Appel à commentaires : CIS Azure Security Foundations Benchmark

Publié le 10 octobre, 2019

Director of Program Management, Azure Security

Comment sécuriser plus rapidement vos déploiements cloud ? En privilégiant les bonnes pratiques de sécurité les plus efficaces. Quel que soit le service concerné, tout commence par bien comprendre quels sont les risques associés à la cybersécurité et comment les gérer. En tant que client Azure, tirez parti de cette compréhension en suivant les recommandations de sécurité de Microsoft. Vous pourrez ainsi orienter les décisions fondées sur le risque qui s’appliquent à des paramètres spécifiques de la configuration de sécurité de votre environnement.

Nous nous sommes associés au CIS (Center for Internet Security) pour élaborer le CIS Microsoft Azure Foundations Benchmark v1.  Cette proposition ayant suscité des réactions positives, nous souhaitons la partager avec la communauté pour avis, sous la forme du document intitulé Azure Security Foundations Benchmark. Ce benchmark contient des recommandations destinées à renforcer la sécurité de vos applications et données dans Azure. Les recommandations figurant dans ce document concernent la mise à jour de CIS Microsoft Azure Foundations Benchmark v1 et se fondent sur les bonnes pratiques de sécurité définies par les CIS Controls, Version 7.

D’autre part, ces recommandations sont ou seront intégrées à Azure Security Center, et leur impact sera repris dans le degré de sécurisation et le tableau de bord relatif à la conformité.

Votre avis sur ce document nous intéresse. Pour nous faire part de vos commentaires, vous avez le choix :

Le guide Azure Security Foundations Benchmark est en cours de rédaction, et nous souhaiterions avoir votre avis sur son contenu. Voici les principaux points que nous souhaiterions clarifier :

  • Ce document contient-il les informations nécessaires pour vous aider à définir vos propres exigences de sécurité de base pour vos ressources Azure ?
  • Son format vous convient-il ? D’autres formats faciliteraient-ils l’exploitation et l’adaptation des informations ?
  • Utilisez-vous déjà les CIS Controls en tant que framework et la version actuelle de CIS Azure Security Foundations Benchmark ?
  • De quelles informations supplémentaires avez-vous besoin sur l’implémentation des recommandations à l’aide des fonctionnalités de sécurité Azure ?
  • Dès qu’elle sera prête, la version finale du benchmark sera intégrée au portail de conformité Azure Security Center. Cette démarche répond-elle à vos besoins en matière de surveillance des ressources Azure sur la base des CIS Benchmarks ?

L‘équipe Azure Security Foundations Benchmark compte sur vous. Envoyez-nous un e-mail ou remplissez le formulaire Contactez-nous.

Contenu du document Azure Security Foundations Benchmark

Ce benchmark se divise en trois grandes sections :

  • Vue d’ensemble.
  • Recommandations de sécurité.
  • Implémentation de la sécurité au sein des services Azure.

La section Vue d’ensemble explique pourquoi nous avons créé ce document et comment l’utiliser pour améliorer vos mesures de sécurité dans Azure. Elle définit également certains des termes clés utilisés.

Les recommandations de sécurité sont quant à elles la clé de voûte du document. Au cours de cette phase, nous abordons les recommandations de sécurité pour les domaines suivants :

  • Réseau
  • Journalisation
  • Surveillance
  • Gestion des identités et des accès
  • Protection des données

Les recommandations apparaissent sous forme de tableaux semblables à celui-ci :

Tableau des recommandations Azure Security Foundations Benchmark
La dernière section montre comment implémenter les recommandations de sécurité Azure dans certains des services Azure de base. Les implémentations renvoient à des documents qui vous aideront à comprendre comment appliquer chaque composant du benchmark pour améliorer la sécurité.

Les informations d’implémentation apparaissent sous forme de tableaux semblables à celui-ci :

Tableau de mappage des services Azure Security Foundations Benchmark
Nous espérons que ces informations vous sont utiles et vous remercions d’ores et déjà pour vos suggestions quant à la manière d’améliorer ce document pour vous-même et votre organisation. N’oubliez pas de nous envoyer par e-mail vos commentaires concernant le guide CIS Azure Cloud Security Benchmark.