Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsque vous implémentez votre patrimoine cloud et migrez des charges de travail, il est essentiel d’établir des mécanismes et pratiques de sécurité robustes. Cette approche garantit que vos charges de travail sont sécurisées dès le début et empêchent la nécessité de résoudre les lacunes de sécurité une fois les charges de travail en production. Hiérarchiser la sécurité pendant la phase d’adoption pour vous assurer que les charges de travail sont générées de manière cohérente et en fonction des meilleures pratiques. Les pratiques de sécurité établies préparent également les équipes informatiques pour les opérations cloud via des stratégies et procédures bien conçues.
Que vous migrez des charges de travail vers le cloud ou que vous créez un patrimoine cloud entièrement nouveau, vous pouvez appliquer les conseils de cet article. La méthodologie Cloud Adoption Framework Adopt intègre les méthodologies Migrate, Modernize et Cloud-native. Quel que soit le chemin que vous prenez pendant la phase d’adoption de votre parcours cloud, il est important de prendre en compte les recommandations de cet article lorsque vous établissez les éléments fondamentaux de votre patrimoine cloud et créez ou migrez des charges de travail.
Cet article est un guide de soutien de la méthodologie d’adoption. Il fournit des zones d’optimisation de la sécurité que vous devez prendre en compte au fur et à mesure que vous parcourez cette phase de votre parcours.
Adoption de la modernisation de la posture de sécurité
Tenez compte des recommandations suivantes lorsque vous travaillez à la modernisation de votre posture de sécurité dans le cadre de la phase Adopter :
Bases de référence de sécurité : définissez des bases de référence de sécurité qui incluent des exigences de disponibilité pour établir une base claire et robuste pour le développement. Pour gagner du temps et réduire le risque d’erreur humaine dans l’analyse de vos environnements, utilisez un outil d’analyse de la base de référence de sécurité hors service.
Adopter l’automatisation : utilisez des outils d’automatisation pour gérer les tâches de routine afin de réduire le risque d’erreur humaine et d’améliorer la cohérence. Tirez parti des services cloud qui peuvent automatiser les procédures de basculement et de récupération. Les tâches que vous pouvez envisager d’automatiser sont les suivantes :
- Déploiements et gestion d’infrastructure
- Activités de cycle de vie du développement logiciel
- Testing
- Surveillance et alerte
- Scaling
Contrôles d’accès et d’autorisation selon le modèle Confiance nulle : Implémenter des contrôles d’accès solides et des systèmes de gestion des identités pour garantir que seul le personnel autorisé ait accès aux systèmes et données critiques. Cette approche réduit le risque d’activités malveillantes susceptibles de perturber les services. Normalisez les contrôles d’accès en fonction du rôle (RBAC) strictement appliqués et exigez une authentification multifacteur pour empêcher tout accès non autorisé susceptible d’interrompre la disponibilité du service. Pour plus d’informations, consultez Identité de sécurité avec Confiance nulle.
Institutionnalisation de la gestion des changements
Les méthodologies d’adoption et de gestion des changements efficaces (ACM) sont essentielles pour garantir la réussite de l’implémentation et de l’institutionnalisation des contrôles d’accès. Voici quelques-unes des meilleures pratiques et méthodologies :
Modèle Prosci ADKAR : ce modèle se concentre sur cinq blocs de construction clés pour réussir le changement. Ces composants sont la sensibilisation, le désir, la connaissance, la capacité et le renforcement. En traitant chaque élément, les organisations peuvent s’assurer que les employés comprennent le besoin de contrôles d’accès, sont motivés pour soutenir le changement, avoir les connaissances et les compétences nécessaires et recevoir un renforcement continu pour maintenir le changement.
Modèle de modification en 8 étapes de Kotter : ce modèle décrit huit étapes pour la modification de premier plan. Ces étapes incluent la création d’un sentiment d’urgence, la création d’une coalition puissante, le développement d’une vision et d’une stratégie, la communication de la vision, l’autonomisation des employés pour une action à grande échelle, la génération de victoires à court terme, la consolidation des gains et l’ancrage de nouvelles approches dans la culture. En suivant ces étapes, les organisations peuvent gérer efficacement l’adoption des contrôles d’accès.
Modèle de gestion des modifications de Lewin : ce modèle comporte trois étapes, qui sont Unfreeze, Change et Refreeze. À l’étape Unfreeze, les organisations se préparent à changer en identifiant la nécessité de contrôles d’accès et en créant un sentiment d’urgence. Au cours de la phase de modification, de nouveaux processus et pratiques sont implémentés. À l’étape Refreeze, les nouvelles pratiques sont solidifiées et intégrées à la culture organisationnelle.
Microsoft Framework d’adoption et de gestion des changements : Ce framework fournit une approche structurée de l’adoption et du changement en définissant des critères de réussite, en engageant les parties prenantes et en préparant l’organisation. Ce cadre mesure également la réussite pour garantir l’efficacité de l’implémentation. Il souligne l’importance de la communication, de la formation et du soutien pour s’assurer que les contrôles d’accès sont effectivement adoptés et institutionnalisés.
Les organisations peuvent s’assurer que les contrôles d’accès sont implémentés et adoptés par les employés en intégrant ces méthodologies ACM et les meilleures pratiques. Cette approche aboutit à un environnement d’entreprise plus sécurisé et conforme.
La facilitation d’Azure
Establish a security baseline :Niveau de sécurité Microsoft peut vous aider à établir des bases de référence avec des recommandations tangibles pour des améliorations. Elle est fournie dans le cadre de la suite de Microsoft Defender XDR et peut analyser la sécurité de nombreux produits Microsoft et non Microsoft.
Infrastructure deployment automation :Azure Resource Manager templates (modèles ARM) et Bicep sont des outils natifs Azure pour déployer l’infrastructure en tant que code (IaC) à l’aide de la syntaxe déclarative. Les modèles ARM sont écrits au format JSON, tandis que Bicep est un langage spécifique au domaine. Vous pouvez facilement intégrer les deux dans Azure Pipelines ou GitHub Actions les pipelines d’intégration continue et de livraison continue (CI/CD).
Terraform est un autre outil IaC déclaratif entièrement pris en charge dans Azure. Vous pouvez utiliser Terraform pour déployer et gérer l’infrastructure, et vous pouvez l’intégrer à votre pipeline CI/CD.
Vous pouvez utiliser Microsoft Defender for Cloud pour découvrir les configurations incorrectes dans IaC.
Azure Environnements de déploiement : Environnements de déploiement permet aux équipes de développement de créer rapidement une infrastructure d’application cohérente à l’aide de modèles basés sur des projets. Ces modèles réduisent le temps d’installation et optimisent la sécurité, la conformité et l’efficacité des coûts. Un environnement de déploiement est une collection de ressources Azure déployées dans des abonnements prédéfinis. Les administrateurs d’infrastructure de développement peuvent appliquer des stratégies de sécurité d’entreprise et fournir un ensemble organisé de modèles IaC prédéfinis.
Les administrateurs d’infrastructure de développement définissent des environnements de déploiement en tant qu’éléments de catalogue. Les éléments de catalogue sont hébergés dans un référentiel GitHub ou Azure DevOps, appelé catalog. Un élément de catalogue se compose d’un modèle IaC et d’un fichier manifest.yml.
Vous pouvez scripter la création d’environnements de déploiement et gérer par programme les environnements. Pour obtenir des conseils détaillés et axés sur la charge de travail, consultez l'approche IaC de Azure Well-Architected Framework.
Automatisation des tâches de routine :
Azure Functions :Azure Functions est un outil serverless que vous pouvez utiliser pour automatiser les tâches à l’aide de votre langage de développement préféré. Functions fournit un ensemble complet de déclencheurs et de liaisons pilotés par les événements qui connectent vos fonctions à d’autres services. Vous n’avez pas besoin d’écrire du code supplémentaire.
Azure Automation : PowerShell et Python sont des langages de programmation populaires pour automatiser les tâches opérationnelles. Utilisez ces langages pour effectuer des opérations telles que le redémarrage des services, le transfert des journaux entre les entrepôts de données et la mise à l’échelle de l'infrastructure pour répondre à la demande. Vous pouvez exprimer ces opérations dans le code et les exécuter à la demande. Individuellement, ces langages ne disposent pas d'une plateforme pour la gestion centralisée, la gestion des versions ou l'historique d'exécutions. Les langages ne disposent pas non plus d’un mécanisme natif pour répondre à des événements tels que les alertes pilotées par la surveillance. Pour fournir ces fonctionnalités, vous avez besoin d’une plateforme d’automatisation. Automation fournit une plateforme Azure hébergée pour l’hébergement et l’exécution de PowerShell et Python code dans les environnements cloud et locaux, y compris les systèmes Azure et non-Azure. PowerShell et Python code sont stockés dans un runbook Automation. L'automatisation permet les opérations suivantes :
Déclenchez des runbooks à la demande, selon un calendrier ou par l’intermédiaire d’un webhook.
Historique des exécutions et journalisation.
Intégrer un magasin de secrets.
Intégrer le contrôle de code source.
Gestionnaire de mise à jour Azure :Update Manager est un service unifié que vous pouvez utiliser pour gérer et régir les mises à jour des machines virtuelles. Vous pouvez surveiller Windows et la conformité des mises à jour Linux sur votre charge de travail. Vous pouvez également utiliser Update Manager pour effectuer des mises à jour en temps réel ou les planifier dans une fenêtre de maintenance définie. Utilisez Update Manager pour :
Supervisez la conformité sur l’ensemble de votre flotte de machines.
Planifiez des mises à jour périodiques.
Déployer des mises à jour critiques.
Azure Logic Apps et Microsoft Power Automate : Lorsque vous créez une automatisation de processus numérique personnalisée (DPA) pour gérer des tâches de charge de travail telles que des flux d’approbation ou créer des intégrations ChatOps, envisagez d’utiliser Logic Apps ou Power Automate. Vous pouvez construire des flux de travail à partir de connecteurs et de modèles intégrés. Logic Apps et Power Automate reposent sur la même technologie sous-jacente et conviennent parfaitement aux tâches basées sur des déclencheurs ou temporelles.
Mise à l’échelle automatique : De nombreuses technologies Azure ont des fonctionnalités de mise à l’échelle automatique intégrées. Vous pouvez également programmer d’autres services pour effectuer une mise à l’échelle automatique à l’aide d’API. Pour plus d’informations, consultez Mise à l’échelle automatique.
Azure Monitor groupes d’actions : Pour exécuter automatiquement des opérations de réparation automatique lorsqu’une alerte est déclenchée, utilisez Azure Monitor groupes d’actions. Vous pouvez définir ces opérations à l’aide d’un runbook, d’une fonction Azure ou d’un webhook.
Préparation aux incidents et adoption de la réponse
Après avoir établi votre zone d’atterrissage ou une autre conception de plateforme avec une segmentation de réseau sécurisée et une organisation d’abonnement et de ressources bien conçue, vous pouvez commencer l’implémentation avec un focus sur la préparation et la réponse aux incidents. Au cours de cette phase, le développement de vos mécanismes de préparation et de réponse, y compris votre plan de réponse aux incidents, garantit que votre patrimoine cloud et vos pratiques opérationnelles s’alignent sur les objectifs métier. Cet alignement est essentiel pour maintenir l’efficacité et atteindre des objectifs stratégiques. La phase d’adoption devrait aborder la préparation et la réponse aux incidents de deux points de vue. Ces perspectives sont la préparation et l’atténuation des menaces, ainsi que l’infrastructure et la sécurité des applications. Passez en revue les exigences de Microsoft Secure Future Initiative (SFI) et intégrez-les dans vos évaluations.
Préparation et atténuation des menaces
Détection des menaces : implémentez des outils et pratiques de surveillance avancés pour détecter les menaces en temps réel. Cette implémentation inclut la configuration de systèmes d’alerte pour des activités inhabituelles et l’intégration de solutions de détection et de réponse étendues (XDR) et d’informations de sécurité et de gestion des événements (SIEM). Pour plus d’informations, consultez Confiance nulle protection contre les menaces et XDR.
Gestion des vulnérabilités : identifiez et atténuez régulièrement les vulnérabilités par le biais de la gestion des correctifs et des mises à jour de sécurité pour vous assurer que les systèmes et les applications sont protégés contre les menaces connues.
Réponse aux incidents : développez et gérez un plan de réponse aux incidents qui comprend des étapes de détection, d’analyse et de correction pour résoudre et récupérer rapidement des incidents de sécurité. Pour obtenir des conseils axés sur la charge de travail, consultez Recommandations pour la réponse aux incidents de sécurité. Automatisez les activités d’atténuation autant que possible pour rendre ces activités plus efficaces et moins sujettes à une erreur humaine. Par exemple, si vous détectez une injection SQL, vous pouvez avoir un runbook ou un workflow qui verrouille automatiquement toutes les connexions à SQL pour contenir l’incident.
Sécurité de l’infrastructure et des applications
Pipelines de déploiement sécurisé : créez des pipelines CI/CD avec des vérifications de sécurité intégrées pour vous assurer que les applications sont développées, testées et déployées en toute sécurité. Cette solution inclut l’analyse statique du code, l’analyse des vulnérabilités et les vérifications de conformité. Pour plus d’informations, consultez Confiance nulle conseils pour les développeurs.
Déploiements IaC : Déployez toute l’infrastructure via du code, sans exception. Réduisez le risque d’infrastructure mal configurée et de déploiements non autorisés en imposant cette norme. Colocalisez toutes les ressources IaC avec des ressources de code d’application et appliquez les mêmes pratiques de déploiement sécurisées que les déploiements de logiciels.
La facilitation d’Azure
Automatisation de la détection et de la réponse aux menaces : Automatisez la détection et la réponse aux menaces grâce à la fonctionnalité d'enquête et de réponse automatisée de Microsoft Defender XDR.
sécurité du déploiement IaC : Utilisez des piles de déploiement pour gérer les ressources Azure en tant qu’unité cohérente unique. Empêcher les utilisateurs d’effectuer des modifications non autorisées à l’aide des paramètres de refus.
Adopter le principe de confidentialité
Une fois que la stratégie globale et le plan de mise en œuvre pour l’adoption du principe de confidentialité de la CIA sont déjà en place, l’étape suivante consiste à se concentrer sur ACM. Cette étape inclut la garantie que les contrôles d’accès sécurisé et de chiffrement sont implémentés et institutionnalisés dans l’environnement cloud d’entreprise. Dans la phase d’adoption, les mesures de protection contre la perte de données (DLP) sont implémentées pour protéger les données sensibles en transit et les données au repos. L’implémentation implique le déploiement de solutions de chiffrement, la configuration des contrôles d’accès et la formation de tous les employés sur l’importance de la confidentialité et de l’adhésion aux stratégies DLP.
Implémenter des contrôles d’accès sécurisés et de chiffrement
Pour protéger les informations sensibles contre les accès non autorisés, il est essentiel que vous implémentez un chiffrement robuste et des contrôles d’accès sécurisés. Le chiffrement garantit que les données ne sont pas lisibles pour les utilisateurs non autorisés, tandis que les contrôles d’accès régissent qui peut accéder à des données et ressources spécifiques. Découvrez les fonctionnalités de chiffrement des services cloud que vous déployez et activez les mécanismes de chiffrement appropriés pour répondre aux besoins de votre entreprise.
Incorporer et adopter des normes associées
Pour garantir l’implémentation cohérente des contrôles de chiffrement et d’accès, il est essentiel de développer et d’adopter des normes associées. Les organisations doivent établir des directives claires et des bonnes pratiques pour l’utilisation des contrôles de chiffrement et d’accès, et s’assurer que ces normes sont communiquées à tous les employés. Par exemple, une norme peut spécifier que toutes les données sensibles doivent être chiffrées à l’aide du chiffrement AES-256, et que l’accès à ces données doit être limité uniquement au personnel autorisé. Les organisations peuvent s’assurer que les contrôles de chiffrement et d’accès sont appliqués de manière cohérente dans l’entreprise en incorporant ces normes dans leurs stratégies et procédures. Fournir une formation et un soutien réguliers renforcent davantage ces pratiques entre les employés. Voici d’autres exemples :
Chiffrement fort : activez le chiffrement sur les magasins de données lorsque cela est possible et envisagez de gérer vos propres clés. Votre fournisseur de cloud peut offrir le chiffrement des données au repos pour le stockage sur lequel votre magasin de données est hébergé, et vous donner la possibilité d’activer le chiffrement de base de données comme le chiffrement transparent des données dans Azure SQL Database. Appliquez la couche supplémentaire de chiffrement si possible.
Contrôles d’accès : Appliquez le contrôle d’accès en fonction du rôle (RBAC), les contrôles d’accès conditionnel, l’accès juste-à-temps et l’accès juste suffisant à tous les magasins de données. Normalisez régulièrement la pratique d’examen des autorisations. Restreindre l’accès en écriture aux systèmes de configuration, ce qui autorise uniquement les modifications par le biais d’un compte Automation désigné. Ce compte applique des modifications après des processus d’examen approfondis, généralement dans le cadre de Azure Pipelines.
Adoption de Standards : L’organisation pourrait développer une norme qui nécessite que tous les e-mails contenant des informations sensibles soient chiffrés en utilisant Protection des données Microsoft Purview. Cette exigence garantit que les données sensibles sont protégées pendant la transmission et accessibles uniquement par les destinataires autorisés.
La facilitation d’Azure
SIEM et solutions SOAR :Microsoft Sentinel est un SIEM natif au cloud, évolutif et complet qui fournit une solution intelligente et complète pour l’orchestration, l’automatisation et la réponse en matière de sécurité (SOAR). Microsoft Sentinel fournit la détection des menaces, l’investigation, la réponse et la chasse proactive, avec une vue d’ensemble générale de votre entreprise.
Azure encryption : Azure fournit un chiffrement pour les services tels que Azure SQL Database, Azure Cosmos DB et Azure Data Lake. Les modèles de chiffrement pris en charge incluent le chiffrement côté serveur avec des clés gérées par le service, des clés gérées par le client dans Azure Key Vault et des clés gérées par le client sur du matériel contrôlé par le client. Les modèles de chiffrement côté client prennent en charge le chiffrement des données par une application avant son envoi à Azure. Pour plus d’informations, consultez Azure vue d’ensemble du chiffrement.
Access control management :Microsoft Entra ID fournit des fonctionnalités complètes de gestion des identités et des accès. Il prend en charge l’authentification multifacteur, les stratégies d’accès conditionnel et l’authentification unique pour s’assurer que seuls les utilisateurs autorisés peuvent accéder aux données sensibles.
Protection Microsoft Entra ID utilise le Machine Learning avancé pour identifier les risques de connexion et le comportement inhabituel de l’utilisateur pour bloquer, défier, limiter ou accorder l’accès. Il permet d’empêcher la compromission de l’identité, de se protéger contre le vol d’informations d’identification et de fournir des insights sur votre posture de sécurité des identités.
Microsoft Defender pour Identity est une solution de détection des menaces d’identité de sécurité basée sur le cloud qui permet de sécuriser votre surveillance des identités au sein de votre organisation. Il peut vous aider à mieux identifier, détecter et examiner les menaces avancées dirigées vers votre organisation par le biais de mécanismes automatisés de détection des menaces et de réponse.
Azure l'informatique confidentielle : Ce service protège les données pendant son traitement. Il utilise des environnements d’exécution approuvés basés sur le matériel pour isoler et protéger les données en cours d’utilisation, ce qui garantit que même les administrateurs cloud ne peuvent pas accéder aux données.
Adopter le principe d’intégrité
Dans la phase Adopter, la planification et les conceptions sont transformées en implémentations réelles. Pour garantir l’intégrité des données et du système, créez vos systèmes en fonction des normes que vous avez développées dans les phases précédentes. En outre, former des ingénieurs, des administrateurs et des opérateurs sur les protocoles et procédures appropriés.
Adoption de l’intégrité des données
Classification des données : implémentez votre infrastructure de classification des données par le biais de l’automatisation lorsque cela est possible et manuellement si nécessaire. Utilisez des outils hors service pour automatiser votre classification des données et identifier les informations sensibles. Étiquetez manuellement des documents et des conteneurs pour garantir une classification précise. Organisez des jeux de données pour l’analytique en tirant parti de l’expertise des utilisateurs compétents pour établir la sensibilité.
Vérification et validation des données : tirez parti des fonctionnalités intégrées de vérification et de validation dans les services que vous déployez. Par exemple, Azure Data Factory dispose de fonctionnalités intégrées pour verifier la cohérence des données lorsque vous déplacez des données d’une source vers un magasin de destination. Envisagez d’adopter des pratiques telles que :
Utilisation des fonctions CHECKSUM et BINARY_CHECKSUM dans SQL pour vous assurer que les données ne sont pas endommagées en transit.
Stockage des hachages dans les tables et création de sous-routines qui modifient les hachages lorsque la date de dernière modification change.
Surveillance et alertes : surveillez vos magasins de données pour connaître les modifications avec des informations détaillées sur l’historique des modifications pour faciliter les révisions. Configurez les alertes pour vous assurer que vous disposez d’une visibilité appropriée et pouvez prendre des mesures efficaces en cas d’incidents susceptibles d’affecter l’intégrité des données.
Stratégies de sauvegarde : appliquez des stratégies de sauvegarde sur tous les systèmes appropriés. Comprendre les fonctionnalités de sauvegarde de la plateforme en tant que service et des logiciels en tant que services de service. Par exemple, Azure SQL Database inclut des sauvegardes automatiques et vous pouvez configurer la stratégie de rétention si nécessaire.
Normes de conception de partage : publiez et partagez des normes de conception d’application qui incorporent des mécanismes d’intégrité des données au sein de l’organisation. Les normes de conception doivent inclure des exigences non fonctionnelles, telles que le suivi natif des modifications de configuration et de données au niveau de l’application et l’enregistrement de cet historique dans le schéma de données. Cette approche impose que le schéma de données conserve des détails sur l’historique des données et l’historique de configuration dans le cadre du magasin de données, en plus des mécanismes de journalisation standard pour renforcer votre surveillance de l’intégrité.
Adoption de l’intégrité du système
Surveillance de la sécurité : utilisez une solution de supervision robuste pour inscrire automatiquement toutes les ressources dans votre patrimoine cloud et vérifier que les alertes sont activées et configurées pour avertir les équipes appropriées lorsque des incidents se produisent.
Gestion automatisée de la configuration : déployez et configurez un système de gestion de configuration qui inscrit automatiquement de nouveaux systèmes et gère vos configurations en continu.
Gestion automatisée des correctifs : déployez et configurez un système de gestion des correctifs qui inscrit automatiquement de nouveaux systèmes et gère la mise à jour corrective en fonction de vos stratégies. Préférez les outils natifs à votre plateforme cloud.
La facilitation d’Azure
Data classification et étiquetage :Microsoft Purview est un ensemble robuste de solutions qui peuvent aider votre organisation à régir, protéger et gérer des données, où qu’elles se trouvent. Il permet la classification des données manuelle et automatique et l’étiquetage de la confidentialité.
Configuration management :Azure Arc est une plateforme centralisée et unifiée de gouvernance et de gestion d’infrastructure que vous pouvez utiliser pour gérer des configurations pour les systèmes cloud et locaux. En utilisant Azure Arc, vous pouvez étendre vos bases de référence de sécurité à partir de Azure Policy, de vos stratégies Defender for Cloud et des évaluations de score de sécurité, ainsi que la journalisation et la surveillance de toutes vos ressources à un seul endroit.
Patch management :Gestionnaire de mise à jour Azure est une solution unifiée de gestion des mises à jour pour les machines Windows et Linux que vous pouvez utiliser pour les environnements Azure, locaux et multiclouds. Il dispose d'un support intégré pour les machines gérées par Azure Policy et Azure Arc.
Adopter le principe de disponibilité
Une fois les modèles de conception résilients définis, votre organisation peut passer à la phase d’adoption. Pour obtenir des instructions détaillées sur la disponibilité des charges de travail, reportez-vous au pilier Fiabilité du Well-Architected Framework et à la documentation Azure sur la fiabilité. Dans le contexte de l’adoption du cloud, l’accent est mis sur l’établissement et la codification des pratiques opérationnelles qui prennent en charge la disponibilité.
Établir des pratiques opérationnelles pour prendre en charge la disponibilité
Pour maintenir un patrimoine cloud hautement disponible, les équipes qui exploitent les systèmes cloud doivent respecter les pratiques standardisées et matures. Ces pratiques doivent inclure :
Continuité opérationnelle : les organisations doivent planifier des opérations continues même dans des conditions d’attaque. Cette approche inclut l’établissement de processus de récupération rapide et la maintenance des services critiques au niveau détérioré jusqu’à ce que la récupération complète soit possible.
Observabilité robuste et continue : la capacité d’une organisation à détecter les incidents de sécurité au fur et à mesure qu’elles se produisent leur permet de lancer rapidement leurs plans de réponse aux incidents. Cette stratégie permet de réduire autant que possible les effets métier. La détection des incidents est possible uniquement par le biais d’un système de surveillance et d’alerte bien conçu, qui suit les meilleures pratiques en matière de détection des menaces. Pour plus d’informations, consultez le guide d’observabilité et le guide de surveillance de la sécurité et de détection des menaces.
Maintenance proactive : normaliser et appliquer les mises à jour système par le biais de stratégies. Planifiez des fenêtres de maintenance régulières pour appliquer des mises à jour et des correctifs aux systèmes sans perturber les services. Effectuez des vérifications d’intégrité et des activités de maintenance régulières pour vous assurer que tous les composants fonctionnent de manière optimale.
Stratégies de gouvernance standardisées : appliquez toutes les normes de sécurité via des stratégies prises en charge par les outils. Utilisez un outil de gestion des stratégies pour vous assurer que tous vos systèmes sont conformes aux exigences de votre entreprise par défaut et que vos stratégies sont facilement auditables.
Préparation à la récupération d’urgence : développez et testez régulièrement des plans de récupération d’urgence pour vos charges de travail afin de vous assurer qu’elles sont récupérables en cas de sinistre. Pour plus d’informations, consultez récupération d’urgence. Automatisez les activités de récupération autant que possible. Par exemple, utilisez des fonctionnalités de basculement automatique dans des services comme Azure SQL Database.
Contrats de niveau de service : les contrats de niveau de service (SLA) fournis par votre plateforme cloud pour leurs services vous aident à comprendre le temps de fonctionnement garanti pour les composants de vos charges de travail. Utilisez ces contrats SLA comme base pour développer ensuite vos propres métriques cibles pour les contrats SLA que vous fournissez à vos clients. Microsoft publie les contrats SLA pour tous les services cloud à SLAs pour services en ligne.
Exigences de conformité : Respectez les réglementations telles que le Règlement général sur la protection des données (RGPD) et HIPAA pour garantir que les systèmes sont conçus et gérés à des normes élevées, y compris les normes liées à la disponibilité. La non-conformité peut entraîner des actions légales et des amendes susceptibles de perturber les opérations commerciales. La conformité n’est souvent pas limitée à la configuration système. La plupart des infrastructures de conformité nécessitent également des normes de gestion des risques et de réponse aux incidents. Assurez-vous que vos normes opérationnelles répondent aux exigences du cadre et que le personnel est formé régulièrement.
La facilitation d’Azure
Gestion des stratégies et de la conformité :
Azure Policy est une solution de gestion des stratégies qui permet d’appliquer des normes organisationnelles et d’évaluer la conformité à grande échelle. Pour automatiser l’application des stratégies pour de nombreux services Azure, tirez parti de définitions de stratégie intégrées.
Defender for Cloud fournit des stratégies de sécurité qui peuvent automatiser la conformité avec vos normes de sécurité.
Continuité et récupération d’urgence : De nombreux services Azure disposent de fonctionnalités de récupération intégrées que vous pouvez incorporer dans vos plans de continuité opérationnelle et de récupération d’urgence. Pour plus d’informations, consultez Azure guides de fiabilité des services.
Adopter le maintien de la sécurité
Tenez compte des recommandations suivantes pour vous assurer que les mécanismes de sécurité et les pratiques que vous avez mis en place dans le cadre de votre adoption du cloud peuvent être soutenus et améliorés en continu à mesure que vous poursuivez votre parcours :
Institutez un conseil d’examen de la sécurité : créez un conseil d’examen de la sécurité qui examine en permanence les projets et impose des contrôles de sécurité. Passez régulièrement en revue vos processus pour trouver des domaines d’amélioration. Développez des processus pour garantir que la sécurité est toujours à l’esprit pour tout le monde.
Implémentez une solution gestion des vulnérabilités : utilisez une solution gestion des vulnérabilités pour surveiller le score de risque de vulnérabilité de sécurité et disposer d’un processus défini pour agir sur le score de risque le plus élevé pour réduire le risque le plus bas. Suivez les dernières vulnérabilités courantes et les risques d’exposition. Disposer d’une stratégie pour appliquer ces atténuations régulièrement pour la correction.
Renforcer l’infrastructure de production : sécurisez votre patrimoine cloud en renforcez votre infrastructure. Pour renforcer votre infrastructure en fonction des meilleures pratiques du secteur, suivez les conseils d’évaluation tels que les benchmarks CIS (Center for Internet Security).
Utilisez l’base de connaissances MITRE ATT&CK : utilisez l’base de connaissances MITRE ATT&CK pour aider à développer des modèles et méthodologies de menace pour les tactiques et techniques d’attaque réelles courantes.
Décalage vers la gauche : utilisez des environnements séparés avec différents niveaux d’accès pour la préproduction et la production. Cette approche vous aide à vous déplacer vers la gauche, ce qui ajoute des préoccupations de sécurité à toutes les phases de développement et offre une flexibilité dans les environnements inférieurs.
La facilitation d’Azure
Gestion de la vulnérabilité :Gestion des vulnérabilités Microsoft Defender est une solution complète de gestion des vulnérabilités basée sur les risques que vous pouvez utiliser pour identifier, évaluer, corriger et suivre toutes vos plus grandes vulnérabilités sur vos ressources les plus critiques, dans une seule solution.