déploiements Azure Kubernetes. Azure Local gère le basculement automatique des machines virtuelles servant de nœuds de cluster Kubernetes en cas de défaillance localisée des composants physiques sous-jacents. Cette configuration complète la haute disponibilité intégrée dans Kubernetes, qui permet de redémarrer automatiquement les conteneurs défaillants sur la même machine virtuelle ou sur une autre.

Azure Site Recovery

Ce service vous permet de répliquer des charges de travail s’exécutant sur vos machines virtuelles locales Azure locales vers le cloud afin que votre système d’information puisse être restauré en cas d’incident, d’échec ou de perte de support de stockage. Comme d’autres services cloud Azure, Azure Site Recovery a un long historique des certificats de sécurité, y compris HITRUST, que vous pouvez utiliser pour prendre en charge votre processus d’accréditation. Pour en savoir plus, consultez Protéger les charges de travail de machine virtuelle avec Azure Site Recovery sur Azure Local.

Serveur Sauvegarde Microsoft Azure (MABS)

Ce service vous permet de sauvegarder des machines virtuelles locales Azure, en spécifiant une fréquence et une période de rétention souhaitées. Vous pouvez utiliser MABS pour sauvegarder la plupart de vos ressources dans l’environnement, notamment :

• État système/récupération complète (BMR) de l’hôte local Azure
• Machines virtuelles invitées dans un système disposant d’un stockage local ou directement attaché
• Machines virtuelles invitées sur des instances locales Azure avec stockage CSV
• Déplacement d’une machine virtuelle dans un cluster

Pour plus d’informations, consultez Sauvegarder des machines virtuelles locales Azure avec Sauvegarde Azure Server.

Extensibilité et disponibilité

La fonctionnalité d’extensibilité et de disponibilité décrite dans cette section peut vous aider à répondre aux exigences de contrôle de sécurité suivantes de la norme ISO/IEC 27001.

• 8.6 – Gestion de la capacité
• 8.14 – Redondance des informations

Modèles hyperconvergés

Azure Local utilise des modèles hyperconvergés de espaces de stockage direct pour déployer des charges de travail. Ce modèle de déploiement vous permet de mettre à l’échelle facilement en ajoutant de nouveaux nœuds qui étendent automatiquement le calcul et le stockage en même temps avec aucun temps d’arrêt.

Clusters de basculement

Les instances locales Azure sont des clusters de basculement. Si un serveur qui fait partie d’Azure Local échoue ou devient indisponible, un autre serveur du même cluster de basculement prend en charge la tâche de fournir les services offerts par le nœud défaillant. Vous créez un cluster de basculement en activant espaces de stockage direct sur plusieurs machines exécutant Azure Local.