Présentation de Microsoft Cybersecurity Reference Architecture et Cloud Security Benchmark
Ce module couvre les bonnes pratiques en matière de contrôles et de capacités de cybersécurité, qui sont essentiels pour réduire le risque de réussite des attaquants.
Objectifs d’apprentissage
Dans ce module, vous allez découvrir comment :
- Utilisez Microsoft Cybersecurity Reference Architecture (MCRA) pour concevoir des solutions plus sécurisées.
- Utilisez Microsoft Cloud Security Benchmark (MCSB) pour concevoir des solutions plus sécurisées.
Le contenu du module vous aidera à préparer l’examen de certification SC-100 : Microsoft Cybersecurity Architect.
Prérequis
- Connaissance conceptuelle des stratégies de sécurité, des exigences, de l’architecture de Confiance zéro et de la gestion des environnements hybrides
- Expérience pratique avec les stratégies de Confiance zéro, l’application de stratégies de sécurité et le développement d’exigences de sécurité en fonction des objectifs métier
Vue d’ensemble de MCRA
Les architectures MCRA (Microsoft Cybersecurity Reference Architectures) sont un ensemble de diagrammes techniques qui décrivent les fonctionnalités de cybersécurité de Microsoft. Les diagrammes décrivent comment les fonctionnalités de sécurité Microsoft s’intègrent aux éléments suivants :
- Plateformes Microsoft, comme Microsoft 365 et Microsoft Azure
- Applications tierces, comme ServiceNow et Salesforce
- Plateformes tierces, comme Amazon Web Services (AWS) et Google Cloud Platform (GCP)
MCRA contient des diagrammes sur les sujets suivants :
- Fonctionnalités de cybersécurité Microsoft
- Confiance Zéro et plan de modernisation rapide de la Confiance Zéro (RaMP)
- Accès utilisateur Confiance Zéro
- Opérations de sécurité
- Technologie opérationnelle (OT)
- Fonctionnalités multicloud et multiplateformes
- Couverture de la chaîne d’attaque
- Contrôles de sécurité natifs Azure
- Fonctions organisationnelles de sécurité
Vue d’ensemble de MCSB
De nouveaux ensembles de services et fonctionnalités sont publiés quotidiennement dans Azure et d’autres plateformes cloud. Les développeurs publient rapidement de nouvelles applications cloud reposant sur ces services, et les attaquants cherchent toujours de nouvelles façons d’exploiter des ressources mal configurées. Le cloud évolue rapidement, les développeurs aussi et les attaquants ne font pas exception. Comment vous assurer que vos déploiements cloud sont sécurisés ? En quoi les pratiques de sécurité des systèmes cloud diffèrent-elles des systèmes locaux et des fournisseurs de services cloud ? Comment surveillez-vous votre charge de travail pour assurer la cohérence sur plusieurs plateformes cloud ?
Microsoft a découvert que l’utilisation de benchmarks de sécurité peut vous aider à sécuriser rapidement les déploiements dans le cloud. Un framework complet des bonnes pratiques de sécurité des fournisseurs de services cloud peut vous donner un point de départ pour sélectionner des paramètres de configuration de sécurité spécifiques dans votre environnement cloud pour plusieurs fournisseurs de services et vous permettre de superviser ces configurations en utilisant un seul environnement.
Contrôles de sécurité
Un contrôle est une description de haut niveau d’une fonctionnalité recommandée ou d’une activité à traiter. Les contrôles ne sont pas spécifiques à une technologie ou à une implémentation. Les recommandations de contrôle de sécurité s’appliquent à plusieurs charges de travail cloud. Chaque contrôle est numéroté, et les recommandations du contrôle identifient une liste d’intervenants qui participent généralement à la planification, à l’approbation ou à la mise en œuvre du benchmark.
Domaines de contrôle/familles de contrôle MCSB
Dans le MCSB, les contrôles sont regroupés en « familles » ou « domaines ». Le tableau suivant récapitule les domaines de contrôle de sécurité dans MCSB :
| Domaines de contrôle | Description |
|---|---|
| Sécurité réseau | La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation de DNS. |
| Gestion des identités | Identité et accès couvre les contrôles destinés à établir des contrôles d’identité et d’accès à l’aide de systèmes d’administration des identités et accès, y compris l’utilisation de l’authentification unique, des authentifications renforcées, des identités managées (et principaux de service) pour les applications, l’accès conditionnel et le monitoring des anomalies de compte. |
| Accès privilégié | L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires. |
| Protection des données | La protection des données couvre le contrôle de la protection des données au repos, en transit et par le biais de mécanismes d’accès autorisés, ce qui inclut la découverte, la classification, la protection et le Monitoring des ressources de données sensibles en utilisant le contrôle d’accès, le chiffrement et la gestion de certificats. |
| Gestion des ressources | La gestion des ressources couvre les contrôles permettant de garantir la visibilité et la gouvernance de sécurité sur vos ressources. Cela comprend des recommandations relatives aux autorisations pour le personnel de sécurité, l’accès sécurisé à l’inventaire des ressources et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction). |
| Journalisation et détection des menaces | La journalisation et la détection des menaces couvrent les contrôles destinés à détecter les menaces sur le cloud et à activer, collecter et stocker les journaux d’audit pour les services cloud, ce qui inclut l’activation des processus de détection, d’investigation et de correction avec des contrôles visant à générer des alertes de haute qualité avec la détection native des menaces dans les services Azure. Cela inclut également la collecte des journaux avec un service de monitoring sur le cloud, la centralisation des analyses de la sécurité avec une gestion des événements de sécurité (SIEM), la synchronisation de l’heure et la conservation des journaux. |
| Réponse aux incidents | La réponse aux incidents couvre les contrôles du cycle de vie de la réponse aux incidents : préparation, détection et analyse, autonomie et activités post-incident, y compris l’utilisation de services Azure (comme Microsoft Defender pour le cloud et Sentinel) et/ou d’autres services cloud pour automatiser le processus de réponse aux incidents. |
| Gestion des postures et des vulnérabilités | La gestion des postures, des menaces et des vulnérabilités porte essentiellement sur les contrôles destinés à évaluer et à améliorer la posture de sécurité cloud, ce qui inclut l’analyse des vulnérabilités, les tests d’intrusion et la correction, ainsi que le suivi de la configuration de la sécurité, la création de rapports et la correction des ressources du cloud. |
| Sécurité des points de terminaison | La sécurité des points de terminaison couvre les contrôles de la protection évolutive des points de terminaison, notamment l’utilisation de la protection évolutive des points de terminaison (EDR) et du service anti-programme malveillant pour les points de terminaison dans des environnements cloud. |
| Sauvegarde et récupération | La sauvegarde et la récupération couvrent les contrôles destinés à s’assurer que les sauvegardes de données et de configurations aux différents niveaux de service sont effectuées, validées et protégées. |
| Sécurité DevOps (DS) | La sécurité DevOps recouvre les contrôles liés à l’ingénierie et aux opérations de sécurité dans les processus DevOps, y compris le déploiement de vérifications de sécurité critiques (tels que les tests statiques de sécurité des applications, la gestion des vulnérabilités) avant la phase de déploiement afin de garantir la sécurité tout au long du processus DevOps. Elle inclut également des sujets communs comme la modélisation des menaces et la sécurité dans l’approvisionnement en logiciels. |
| Gouvernance et stratégie | La gouvernance et la stratégie fournissent des conseils pour garantir une stratégie de sécurité cohérente et une approche de la gouvernance documentée, et pour guider et soutenir l’assurance sécurité, y compris l’établissement de rôles et de responsabilités pour les différentes fonctions de sécurité cloud, une stratégie technique unifiée ainsi que des stratégies et normes associées. |
Lignes de base de service
Les bases de référence de sécurité sont des documents standardisés pour les offres de produits Azure, décrivant les fonctionnalités de sécurité disponibles et les configurations de sécurité optimales pour vous aider à durcir la sécurité grâce à des outils, un suivi et des fonctionnalités de sécurité améliorés. Nous avons actuellement des bases de référence des services disponibles seulement pour Azure.
Les lignes de base de sécurité pour Azure se concentrent sur les domaines de contrôle centrés sur le cloud dans les environnements Azure. Ces contrôles sont conformes aux normes connues du secteur, celles du Center for Internet Security (CIS) ou du National Institute for Standards in Technology (NIST). Nos bases de référence fournissent de l’aide sur les zones de contrôle listées dans le benchmark de sécurité cloud Microsoft v1.
Chaque ligne de base est constituée des composants suivants :
- Comment se comporte un service ?
- Quelles sont les fonctionnalités de sécurité disponibles ?
- Quelles configurations sont recommandées pour sécuriser le service ?
Implémenter le Benchmark de sécurité cloud Microsoft
- Planifiez votre implémentation de MCSB en consultant la documentation relative aux contrôles d’entreprise et aux bases de référence spécifiques aux services pour planifier votre framework de contrôle, et la façon dont elle correspond à des directives comme les contrôles CIS (Center for Internet Security), NIST (National Institute of Standards and Technology) et le framework PCI-DSS (Payment Card Industry Data Security Standard).
- Supervisez votre conformité avec l’état MCSB (et d’autres ensembles de contrôles) en utilisant Microsoft Defender pour le cloud – Tableau de bord de conformité réglementaire pour votre environnement multicloud.
- Établissez des garde-fous pour automatiser les configurations sécurisées et appliquer la conformité avec MCSB (et d’autres exigences de votre organisation) en utilisant des fonctionnalités comme Azure Blueprints, Azure Policy ou les technologies équivalentes d’autres plateformes cloud.
Cas d’utilisation courants
Microsoft Cloud Security Benchmark peut souvent être utilisé pour relever les défis courants des clients ou des partenaires de service qui sont :
- Découvrent Azure (et autres plateformes cloud majeures, comme AWS) et recherchent des bonnes pratiques de sécurité pour garantir un déploiement sécurisé des services cloud et de la charge de travail de vos applications.
- Cherchent à améliorer la posture de sécurité des déploiements cloud existants pour classer par ordre de priorité les risques et atténuations les plus importants.
- Utilisation d’environnements multiclouds (comme Azure et AWS) et réponse aux défis liés à l’alignement de la surveillance et de l’évaluation des contrôles de sécurité à l’aide d’une vitrine unique.
- Évaluation des fonctionnalités de sécurité d’Azure (et d’autres plateformes cloud majeures, comme AWS) avant d’intégrer ou d’approuver un ou plusieurs services dans le catalogue de services cloud.
- Devoir répondre aux exigences de conformité dans des secteurs hautement réglementés comme le secteur public, les finances et la santé. Ces clients doivent s’assurer que leurs configurations de service d’Azure et d’autres clouds respectent les spécifications de sécurité définies dans une structure comme CIS, NIST ou PCI. MCSB offre une approche efficace avec les contrôles déjà prémappés à ces tests d’évaluation du secteur.
Terminologie
Les termes « contrôle » et « base de référence » sont utilisés souvent dans la documentation du Benchmark de sécurité cloud Microsoft. Il est important de comprendre comment MCSB utilise ces termes.
| Terme | Description | Exemple |
|---|---|---|
| Control | Un contrôle est une description de haut niveau d’une fonctionnalité ou d’une activité à traiter, qui n’est pas propre à une technologie ou à une implémentation. | La protection des données constitue l’une des familles de contrôles de sécurité. La protection des données contient des actions spécifiques qui doivent être entreprises pour s’assurer que les données sont bien protégées. |
| Ligne de base | Une base de référence est l’implémentation du contrôle sur les services Azure individuels. Chaque organisation édicte une recommandation de benchmark et les configurations correspondantes sont nécessaires dans Azure. Remarque : Nous avons actuellement des bases de référence des services disponibles seulement pour Azure. | La société Contoso cherche à activer les fonctionnalités de sécurité d’Azure SQL en suivant la configuration recommandée dans de base de référence de sécurité d’Azure SQL. |