Nouvelles fonctionnalités de sécurité d’Azure Security Center et de la plateforme Azure

Publié le 6 novembre, 2019

Principal Group PM Manager, Azure Security Center

Dans le cadre de Microsoft Ignite, nous partageons les nombreuses nouvelles fonctionnalités développées par nos équipes pour améliorer la sécurité avec Azure Security Center et la plateforme Azure. La liste des innovations est longue, et ce blog fournit notre orientation générale et résume certaines de nos nouvelles fonctionnalités préférées. Pour plus d’informations, vous pouvez lire tous les détails dans notre publication de la Communauté Azure Security Center.

Activez la protection dont vous avez besoin avec Azure Security Center

Azure Security Center fournit une gestion de sécurité d’infrastructure unifiée qui renforce la sécurité et offre une protection avancée contre les menaces pesant sur les charges de travail s’exécutant dans Azure, localement et dans d’autres clouds. Il permet d’évaluer en permanence la situation de sécurité, de se protéger contre des cyberattaques à l’aide des nombreux renseignements sur les menaces de Microsoft et d’implémenter la sécurité plus rapidement avec des contrôles intégrés.

Capture d’écran de l’onglet Vue d’ensemble d’Azure Security Center.

Azure Security Center vous permet de surveiller la sécurité des machines, des réseaux et des services Azure à l’aide de centaines d’évaluations de la sécurité intégrées, ou de créer les vôtres dans un tableau de bord central.

Extension de la couverture d’Azure Security Center à l’aide d’une plateforme dédiée à la communauté et aux partenaires

Un paysage de menaces en constante évolution nécessite de nouvelles approches en matière de protection, de posture de sécurité cloud, de déploiement à l’échelle de l’entreprise et d’automatisation. Grâce au partenariat avec les membres de l’Association de sécurité intelligente de Microsoft , Microsoft peut exploiter un vaste pool de connaissances pour se défendre contre un nombre croissant de menaces croissantes en matière de cybersécurité.

Tirez parti de toutes les fonctionnalités d’Azure Security Center par rapport aux recommandations intégrées et à celles des partenaires. Le flux d’intégration simple d’Azure Security Center connecte des solutions existantes, telles que Check Point CloudGuard, CyberArk et Tenable, pour vous permettre d’afficher toutes les recommandations relatives à la sécurité dans un emplacement unique. Générez des rapports unifiés et exportez les recommandations du Centre de sécurité pour les produits des partenaires connectés.

Nous invitons les utilisateurs à contribuer à l’amélioration des stratégies et configurations utilisées dans le Centre de sécurité via le menu de la communauté Azure Security Center pour des scripts, du contenu et des ressources de communauté supplémentaires.

Capture d’écran de la page de la communauté Azure Security Center.

Protection renforcée contre les menaces pour les ressources cloud

La protection contre les menaces détecte et empêche les attaques dirigées contre un vaste éventail de services, de la couche infrastructure en tant que service (IaaS, infrastructure-as-a-service) aux ressources de plateforme en tant que service (PaaS, platform-as-a-service) dans Azure, dont Azure IoT et Azure App Service, et les machines virtuelles locales.

Diffusez les résultats de la détection des menaces vers Azure Sentinel à des fins d’enquête, de repérage des menaces, et de mise en corrélation avec les signaux d’autres solutions de sécurité et de gestion au niveau du centre d’opérations de sécurité (SOC).

Les dernières fonctionnalités de protection contre les menaces sont les suivantes :

  • Prise en charge de la protection contre les menaces et de l’évaluation de la vulnérabilité pour SQL Server hébergé sur une machine virtuelle Azure.
  • Les fonctionnalités d’évaluation de la vulnérabilité des machines virtuelles font partie de notre offre de protection des machines virtuelles (optimisée par Qualys), sans frais supplémentaires. Le Centre de sécurité collecte les vulnérabilités et les affiche en lien avec le degré de sécurisation.
  • La suite de protection contre les menaces pour les conteneurs, axée sur Azure Kubernetes Service (AKS) inclut l’analyse des images de conteneur pour détecter les vulnérabilités, la configuration sécurisée du cluster AKS et la détection des menaces pesant sur les activités de runtime de Kubernetes.
  • La protection contre les menaces pour Azure Key Vault est en préversion publique dans les régions d’Amérique du Nord. Elle offre une couche supplémentaire de veille de sécurité qui détecte les tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses de vos clés de chiffrement, certificats et secrets dans Azure Key Vault.
  • La protection contre les menaces pour Stockage Azure offre de nouvelles détections optimisées par Microsoft Threat Intelligence pour détecter les chargements de programmes malveillants sur Stockage Azure à l’aide d’une analyse de la réputation de hachage et d’un accès suspect à partir d’un nœud de sortie Tor actif (un proxy anonymisant). Vous pouvez à présent afficher les programmes malveillants détectés dans des comptes de stockage à l’aide d’Azure Security Center.

Améliorations de la gestion de la posture de sécurité cloud

Une mauvaise configuration est la cause la plus fréquente de violations de sécurité pour des charges de travail cloud. Azure Security Center offre une vue à 360° de la posture de sécurité au sein de votre environnement Azure, ce qui vous permet de surveiller et d’améliorer en permanence votre posture de sécurité à l’aide du degré de sécurisation Azure. Le Centre de sécurité aide à gérer et à appliquer vos stratégies de sécurité afin d’identifier et de corriger les erreurs de configuration de différentes ressources et de maintenir la conformité.

Nouvelles capacités :

  • Degré de sécurisation simplifié : Utilisez le degré de sécurisation mis à jour basé sur le pourcentage pour obtenir une meilleure visibilité des contrôles de degré de sécurisation et fournir une méthode plus fiable pour le calcul du score.
  • Résolvez plus rapidement les erreurs de configuration grâce aux nouvelles fonctionnalités de résolution rapide.
  • Ajoutez des évaluations personnalisées, créées dans Azure Policy, au degré de sécurisation, et surveillez leur état de conformité dans le Centre de sécurité.
  • Évaluez automatiquement l’état de conformité par rapport à un nouvel ensemble de normes réglementaires incluant NIST SP 800-53 R4, SWIFT CSP CSCF v2020, Canada Federal PBMM et UK OFFICIAL, ainsi que UK NHS.

Les mauvaises configurations sont la principale source d’attaques et l’amélioration de votre degré de sécurisation peut faire une différence remarquable dans votre posture de sécurité globale.

Implémentez plus rapidement la sécurité avec Azure Security Center

Pour permettre aux grandes organisations d’exploiter les découvertes du Security Center à l’échelle de l’entreprise, Azure Security Center continue de fournir des API, une automatisation et des fonctionnalités de gestion claires qui peuvent aider les clients à connecter Security Center aux flux de travail, processus et outils utilisés au sein de l’organisation.

Une nouvelle fonctionnalité de Security Center permet la création de flux de travail enrichis à l’aide d’Azure Logic Apps et d’un déclencheur de stratégies basé sur une recommandation ou une alerte. Configurez une application logique pour effectuer une action personnalisée prise en charge par la vaste communauté de connecteurs Logic App, ou utilisez l’un des modèles fournis, notamment pour envoyer un courrier ou ouvrir un ticket de service.

Tout savoir sur la sécurité

Outre les mises à jour Azure Security Center, plusieurs améliorations ont été apportées à la sécurité de la plateforme Azure. Pour vous permettre d’être plus productif, nous améliorons continuellement les services de la plateforme afin d’étoffer les offres existantes et de tenir compte de vos commentaires.

Voici quelques-unes des mises à jour intéressantes à venir sur la plate-forme. 

Extension de Customer Lockbox pour Microsoft Azure au-delà des machines virtuelles

Customer Lockbox offre aux clients la possibilité de contrôler l’accès des ingénieurs de support Azure aux charges de travail contenant des données client. Ce support étendu leur permet à présent de contrôler l’accès à leurs données pour un ensemble plus large d’offres Azure.

Nouveaux services et scénarios disponibles en préversion :

  • Stockage Azure
  • Azure SQL Database
  • Explorateur de données Azure
  • image mémoire et disques managés pour les machines virtuelles Azure
  • Transfert d’abonnements Azure

Publication du kit de ressources Microsoft Secure Code Analysis pour vous aider à générer du code sécurisé

Avec l’extension Microsoft Security Code Analysis, vous pouvez intégrer des outils d’analyse de la sécurité, tels que Credential Scanner, BinSkim, etc. dans vos pipelines d’intégration et de livraison continues (CI/CD) Azure DevOps. Augmentez la productivité des développeurs et simplifiez la sécurité grâce à des tâches de génération facilement configurables qui permettent d’éliminer les complexités (installation, mise à jour, maintenance et exécution) des outils d’analyse sans perdre le contrôle sur celles-ci. 

Ce produit est maintenant disponible via le Support unifié. Les clients peuvent s’inscrire en utilisant leur crédit existant ou en payant les frais de service. Pour en savoir plus, visitez la page de documentation sur l’analyse de code sécurisé de Microsoft.

Mise à disposition d’Azure Disk Encryption dans de nouveaux emplacements et services supplémentaires offrant des clés gérées par le client

Azure Disk Encryption vous permet de chiffrer vos disques de machine virtuelle Azure avec vos clés sauvegardées dans Azure Key Vault. Précédemment, cette fonctionnalité était disponible via PowerShell et CLI. Nous avons maintenant ajouté cette fonctionnalité au portail Azure, ce qui la rend très facile à utiliser. Nous avons également ajouté la prise en charge des dernières versions des distributions Linux courantes sur Azure, notamment Red Hat Enterprise Linux 7.6 et 7.7, ainsi que CentOS Linux 7.6 et 7.7.

Essayez par vous-même avec Démarrage rapide pour Windows ou Démarrage rapide pour Linux.

Les services suivants ont récemment annoncé une préversion des clés gérées par le client pour le chiffrement au repos.

  • Concentrateurs d'événements Azure
  • Disques managés Azure
  • Power BI

Pour obtenir la liste complète des services offrant le chiffrement avec des clés gérées par le client, consultez la page de documentation sur le chiffrement des données Azure au repos.

Préversion de nouvelles stratégies Azure permettant de gérer les certificats au sein de votre organisation

Les grandes entreprises ont des milliers de certificats dans des coffres de clés répartis dans des milliers d’applications et d’abonnements. Si vous êtes responsable de la sécurité et de la conformité au sein de l’entreprise, vous avez besoin d’un moyen simple de définir des règles pour tous ces certificats, de prouver que ces règles ont été suivies et de signaler les violations. Azure Policy est parfait pour cela. Nous avons ajouté de nouvelles stratégies en préversion pour les certificats dans Azure Key Vault.

  • Stratégie de l’émetteur : permet de signaler les certificats qui sont (ou ne sont pas) émis par un émetteur particulier.
  • Stratégie de type de clé : permet de signaler les certificats qui sont (ou ne sont pas) protégés par une paire de clés RSA ou ECC.
  • Stratégie de taille de clé : permet de signaler les certificats qui sont (ou ne sont pas) protégés par une clé d’une certaine taille.
  • Stratégie d’expiration : permet de marquer les certificats qui sont (ou ne sont pas) renouvelés X nombre de jours après leur date d’expiration.
  • Stratégie de durée de vie de validité : permet de signaler les certificats qui ont (ou n’ont pas) une durée de vie de validité inférieure ou supérieure ou égale à X nombre d’années.

Pour plus d’informations, consultez la documentation sur les stratégies de gouvernance d’Azure Key Vault.

Disponibilité générale de l’extension de machine virtuelle Azure Key Vault

L’extension de machine virtuelle Azure Key Vault permet aux applications s’exécutant sur des machines virtuelles d’utiliser plus facilement les certificats d’un coffre de clés, en effectuant l’abstraction des tâches courantes ainsi que des meilleures pratiques : authentification, gestion des erreurs réseau courantes, cache, actualisation périodique du certificat coffre de clés et liaison du certificat pour TLS (Transport Layer Security).

L’extension est désormais généralement disponible pour Windows et Linux.

Certificats managés Azure gratuits pour vos domaines sur Azure

Nous voulons nous assurer qu’il n’y a aucune raison de ne pas utiliser le protocole TLS dans vos applications Azure. Azure fournit désormais des certificats TLS gratuits pour vos domaines personnalisés hébergés sur les services suivants. Azure renouvelle ces certificats automatiquement.

  • Certificats managés Azure CDN (généralement disponibles.)
  • Certificats managés Azure Front Door (généralement disponibles.)
  • Certificats managés Azure App Service pour les applications et fonctions web (actuellement en préversion.)

Nous étendrons cela à d’autres services PaaS Azure à l’avenir.

Notez qu’il ne s’agit que de l’une de vos options. Si vous devez utiliser des certificats d’une autre autorité de certification, vous avez la possibilité de configurer ces services Azure pour qu’ils utilisent un certificat que vous gérez dans votre coffre de clés.

En savoir plus

Avec ces ajouts, Azure continue de fournir une base solide, ainsi que des outils de sécurité intégrés et des insights intelligents pour vous aider à améliorer rapidement votre posture de sécurité dans le cloud. Azure Security Center renforce son rôle de solution unifiée de gestion de la sécurité et de protection avancée contre les menaces pour votre cloud hybride.

Pour les développeurs d’applications Azure :

Pour les utilisateurs responsables de la sécurité dans leurs organisations :

  • Évaluez Azure Policy, y compris les nouvelles stratégies de coffre de clés, pour vous assurer que les développeurs de votre organisation respectent les règles que vous avez définies en matière de sécurité et de conformité.

La sécurité n’attend pas. Commencez dès aujourd’hui à utiliser Azure Security Center et visitez la communauté technique d’Azure Security Center , qui vous permet de dialoguer avec d’autres utilisateurs soucieux de la sécurité, tout comme vous.


Azure. Inventez en ayant un but.