Meilleures pratiques relatives à la sécurité Azure

Cette liste comprend les bonnes pratiques de sécurité Azure que nous avons rassemblées grâce à l’expérience que nous avons acquise auprès de nos clients et dans nos propres environnements.

Pour une présentation vidéo de ces meilleures pratiques, consultez Top 10 Best Practices for Azure Security (Top 10 des meilleures pratiques pour la sécurité Azure).

1. Personnes : Former les équipes pour le parcours vers la sécurité dans le cloud

L’équipe doit comprendre le parcours sur lequel elle se trouve.

Quoi

Former vos équipes en charge de la sécurité et de l’informatique pour le parcours vers la sécurité dans le cloud et les changements auxquels elles feront face, y compris :

  • Les menaces dans le cloud
  • Modèle de responsabilité partagée et son impact sur la sécurité
  • Les changements culturels et de rôle/responsabilité qui accompagnent généralement l’adoption du cloud

Pourquoi

La migration vers le cloud est un changement important qui requiert un nouvel état d’esprit et une nouvelle approche de la sécurité. Même si les résultats fournis par la sécurité à l’organisation ne varieront pas, le meilleur moyen d’obtenir ces résultats dans le cloud varie souvent, et parfois de façon importante.

Le passage au cloud est comparable au fait de déménager d’une maison indépendante à un appartement dans une tour d’habitation. Vous disposez toujours d’une infrastructure de base (comme la plomberie et l’électricité), et vous y menez des activités similaires (recevoir des amis, cuisiner, regarder la télévision, surfer sur Internet, etc.). Toutefois, il existe souvent une différence considérable entre ce que fournit le bâtiment, qui fournit et gère ces aspects, et votre routine quotidienne.

Qui

Tous ceux dont les responsabilités impliquent la sécurité doivent être familiarisés avec ce contexte. Ils doivent connaître les changements que le passage au cloud apportera aussi bien au responsable de la sécurité des systèmes d’information (CISO) qu’au directeur informatique (CIO) ou aux techniciens.

Comment

Fournissez aux équipes le contexte nécessaire pour déployer et fonctionner correctement pendant la transition vers l’environnement cloud.

Microsoft a publié ce qu’il a appris auprès de ses clients et de son service informatique concernant la transition vers le cloud.

Pour plus d’informations, consultez le benchmark de sécurité Azure gs-3 : Aligner les rôles et les responsabilités de l’organisation.

2. Personnes : Former les équipes pour les technologies de sécurité dans le cloud

Vos équipes ont besoin de comprendre où elles vont.

Quoi

Assurez-vous que vos équipes ont pris le temps nécessaire pour se former à la sécurisation des ressources cloud, notamment :

  • Technologie cloud et technologie de sécurité dans le cloud
  • Configurations recommandées et meilleures pratiques
  • Où obtenir des informations techniques plus approfondies

Pourquoi

Les équipes techniques doivent avoir accès à des informations techniques pour prendre des décisions de sécurité éclairées. Les équipes techniques sont douées pour apprendre les nouvelles technologies sur le terrain, mais le volume de détails dans le cloud dépasse souvent leur capacité à intégrer cet apprentissage dans leur routine quotidienne.

Vous devez consacrer du temps à l’apprentissage technique. L’apprentissage permet de prendre confiance en sa propre capacité à évaluer la sécurité du cloud. Il permet également de réfléchir à la façon d’adapter ses compétences et processus existants. Même les équipes d’opérations les plus aguerries de l’armée ont besoin de formation et de renseignements pour donner le meilleur d’elles-mêmes.

Qui

Tous les rôles de sécurité et d’informatique qui interagissent directement avec la technologie cloud doivent consacrer du temps à l’apprentissage technique des plateformes cloud et à la manière de les sécuriser.

La sécurité, les responsables techniques informatiques et les chefs de projet peuvent développer des connaissances techniques sur la sécurisation des ressources cloud. Ces connaissances leur permettent d’être plus efficaces et de coordonner les initiatives cloud.

Comment

Assurez-vous que les techniciens de la sécurité se réservent du temps pour se former, à leur propre rythme, à la sécurisation des ressources cloud. Même si cela n’est pas toujours possible, l’idéal serait de proposer une formation formelle avec un instructeur expérimenté et de mettre en place des labos pratiques.

Important

Les protocoles d’identité sont essentiels au contrôle d’accès dans le cloud. Toutefois, ils ne sont pas souvent considérés comme une priorité dans la sécurité locale. Par conséquent, les équipes de sécurité doivent chercher à développer leur connaissance de ces protocoles et journaux.

Microsoft fournit de nombreuses ressources pour aider les professionnels techniques à accélérer la sécurisation des ressources Azure et à garantir la conformité des rapports. Ces ressources incluent :

Pour plus d’informations, consultez le benchmark de sécurité Azure gs-3 : Aligner les rôles et les responsabilités de l’organisation.

3. Processus : Affecter les responsabilités pour les décisions de sécurité dans le cloud

Si personne n’est responsable des décisions en matière de sécurité, ces décisions ne seront pas prises.

Quoi

Désignez la personne chargée de prendre chaque type de décision en matière de sécurité pour l’environnement d’entreprise Azure.

Pourquoi

Une attribution claire des décisions en matière de sécurité accélère l’adoption du cloud et renforce la sécurité. Une attribution peu claire des responsabilités engendre généralement des frictions. Ces frictions sont dues au fait que personne n’a l’impression de pouvoir prendre des décisions. Personne ne sait à qui demander de prendre une décision, et personne n’est encouragé à prendre une décision informée. Les frictions constituent souvent une entrave aux :

  • Objectifs métier
  • Calendriers des développeurs
  • Objectifs informatiques
  • Garanties de sécurité

Les frictions peuvent se traduire ainsi :

  • Projets bloqués en attente de l'approbation de la sécurité
  • Déploiements non sécurisés qui n’ont pas pu attendre l’approbation de la sécurité

Qui

Les responsables de la sécurité désignent les équipes ou personnes chargées de prendre des décisions de sécurité concernant le cloud.

Comment

Désignez des groupes ou des individus qui seront responsables de prendre des décisions clés en matière de sécurité.

Rassemblez ces propriétaires dans un document avec leurs informations de contact, et diffusez ce document aux équipes chargées de la sécurité, de l’informatique et du cloud par le biais les réseaux sociaux. Cette diffusion par les réseaux sociaux a pour but de faciliter la prise de contact pour tous les rôles.

Vous trouverez ci-dessus les situations dans lesquelles des décisions de sécurité doivent être prises. Le tableau suivant indique la catégorie de la décision, la description de la catégorie et les équipes qui prennent le plus souvent ces décisions.

Décision Description Équipe type
Sécurité du réseau Configurer et gérer le pare-feu Azure, les appliances virtuelles réseau (et le routage associé), les pare-feu d’applications web (WAF), les groupes de sécurité réseau, les groupes de sécurité d’application, etc. L’équipe Sécurité d’infrastructure et de point de terminaison se concentre sur la sécurité réseau
Gestion de réseau Gérer l’allocation des réseaux et des sous-réseaux virtuels à l’échelle de l’entreprise. L’équipe en charge des opérations réseau au sein du département Opérations informatiques centrales
Sécurité des points de terminaison de serveur Monitorer et corriger les problèmes de sécurité du serveur (mise à jour corrective, configuration, sécurité des points de terminaison, etc.) Les équipes Opérations informatiques centrales et Sécurité d’infrastructure et de point de terminaison, conjointement
Surveillance et traitement des incidents Investiguer et corriger les incidents de sécurité dans le SIEM ou la console source (Microsoft Defender pour le cloud, Azure ID Identity Protection, etc.) L’équipe Opérations de sécurité
Gestion des stratégies Définir l’orientation de l’utilisation du contrôle d’accès en fonction du rôle Azure (RBAC Azure), de Microsoft Defender pour le cloud, de la stratégie de protection de l’administrateur et d’Azure Policy pour gouverner des ressources Azure. Les équipes Stratégie et normes et Architecture de la sécurité, conjointement
Sécurité et normes relatives aux identités Définir l’orientation des annuaires Azure AD, de l’utilisation de PIM/PAM, de l’authentification multifacteur, de la configuration du mot de passe et de la synchronisation, et des normes d’identité des applications. Les équipes Gestion des identités et des clés, Stratégie et normes et Architecture de la sécurité, conjointement

Remarque

  • Veillez à ce que les décideurs disposent des connaissances requises dans leur domaine de compétence pour assumer cette responsabilité.
  • Vérifiez que les décisions sont documentées conformément à la stratégie et aux normes afin de fournir un enregistrement et guider l'organisation sur le long terme.

Pour plus d’informations, consultez le benchmark de sécurité Azure gs-3 : Aligner les rôles et les responsabilités de l’organisation.

4. Processus : Mise à jour des processus de réponse aux incidents pour le cloud

Vous n’avez pas le temps de planifier un plan de crise pendant une crise.

Quoi

Mettez à jour les processus et préparez les analystes à répondre aux incidents de sécurité sur votre plateforme cloud Azure. Cette préparation inclue les outils natifs de détection des menaces que vous avez adoptés. Mettez à jour les processus, préparez votre équipe et simulez des attaques afin d’optimiser les réponses de votre équipe lors des investigations sur les incidents, les mesures correctives et la recherche des menaces.

Pourquoi

Les attaquants actifs présentent un risque immédiat pour l’entreprise. Ce risque peut rapidement devenir difficile à contrôler. Répondez rapidement et efficacement aux attaques. Ce processus de réponse aux incidents doit être efficace pour l'ensemble de vos ressources, y compris toutes les plateformes cloud qui hébergent les données, les systèmes et les comptes de l'entreprise.

Même si elles sont similaires de bien des façons, les plateformes cloud sont techniquement différentes des systèmes locaux. Les systèmes locaux peuvent bloquer les processus existants, généralement parce que les informations sont disponibles sous une forme différente. Les analystes de la sécurité peuvent avoir des difficultés à répondre rapidement à un environnement inconnu qui peut les ralentir. Ceci est particulièrement vrai s’ils ont été formés uniquement aux architectures locales classiques et aux approches d’investigation réseau/disque.

Qui

La modernisation des processus IR est généralement dirigée par l’équipe Opérations de sécurité. Cette tâche nécessite souvent l’aide d’autres groupes disposant des connaissances et de l’expertise nécessaires.

  • Sponsorship : la modernisation du processus est généralement assurée par le directeur des opérations de sécurité ou un rôle équivalent.

  • Exécution : l’adaptation des processus existants (ou la création de ces processus) est un effort conjoint qui implique les ressources suivantes :

    • Opérations de sécurité : l’équipe ou le responsable de la gestion des incidents mènent les mises à jour des processus et de l’intégration pour les principales parties prenantes externes. Ces équipes incluent l’équipe juridique, l’équipe de communication ou l’équipe Relations publiques.
    • Opérations de sécurité : les analystes de la sécurité apportent une expertise en matière d’investigation et de triage des incidents techniques
    • Opérations informatiques centrales : cette équipe fournit une expertise sur la plateforme cloud (directement, via le centre d’excellence de nuage, ou via des consultants externes).

Comment

Mettre à jour les processus et préparer votre équipe afin qu'elle sache quoi faire lorsqu'elle identifie un agresseur actif.

  • Processus et playbooks : adaptez les processus existants d’investigation, de résolution et de recherche des menaces aux différences de fonctionnement des plateformes cloud. Ces différences incluent les outils nouveaux ou différents, les sources de données, les protocoles d’identité, etc.
  • Éducation : préparez les analystes à la transformation globale du cloud, apportez-leur des détails techniques sur le fonctionnement de la plateforme et informez-les des processus nouveaux ou mis à jour. Ces informations leur permettent de savoir ce qui est susceptible de changer et où aller chercher ce dont ils ont besoin.
  • Principaux domaines : même si de nombreux détails sont décrits dans les liens de ressources, il s’agit de domaines clés sur lesquels vous devez concentrer vos efforts de formation et de planification :
    • Modèle de responsabilité partagée et architectures cloud : pour un analyste de la sécurité, Azure est un centre de données à définition logicielle qui fournit de nombreux services. Ces services incluent les machines virtuelles et d’autres services qui sont différents en local, comme Azure SQL Database, Azure Functions, etc. Les données les plus intéressantes se trouvent dans les journaux de service et dans les services spécialisés de détection des menaces. Elles ne se trouvent pas dans les journaux du système d’exploitation ou des machines virtuelles sous-jacents, qui sont exploités par Microsoft et mis au service de plusieurs clients. Les analystes doivent comprendre et intégrer ce contexte dans leurs workflows quotidiens. De cette façon, ils savent quelles sont les données à attendre, où les obtenir ainsi que leur format.
    • Sources de données de point de terminaison : souvent, les outils natifs de détection cloud permettent d’obtenir plus rapidement et facilement des insights et des données plus précis concernant les attaques et les logiciels malveillants dont sont victimes les serveurs hébergés dans le cloud. Les outils tels que Microsoft Defender pour le cloud et les solutions de protection évolutive des points de terminaison fournissent des données plus précises que les approches traditionnelles d’accès direct au disque. La forensique directe des disques est disponible pour les scénarios dans lesquels elle est possible et requise par une procédure légale. Pour plus d’informations, consultez Forensique des ordinateurs dans Azure. Toutefois, cette approche constitue souvent la méthode la plus inefficace pour détecter et investiguer les attaques.
    • Sources de données réseau et identité : de nombreuses fonctions des plateformes cloud utilisent principalement l’identité pour le contrôle d’accès. Ce contrôle d’accès comprend l’accès au portail Azure, même si les contrôles d’accès réseau sont aussi largement utilisés. Le contrôle d’accès nécessite que les analystes comprennent les protocoles d’identité cloud afin d’obtenir une image complète et riche de l’activité des attaquants et de l’activité des utilisateurs légitimes, et soutenir ainsi les investigations sur les incidents et les mesures correctives. Identifiez les annuaires et les protocoles d’identité qui sont différents de ceux locaux. Ils sont généralement basés sur SAML, OAuth, OpenID Connect et les annuaires cloud plutôt que sur LDAP, Kerberos, NTLM et Active Directory.
    • Exercices pratiques : la simulation des attaques et des réponses peut renforcer la mémoire organisationnelle et améliorer la préparation technique. Elle fournit une préparation pour les analystes de sécurité, les chercheurs de menaces, les responsables des incidents ainsi que pour d’autres parties prenantes de votre organisation. L’apprentissage sur le tas et la capacité d’adaptation constituent des éléments naturels de la réponse aux incidents. Cependant, vous pouvez œuvrer de manière à réduire ce que vous devez apprendre en cas de crise.

Principales ressources

Pour plus d’informations, consultez le benchmark de sécurité Azure IR-1 : préparation : mettre à jour le processus de réponse aux incidents pour Azure.

5. Processus : Définir la gestion de la posture de sécurité

Tout d’abord, bien se connaître.

Quoi

Veillez à gérer activement la posture de sécurité de votre environnement Azure en :

  • Définissant clairement les responsabilités pour :
    • renforçant la posture de sécurité
    • atténuant les risques pour les ressources
  • automatisant et simplifiant ces tâches

Pourquoi

L’identification et la correction rapides des risques courants en matière d’hygiène de la sécurité réduisent considérablement les risques auxquels votre organisation est exposée.

La nature logicielle des centres de données cloud permet une surveillance continue des risques de sécurité (par exemple, vulnérabilités des logiciels, mauvaise configuration de la sécurité) avec une instrumentation étendue des ressources. La vitesse à laquelle les développeurs et l’équipe informatique peuvent déployer des machines virtuelles, des bases de données et d’autres ressources nécessitent que les ressources soient configurées de manière sécurisée et activement monitorées.

Ces nouvelles capacités offrent de nouvelles possibilités, mais pour en tirer profit, il vous faut définir la responsabilité de leur utilisation. Pour que les opérations dans le cloud se poursuivent de manière cohérente et évoluent rapidement, les processus humains doivent rester aussi simples et automatisés que possible. Reportez-vous à la section sur le principe de sécurité « Favoriser la simplicité ».

Remarque

L’objectif de la simplification et de l’automatisation n’est pas de supprimer des emplois, mais d’enlever aux personnes le fardeau des tâches répétitives afin qu’elles puissent se concentrer sur des activités humaines plus enrichissantes comme la motivation et la formation des équipes informatiques et DevOps.

Qui

Cette pratique est généralement divisée en deux groupes de responsabilités :

  • Gestion de la posture de sécurité : cette fonction est souvent une évolution des fonctions existantes de gestion des vulnérabilités ou de la gouvernance. Le résultat comprend le monitoring de la posture de sécurité globale à l’aide du score sécurisé de Microsoft Defender pour le cloud ainsi que d’autres sources de données. Il inclut également une collaboration active avec les propriétaires de ressources dans le but de réduire les risques, ainsi que le signalement des risques de sécurité.

  • Correction de sécurité : Attribuez la responsabilité de la gestion de ces risques aux équipes chargées de la gestion de ces ressources. Cette responsabilité revient soit aux équipes DevOps qui gèrent leurs propres ressources applicatives, soit aux équipes spécialisées dans les technologies Opérations informatiques centrales :

    • Ressources de calcul et d’application
      • App Services : équipes en charge du développement et de la sécurité des applications
      • Conteneurs : développement d’applications ou opérations informatiques/d’infrastructure
      • Machines virtuelles/Groupes identiques/Calcul : Opérations informatiques/d’infrastructure
    • Ressources de stockage et de données
      • SQL/Redis/Data Lake Analytics/Data Lake Store : équipe en charge des bases de données
      • Comptes de stockage : équipe en charge du stockage et de l’infrastructure
    • Ressources pour les identités et les accès
      • Abonnements : équipes en charge des identités
      • Key Vault : équipe chargée de la sécurité des identités ou des informations/données
    • Ressources réseau : équipe chargée de la sécurité réseau
    • Sécurité IoT : équipe chargée des opérations IoT

Comment

La sécurité est le travail de tout le monde. Cependant, tout le monde n’a pas conscience de son importance, ni de ce qu’il faut faire ou comment le faire.

  • Tenez les propriétaires des ressources responsables des risques en matière de sécurité tout comme ils sont tenus responsables de la disponibilité, des performances, des coûts et d’autres facteurs de succès.
  • Aidez les propriétaires de ressources à comprendre clairement pourquoi les risques de sécurité sont importants pour leurs ressources, ce qu’ils peuvent faire pour atténuer les risques et comment les mettre en œuvre avec une perte de productivité minimale.

Important

Les explications sur le pourquoi, le quoi et le comment de la sécurisation des ressources sont souvent similaires pour les différents types de ressources et d'applications, mais il est essentiel de faire le lien avec les connaissances et les centres d’intérêt de chaque équipe. Les équipes en charge de la sécurité peuvent collaborer avec leurs homologues du service informatique et DevOps, et agir en tant que conseillers et partenaires de confiance dont l’objectif est de permettre à ces équipes de réussir.

Outils : le degré de sécurisation dans Microsoft Defender pour le cloud fournit une évaluation des informations de sécurité les plus importantes dans Azure pour une grande variété de ressources. Cette évaluation peut être votre point de départ pour la gestion de votre posture, et elle pourra être complétée par des stratégies Azure personnalisées et d’autres mécanismes si nécessaire.

Fréquence : définissez une fréquence régulière (généralement mensuelle) à laquelle passer en revue les initiatives en matière de degré de sécurisation et de planification Azure visant des objectifs d’amélioration spécifiques. La fréquence peut être augmentée selon les besoins.

Conseil

Donnez à l’activité un aspect ludique si possible pour stimuler la motivation des participants, par exemple en créant des concours amusants et en attribuant des prix aux équipes DevOps qui ont le plus amélioré leur score.

Pour plus d’informations, consultez également le benchmark de sécurité Azure gs-2 : définir la stratégie de gestion de la posture de la sécurité.

6. Technologie : Exiger une authentification sans mot de passe ou multifacteur

Seriez-vous prêt à mettre en jeu la sécurité de votre entreprise en pariant que des agresseurs professionnels ne peuvent pas deviner ou voler le mot de passe de votre administrateur ?

Quoi

Demandez à tous les administrateurs susceptibles d’avoir un impact critique d’utiliser une authentification sans mot de passe ou une authentification multifacteur.

Pourquoi

De la même façon que les anciens passe-partout ne protègent pas une maison contre un cambrioleur contemporain, les mots de passe ne peuvent pas protéger les comptes contre les attaques courantes que nous observons aujourd’hui. Les détails techniques sont décrits dans l’article Your Pa$$word doesn’t matter (Votre mot de pa$$e n’a pas d’importance).

L’authentification multifacteur était autrefois une étape supplémentaire fastidieuse. Aujourd’hui, les approches sans mot de passe améliorent la façon dont les utilisateurs se connectent à l’aide d’approches biométriques, telles que la reconnaissance faciale des appareils Windows Hello et des appareils mobiles. De plus, les approches de type Confiance zéro mémorisent les appareils approuvés. Cette méthode réduit le nombre d’invites concernant des actions d’authentification multifacteur hors bande. Pour plus d’informations sur cette option, consultez Fréquence de connexion de l’utilisateur.

Qui

L’initiative d’authentification par mot de passe et multifacteur est généralement conduite par les équipes Gestion des identités et des clés ou Architecture de la sécurité.

Comment

Implémentez une authentification sans mot de passe ou une authentification multifacteur. Formez les administrateurs à leur utilisation selon leurs besoins, et demandez-leur ensuite d’utiliser une stratégie écrite. Cette méthode peut être accomplie par une ou plusieurs de ces technologies :

Remarque

L’authentification multifacteur basée sur un message texte étant désormais relativement peu coûteuse à contourner pour les attaquants, il est plus facile de se concentrer sur une authentification multifacteur sans mot de passe et plus forte.

Pour plus d’informations, consultez le benchmark de sécurité ID-4 : utiliser des contrôles d’authentification renforcés pour tous les accès basés sur Azure Active Directory.

7. Technologie : Intégrer un pare-feu natif et la sécurité réseau

Simplifiez la protection des systèmes et des données contre les attaques réseau.

Quoi

Simplifiez votre stratégie de sécurité et la maintenance de votre réseau en intégrant le pare-feu Azure, le pare-feu WAF et les mesures d’atténuation DDoS à votre approche de sécurité réseau.

Pourquoi

La simplicité est essentielle à la sécurité car elle réduit les risques de confusion, de mauvaise configuration et autres erreurs humaines. Reportez-vous à la section sur le principe de sécurité « Favoriser la simplicité ».

Les pare-feu et les systèmes WAF sont des contrôles de sécurité de base importants pour protéger les applications contre le trafic malveillant, mais leur mise en place et leur maintenance peuvent être complexes et consommer une grande partie du temps et de l’attention de l’équipe en charge de la sécurité (comme pour l’installation de pièces de rechange personnalisées sur une voiture). Les fonctions natives d’Azure peuvent simplifier la mise en œuvre et le fonctionnement des pare-feu, des pare-feu d’applications web, des mesures d’atténuation DDoS (Distributed Denial of Service) et plus encore.

Cette pratique permet à votre équipe de passer moins de temps sur les tâches de sécurité de grande importance comme :

  • L’évaluation de la sécurité des services Azure
  • L’automatisation des opérations de sécurité
  • L’intégration de la sécurité aux applications et aux solutions informatiques

Qui

  • Parrainage : cette mise à jour de la stratégie de sécurité réseau est généralement assurée par le responsable de la sécurité ou le responsable informatique.
  • Exécution : l’intégration de ces éléments à votre stratégie de sécurité du réseau cloud est un effort conjoint qui implique les ressources suivantes :
    • Architecture de la sécurité : mettez en place une architecture de sécurité réseau cloud avec les responsables du cloud réseau et de la sécurité du réseau cloud.
    • Responsables du réseau cloud (Opérations informatiques centrales) et Responsables de la sécurité du réseau cloud (Équipe en charge de la sécurité de l’infrastructure)
      • Établissez une architecture de sécurité du réseau cloud avec les architectes de sécurité.
      • Configurez les fonctionnalités de pare-feu, NSG et WAF, et collaborer avec des architectes d’applications sur les règles WAF.
    • Architectes d’applications : collaborez avec l’équipe en charge de la sécurité réseau pour définir et affiner les jeux de règles WAF et les configurations DDoS afin de protéger l’application sans perturber la disponibilité

Comment

Les organisations qui souhaitent simplifier leurs opérations ont deux options :

  • Étendre les capacités et les architectures existantes : De nombreuses organisations choisissent souvent d'étendre l'utilisation des capacités de pare-feu existantes afin de pouvoir capitaliser sur les investissements existants dans l'intégration des compétences et des processus, en particulier lorsqu'elles adoptent le cloud pour la première fois.
  • Appliquer des contrôles de sécurité natifs : de plus en plus d’organisations préfèrent utiliser des contrôles natifs pour éviter la complexité de l’intégration de capacités tierces. Ces entreprises cherchent généralement à éviter le risque d’une mauvaise configuration dans l’équilibrage des charges, les routes définies par l’utilisateur, le pare-feu ou WAF lui-même, et les retards dans les transferts entre les différentes équipes techniques. Cette option est intéressante pour les organisations qui suivent des approches « Infrastructure as code », car elles peuvent automatiser et instrumenter les capacités intégrées plus facilement que les capacités tierces.

La documentation sur les capacités de sécurité du réseau natif Azure est disponible à l'adresse suivante :

La Place de marché Azure regroupe de nombreux fournisseurs de pare-feu tiers.

Pour plus d’informations, consultez le benchmark de sécurité Azure ns-4 : protégez les applications et les services contre les attaques réseau externes.

8. Technologie : Intégrer la détection native des menaces

Simplifiez la détection et la réponse des attaques contre les systèmes et données Azure.

Quoi

Simplifiez votre stratégie de détection et de réponse aux menaces en intégrant des capacités natives de détection des menaces dans vos opérations de sécurité et dans le système SIEM.

Pourquoi

L’objectif des opérations de sécurité est de réduire l’impact des attaquants actifs qui ont accès à l’environnement. L’impact est mesuré en termes de temps moyen pour accuser réception (MTTA) et résoudre les incidents (MTTR). Cette pratique nécessite à la fois la précision et la vitesse de tous les éléments de réponse aux incidents. Le résultat permet de garantir la qualité des outils et l’efficacité de l’exécution des processus.

Il est difficile de détecter des menaces élevées à l’aide des approches et outils existants. Les outils et les approches sont conçus pour la détection des menaces locales en raison des différences que présente la technologie cloud et du rythme rapide auquel elle évolue. Les détections intégrées nativement fournissent des solutions à l'échelle industrielle, assurées par les fournisseurs de cloud, capables de suivre les menaces actuelles et les changements des plateformes de cloud.

Ces solutions natives permettent aux équipes des opérations de sécurité de se concentrer sur l’investigation et la correction des incidents. Concentrez-vous sur ces éléments au lieu de perdre du temps en créant des alertes à partir de données de journal inconnues, d’outils d’intégration et de tâches de maintenance.

Qui

Cette solution est généralement gérée par l’équipe Opérations de sécurité.

  • Parrainage : cette tâche est généralement assurée par le directeur des opérations de sécurité ou fonction équivalente.
  • Exécution : l’intégration de la détection native des menaces est un travail collaboratif impliquant les solutions suivantes :
    • Opérations de sécurité : intégrer des alertes dans les processus SIEM et les processus d’investigation des incidents. L’équipe des opérations de sécurité peut expliquer aux analystes les alertes cloud et leur signification, et leur expliquer comment utiliser les outils cloud natifs.
    • Préparation aux incidents : intégrer les incidents liés au cloud aux exercices d’entraînement et veiller à ce que ces exercices soient effectivement menés afin de préparer les équipes.
    • Renseignement sur les menaces : rechercher et intégrer les informations sur les attaques dans le cloud pour fournir le contexte et les informations nécessaires aux équipes.
    • Architecture de la sécurité : intégrer les outils natifs à la documentation de l’architecture de sécurité.
    • Stratégie et normes : Définir des normes et une stratégie pour permettre la mise en œuvre d'outils natifs dans toute l'organisation. Garantir la conformité.
    • Infrastructure et point de terminaison / Opérations informatiques centrales : configurer et activer les détections, intégrer l’automatisation et les solutions « Infrastructure as code ».

Comment

Activez la détection des menaces dans Microsoft Defender pour le cloud pour toutes les ressources que vous utilisez, et demandez à chaque équipe de les intégrer à ses processus, comme décrit ci-dessus.

Pour plus d’informations, consultez le benchmark de sécurité Azure LT-1 : activer la détection des menaces pour les ressources Azure.

9. Architecture : Normaliser en utilisant un répertoire et une identité uniques

Personne ne veut avoir affaire à plusieurs identités et répertoires.

Quoi

Normalisez en utilisant un même annuaire Azure AD. Vous pouvez normaliser une identité unique pour chaque application et pour chaque utilisateur dans Azure.

Remarque

Cette meilleure pratique se réfère spécifiquement aux ressources d'entreprise. Pour les comptes de partenaires, utilisez Azure AD B2B afin de ne pas avoir à créer et à gérer des comptes dans votre annuaire. Pour les comptes client/citoyen, gérez-les avec Azure AD B2C.

Pourquoi

L’existence de plusieurs comptes et annuaires d’identités crée une friction inutile. Cette friction crée une confusion dans les workflows quotidiens pour les rôles suivants :

  • Utilisateurs de productivité
  • Développeurs
  • Administrateurs informatiques et administrateurs des identités
  • Analystes de sécurité
  • Autres rôles

Le fait d’avoir à gérer plusieurs comptes et annuaires favorise l’utilisation de pratiques de sécurité faibles. Ces pratiques incluent notamment la réutilisation des mots de passe pour les comptes. Cela augmente la probabilité de comptes obsolètes ou abandonnés que les attaquants peuvent prendre comme cibles.

S’il semble parfois plus facile de mettre en place rapidement un annuaire LDAP personnalisé pour une application ou une charge de travail particulière, cela nécessite beaucoup plus de travail d’intégration et de gestion. Cela équivaut à choisir de configurer un locataire Azure supplémentaire ou une forêt Active Directory locale plutôt que d’utiliser le locataire d’entreprise existant. Pour plus d’informations, consultez Principe de sécurité basé sur la simplicité.

Qui

La normalisation d’un annuaire Azure AD nécessite souvent l’implication de plusieurs équipes. Cette tâche est menée par les équipes Architecture de la sécurité ou Gestion des identités et des clés.

  • Parrainage : les équipes Gestion des identités et des clés et Architecture de la sécurité assurent généralement cette tâche. Toutefois, dans certaines organisations, elle peut être assurée par le responsable de la sécurité des systèmes d’information ou le directeur informatique.
  • Exécution : il s’agit d’un travail collaboratif impliquant les ressources suivantes :

Comment

Adoptez une approche pragmatique qui commence par les nouvelles fonctionnalités Greenfield. Ensuite, éliminez toutes les difficultés liées au Brownfield des applications et services existants en tant qu’exercice complémentaire :

  • Greenfield : établir et implémenter une stratégie claire selon laquelle toute identité d’entreprise peut utiliser un seul annuaire Azure AD avec un seul compte pour chaque utilisateur.

  • Brownfield : De nombreuses organisations utilisent souvent plusieurs répertoires et systèmes d'identité hérités. Corrigez ces éléments hérités lorsque le coût des problèmes de gestion dépasse l’investissement nécessaire à leur nettoyage. Même si les solutions de synchronisation et de gestion des identités peuvent atténuer certains de ces problèmes, elles ne disposent pas d’une intégration profonde des fonctionnalités de sécurité et de productivité. Ces fonctionnalités apportent une expérience fluide aux utilisateurs, aux administrateurs et aux développeurs.

Le moment idéal pour combiner votre utilisation de l’identité se situe pendant les cycles de développement des applications, lorsque vous :

  • modernisez des applications pour le cloud ;
  • mettez à jour des applications cloud avec des processus de DevOps.

Bien qu’il existe des raisons valables d’utiliser un annuaire distinct pour des unités commerciales ou des exigences réglementaires, vous devez éviter d’utiliser plusieurs annuaires dans toutes les autres situations.

Pour plus d’informations, consultez le benchmark de sécurité Azure ID-1 : normaliser Azure Active Directory comme système d’authentification et d’identité central.

Important

La seule exception à la règle des comptes uniques est lorsque des utilisateurs privilégiés (y compris les administrateurs informatiques et les analystes de sécurité) peuvent avoir des comptes distincts pour les tâches utilisateur standard et les tâches d’administration.

Pour plus d’informations, consultez le benchmark de sécurité Azure Accès privilégié.

10. Architecture : utiliser le contrôle d’accès basé sur l’identité plutôt que des clés

Quoi

Utilisez si possible des identités Azure AD au lieu de l’authentification basée sur une clé (services Azure, applications, API, etc.).

Pourquoi

L’authentification basée sur les clés peut être utilisée pour s’authentifier auprès des services cloud et des API. Toutefois, cela nécessite de gérer les clés de façon sécurisée, ce qui est très difficile à réaliser, en particulier à grande échelle. Pour les professionnels non spécialistes de la sécurité, comme les développeurs et les spécialistes de l’infrastructure, il est difficile de gérer les clés de manière sécurisée. Il arrive donc souvent qu’ils compromettent la sécurité de l’organisation.

L’authentification basée sur l’identité permet de surmonter un grand nombre de difficultés liées aux fonctionnalités matures. Ces fonctionnalités incluent la rotation des secrets, la gestion du cycle de vie, la délégation administrative, etc.

Qui

L’implémentation du contrôle d’accès basé sur l’identité implique souvent plusieurs équipes. Cette tâche est menée par les équipes Architecture de la sécurité ou Gestion des identités et des clés.

Comment

Définir une préférence organisationnelle et utiliser l’authentification basée sur l’identité requiert la mise en œuvre d’un processus et d’une technologie.

Le processus

  1. Définir une stratégie et des normes qui décrivent clairement l’authentification basée sur l’identité par défaut, ainsi que les exceptions acceptables.
  2. Former les développeurs et les équipes en charge de l’infrastructure sur la raison d’adopter la nouvelle approche, ce qu’ils doivent faire et comment procéder.
  3. Implémenter les modifications de manière pragmatique, en commençant par les nouvelles fonctionnalités Greenfield qui sont adoptées maintenant et à l’avenir (nouveaux services Azure, nouvelles applications), puis poursuivre avec un nettoyage des configurations Brownfield existantes.
  4. Garantir la conformité et effectuer un suivi auprès des équipes de développement et d’infrastructure pour résoudre les problèmes.

Les technologies

pour les comptes non humains tels que les services ou l’automatisation, utilisez des identités managées. Les identités gérées par Azure peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. L’authentification est activée à l’aide de règles d’octroi d’accès prédéfinies, évitant les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

Pour les services qui ne prennent pas en charge les identités managées, utilisez plutôt Azure AD pour créer un principal de service avec des autorisations restreintes au niveau de la ressource. Nous recommandons de configurer des principaux de service avec des informations d’identification de certificat, et de se replier sur les secrets clients. Dans les deux cas, Azure Key Vault peut être utilisé avec des identités gérées par Azure, afin que l’environnement d’exécution (par exemple, une fonction Azure) puisse récupérer les informations d’identification du coffre de clés.

Pour plus d’informations, consultez le benchmark de sécurité Azure ID-2 : gérer les identités d’application de façon sécurisée et automatique.

11. Architecture : définir une stratégie de sécurité unique et unifiée

Tout le monde doit ramer dans la même direction pour que le bateau puisse avancer.

Quoi

Veiller à ce que toutes les équipes suivent une stratégie unique qui active et sécurise à la fois les systèmes et les données de l'entreprise.

Pourquoi

Lorsque les équipes travaillent de manière isolée sans être alignées sur une stratégie commune, leurs actions individuelles peuvent affaiblir les efforts de chacune d’elles. L’absence d’alignement peut créer des frictions inutiles qui ralentissent la progression des objectifs de tout le monde.

Un exemple de situation dans laquelle des équipes travaillent de façon isolée est la segmentation des ressources, que l’on constate souvent dans de nombreuses organisations :

  • Sécurité réseau : développe une stratégie de segmentation pour un réseau à plat. Cette stratégie accroît la sécurité, en se basant souvent sur les sites physiques, les adresses/plages d’adresses IP attribuées, ou des éléments similaires.
  • L’équipe chargée des identités : développe une stratégie pour les groupes et les unités organisationnelles Active Directory, basée sur sa compréhension et sa connaissance de l’organisation.
  • Les équipes chargées des applications : ces équipes ont du mal à travailler avec ces systèmes. Ceci est dû au fait qu’ils ont été conçus avec des entrées restreintes et une compréhension limitée des opérations, des objectifs et des risques de l’entreprise.

Dans les organisations qui connaissent cette limitation, les équipes rencontrent souvent des conflits par rapport aux exceptions de pare-feu. Les conflits peuvent avoir un impact négatif sur la sécurité, car les équipes approuvent les exceptions. La productivité a un impact négatif sur la sécurité, car les déploiements ralentissent la fonctionnalité des applications dont l’entreprise a besoin.

Alors que la sécurité peut créer des frictions saines en forçant la pensée critique, ce conflit ne fait que créer des frictions malsaines qui entravent les objectifs. Pour plus d’informations, consultez Guide sur la stratégie de sécurité : niveau approprié de friction de sécurité.

Qui

  • Parrainage : la stratégie unifiée est généralement créée conjointement par le directeur informatique, le responsable de la sécurité des systèmes d’information et le directeur technique. Le parrainage est souvent fourni avec le soutien des responsables commerciaux pour certains éléments de haut niveau. En outre, il est pris en charge par les représentants de chaque équipe.
  • Exécution : la stratégie de sécurité doit être implémentée par tout le monde. Celle-ci intègre les données de différentes équipes afin d’augmenter la propriété, l’achat et la probabilité de réussite.
    • Architecture de sécurité : cette équipe dirige l’effort de création d’une stratégie de sécurité et de l’architecture résultante. L’architecture de sécurité recueille activement les commentaires des équipes et les documente dans des présentations, des documents et des diagrammes destinés à différents publics.
    • Stratégie et normes : cette équipe capture les éléments appropriés dans des normes et des stratégies, puis elle monitore leur conformité.
    • Toutes les équipes techniques informatiques et de sécurité : cette équipe spécifie les exigences en matière de données saisies, puis elle s’aligne sur la stratégie de l’entreprise avant de l’implémenter.
    • Propriétaires et développeurs d’applications : ces équipes lisent et comprennent les documents stratégiques qui les concernent. Idéalement, les conseils sont adaptés à leur rôle.

Comment

Élaborer et mettre en œuvre une stratégie de sécurité pour le cloud qui inclut les données saisies et la participation active de toutes les équipes. Même si le format de la documentation de processus peut varier, celle-ci comprend toujours les éléments suivants :

  • Données actives des équipes : en général, les stratégies échouent si les membres de l’organisation n’y adhèrent pas. Idéalement, réunissez toutes les équipes dans la même pièce afin qu'elles participent à l'élaboration de la stratégie. Dans les ateliers que nous organisons avec nos clients, nous constatons souvent que les organisations fonctionnent de facto en silos et que ces réunions sont souvent l’occasion pour les intervenants de se rencontrer pour la première fois. Nous constatons également que l’inclusivité est indispensable. Si certaines équipes ne sont pas invitées, cette réunion devra être organisée plusieurs fois, jusqu’à ce que toutes les équipes y participent. Si ce n’est pas le cas, le projet ne progressera pas.
  • Documentation et communication claires : toutes les équipes doivent avoir connaissance de la stratégie de sécurité. Dans l’idéal, la stratégie de sécurité doit être un composant de sécurité de la stratégie technologique globale. Cette stratégie doit comprendre la raison pour laquelle la sécurité doit être intégrée, ce qui est important dans la sécurité et ce à quoi ressemble une sécurité réussie. Cette stratégie inclut des conseils spécifiques destinés aux équipes d’application et de développement afin qu’elles puissent obtenir des conseils clairs et organisés, sans avoir à lire des informations qui ne les concernent pas.
  • Stables mais flexibles : les stratégies doivent rester relativement cohérentes et stables. Cependant, les architectures et la documentation peuvent nécessiter des changements pour ajouter plus de clarté et tenir compte de la nature dynamique du cloud. Par exemple, le filtrage du trafic externe malveillant restera un impératif stratégique constant, même si vous passez de l’utilisation d’un pare-feu tiers de nouvelle génération au Pare-feu Azure, et que vous ajustez les schémas et les instructions sur la façon de procéder.
  • Commencer par la segmentation : au cours de l’adoption du cloud, vos équipes devront résoudre de nombreux problèmes stratégiques, importants ou secondaires, cependant, il faut bien commencer quelque part. Nous vous recommandons de commencer la stratégie de sécurité par la segmentation des ressources d’entreprise. Cette segmentation est une décision fondamentale qu’il sera difficile de modifier par la suite, et qui nécessite aussi bien l’implication des équipes commerciales que des nombreuses équipes techniques.

Microsoft a publié une vidéo de conseils concernant l’application d’une stratégie de segmentation dans Azure. Des documents ont été publiés à propos de la segmentation d’entreprise et de l’alignement de la sécurité réseau sur cette segmentation.

Le Cloud Adoption Framework comprend des conseils pour aider vos équipes lors des tâches suivantes :

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gouvernance et stratégie.