Azure VMware Solution corrige les vulnérabilités dans l’infrastructure
En principe, Azure VMware Solution est un service Azure qui doit, par conséquent, respecter les mêmes stratégies et exigences qu’Azure. Les stratégies et procédures Azure stipulent qu’Azure VMware Solution doit suivre le Cycle de vie de développement de la sécurité (SDL) et doit répondre à plusieurs exigences réglementaires, comme annoncé par Azure.
Notre approche des vulnérabilités
Azure VMware Solution adopte une approche approfondie de la gestion des vulnérabilités et des risques. Nous suivons le SDL pour veiller à créer des infrastructures sécurisées dès le départ. La priorité accordée à la sécurité implique de travailler avec des solutions tierces. Nos services font l’objet d’une évaluation continue par le biais de contrôles automatiques et manuels réguliers. Nous nous associons également à des partenaires tiers pour renforcer la sécurité et signaler rapidement d’éventuelles vulnérabilités au sein de leurs solutions.
Gestion des vulnérabilités
- Les équipes d’ingénierie et de sécurité effectuent un triage de tous les signaux de vulnérabilités.
- Les informations contenues dans les signaux sont évaluées et se voient attribuer un score CVSS (Common Vulnerability Scoring System) ainsi qu’un niveau de risque en fonction des contrôles compensatoires mis en place au sein du service.
- Le niveau de risque est comparé aux barres de bogues internes, aux stratégies internes et aux réglementations afin d’établir un délai pour la mise en œuvre d’un correctif.
- Les équipes d’ingénierie internes collaborent avec les parties concernées pour qualifier et déployer des correctifs, patchs et autres mises à jour de configuration nécessaires.
- Les communications sont rédigées en temps utile et publiées en fonction du niveau de risque attribué.
Conseil
Les communications sont transmises via le portail Azure Service Health, les problèmes connus ou par e-mail.
Sous-ensemble de réglementations régissant la gestion des vulnérabilités et des risques
Azure VMware Solution entre dans l’étendue des certifications et exigences réglementaires suivantes. Les réglementations énumérées ne constituent pas une liste exhaustive des certifications détenues par Azure VMware Solution. Il s’agit en réalité d’une liste d’exigences spécifiques en matière de gestion des vulnérabilités. Ces réglementations ne s’appuient pas sur d’autres réglementations qui partagent le même objectif. Par exemple, certaines certifications régionales peuvent renvoyer aux exigences ISO en matière de gestion des vulnérabilités.
Remarque
Pour accéder aux rapports d’audit suivants, hébergés dans le portail d’approbation de services, vous devez être un client Microsoft actif :
- ISO
- PCI : consultez les packages de DSS et 3DS pour les informations d’audit.
- SOC
- NIST Cybersecurity Framework
- Cyber Essentials Plus