La conduite d'une évaluation de sécurité est la première étape de présentation des vulnérabilités dans votre infrastructure. Une évaluation de sécurité fait partie d'un audit de sécurité, elle analyse à la fois les systèmes et les pratiques, notamment en matière de conformité de sécurité.
Une évaluation de sécurité correspond généralement à l'analyse de l'infrastructure physique de votre organisation (pare-feux, réseaux, matériel, etc.) pour identifier les vulnérabilités et les failles. Une évaluation de la sécurité n'est pas identique à un audit de sécurité. Un audit de la sécurité inclut non seulement une révision de l'infrastructure physique mais les autres aspects, tels que la stratégie et les procédures d'exploitation standard, notamment la conformité de la sécurité. Une fois que vous disposez de l'audit, vous pouvez décider des étapes requises pour résoudre les problèmes du système.
Vous pouvez vous poser ces questions d'ordre générales lors de la préparation d'un audit de sécurité :
- Notre organisation respecte-t-elle une réglementation de conformité ? Si oui, laquelle ou lesquelles ?
- Quel est notre intervalle d'audit ?
- Quel est notre intervalle interne d'autoévaluation ?
- Avons-nous accès aux résultats d'audit précédents et les avons-nous consultés ?
- Avons-nous recours à une société d'audit tierce pour nous aider à préparer un audit ? Dans ce cas, quel est leur niveau de maîtrise de la virtualisation ?
- Exécutons-nous des analyses de vulnérabilité sur les systèmes et les applications ? Quand et à quelle fréquence ?
- Quelles sont nos stratégies internes en matière de cyber-sécurité ?
- La journalisation d'audit est-elle configurée conformément à vos besoins ? Reportez-vous à la section Journalisation d'audit.
En l'absence de directives spécifiques précisant où il convient de commencer, vous pouvez passer directement à la sécurisation de votre environnement vSphere :
- Maintenir votre environnement à jour avec les derniers correctifs logiciels et microprogrammes
- Assurer une bonne gestion des mot de passe et l'intégrité de tous les comptes
- Passer en revue les recommandations de sécurité du fournisseur approuvé
- Faire référence aux Guides de Configuration de sécurité VMware (voir Présentation du guide de configuration de sécurité vSphere)
- Utiliser les directives disponibles et éprouvées d'infrastructures de stratégies telles que NIST, ISO, etc.
- Suivre les instructions d'infrastructures de conformité réglementaire telles que PCI, DISA et FedRAMP