Zone de conception : sécurité
Cette zone de conception crée une base pour la sécurité dans vos environnements Azure, hybrides et multiclouds. Vous pourrez améliorer cette fondation plus tard avec les conseils de sécurité décrits dans la Méthodologie de sécurisation du Cloud Adoption Framework.
Revue de la zone de conception
Rôles ou fonctions impliqués : Cette zone de conception est dirigée par la sécurité dans le cloud, en particulier les architectes de sécurité de cette équipe. La plateforme cloud et le Centre d’excellence du cloud sont requis pour passer en revue les décisions relatives à la mise en réseau et à l’identité. Les rôles collectifs peuvent être nécessaires pour définir et implémenter les exigences techniques provenant de cet exercice. Les garde-fous de sécurité plus avancés peuvent également nécessiter une prise en charge de la gouvernance cloud.
Étendue : L’objectif de cet exercice est de comprendre les exigences de sécurité et de les implémenter de manière cohérente sur toutes les charges de travail de votre plateforme cloud. L’objectif principal de cet exercice porte sur les outils d’opérations de sécurité et le contrôle d’accès. Il comprend la Confiance Zéro et la sécurité réseau avancée.
Hors de l’étendue : Cet exercice porte sur la fondation d’un centre d’opérations de sécurité moderne dans le cloud. Pour simplifier la conversation, cet exercice ne traite pas certaines des disciplines de la méthodologie CAF Secure. Les opérations de sécurité, la protection des ressources et la sécurité de l’innovation s’appuieront sur le déploiement de votre zone d’atterrissage Azure. Toutefois, elles ne sont pas abordées dans le cadre de cette discussion sur la zone de conception.
Vue d’ensemble de la zone de conception
La sécurité est un facteur essentiel pour tous les clients, dans chaque environnement. Lors de la conception et de l’implémentation d’une zone d’atterrissage Azure, la sécurité doit être prise en compte tout au long du processus.
L’aire de conception de sécurité se concentre sur les considérations et les recommandations relatives aux décisions liées la zone d’atterrissage. La Méthodologie de sécurisation du Cloud Adoption Framework fournit également des conseils approfondis sur les processus et outils de sécurité holistiques.
Nouvel environnement de cloud (greenfield) : Pour commencer votre voyage dans le cloud avec un petit ensemble d'abonnements, voir Créer vos abonnements Azure initiaux. Envisagez également d’utiliser des modèles de déploiement Bicep pour créer vos zones d’atterrissage Azure. Pour plus d’informations, consultez Azure Landing Zones Bicep - Flux de déploiement.
Environnement cloud existant (brownfield) : Envisagez d’utiliser les services d’identité et d’accès Microsoft Entra suivants si vous souhaitez appliquer les principes de la zone de conception de sécurité aux environnements Azure existants :
- Utilisez les 10 meilleures pratiques de sécurité Azure de Microsoft. Ce guide récapitule les conseils éprouvés par les domaines des architectes de solutions cloud Microsoft (CSA) ainsi que des partenaires Microsoft.
- Déployez la synchronisation cloud Microsoft Entra Connect pour fournir à vos utilisateurs locaux Active Directory Domain Services (AD DS) l’authentification unique sécurisée sur vos applications basées sur Microsoft Entra ID. Un avantage supplémentaire de la configuration de l’identité hybride est le fait de pouvoir appliquer l’authentification multifacteur Microsoft Entra et la protection par mot de passe Microsoft Entra pour protéger davantage ces identités
- Envisagez l’accès conditionnel Microsoft Entra pour fournir une authentification sécurisée à vos applications cloud et ressources Azure.
- Implémentez Microsoft Entra Privileged Identity Management pour garantir l’accès avec privilèges minimum et les rapports approfondis dans l’ensemble de votre environnement Azure. Les équipes doivent entreprendre des examens d'accès récurrents pour s'assurer que les bonnes personnes et les bons principes de service disposent de niveaux d'autorisation actuels et corrects.
- Utilisez les fonctionnalités de recommandations, d’alerte et de correction de Microsoft Defender pour le cloud. Votre équipe de sécurité peut également intégrer Microsoft Defender pour le Cloud dans Microsoft Sentinel si elle a besoin d’une solution SIEM (Security Information Event Management) hybride et multicloud plus robuste et centralisée/SOAR (Security Orchestration and Response).
Le référentiel Bicep des zones d’atterrissage Azure - Flux de déploiement contient un certain nombre de modèles de déploiement Bicep qui peuvent accélérer vos déploiements de zones d’atterrissage Azure greenfield et brownfield. Ces modèles disposent déjà d’instructions de sécurité éprouvées par Microsoft qui leur sont intégrées.
Pour plus d’informations sur l’utilisation des environnements cloud brownfield, consultez considérations relatives à l’environnement Brownfield.
Benchmark de sécurité cloud Microsoft
Le benchmark de sécurité Microsoft comprend des recommandations de sécurité à fort impact pour vous aider à sécuriser la plupart des services que vous utilisez dans Azure. Vous pouvez considérer ces recommandations comme générales ou organisationnelles, car elles s’appliquent à la plupart des services Azure. Les recommandations de benchmark de sécurité cloud Microsoft sont ensuite personnalisées pour chaque service Azure. Ce guide personnalisé est contenu dans les articles de recommandations de service.
La documentation du benchmark de sécurité cloud Microsoft spécifie les contrôles de sécurité et les recommandations de service.
- Contrôles de sécurité: les recommandations de benchmark de sécurité cloud Microsoft sont classées par contrôles de sécurité. Les contrôles de sécurité représentent des exigences de sécurité de haut niveau indépendantes du fournisseur, comme la sécurité réseau et la protection des données. Chacun comporte un ensemble de recommandations de sécurité et d’instructions qui aident à les implémenter.
- Recommandations de service : lorsqu’elles sont disponibles, les recommandations de benchmark de sécurité cloud Azure comprennent les recommandations du benchmark de sécurité Microsoft ajustées spécialement à ce service.
Azure Attestation
Azure Attestation est un outil qui peut vous aider à garantir la sécurité et l’intégrité de votre plateforme et fichiers binaires qui s’exécutent à l’intérieur de celle-ci. Il est particulièrement utile pour les entreprises qui ont besoin de ressources informatiques hautement évolutives et d'une confiance sans compromis grâce à la capacité d'attestation à distance.
Considérations relatives à la conception de la sécurité
Une organisation doit disposer d’une visibilité de ce qui se passe dans ses ressources cloud techniques. La surveillance de la sécurité et la journalisation des audits des services de la plateforme Azure constituent un composant clé d’une infrastructure évolutive.
Considérations relatives à la conception des opérations de sécurité
Étendue | Context |
---|---|
Alertes de sécurité | - Quelles équipes requièrent des notifications pour les alertes de sécurité ? - Existe-t-il des groupes de services que les alertes demandent à acheminer vers différentes équipes ? - Exigences métier pour la surveillance et les alertes en temps réel. - Intégration de la gestion des informations et des événements de sécurité à Microsoft Defender pour le cloud et Microsoft Sentinel. |
Journaux d’activité de sécurité | - Périodes de conservation des données d’audit. Les rapports Microsoft Entra ID P1 ou P2 ont une période de rétention de 30 jours. - Archivage à long terme des journaux, comme les journaux d’activité Azure, les journaux de machines virtuelles (VM) et les journaux PaaS (platform as a service). |
Contrôles de sécurité | - Configuration de la sécurité de base via une stratégie de machine virtuelle dans l’invité Azure. - Réfléchissez à la façon dont vos contrôles de sécurité s’aligneront sur les garde-fous de la gouvernance. |
Gestion des vulnérabilités | - Mise à jour corrective d’urgence pour les vulnérabilités critiques. - Mise à jour corrective des machines virtuelles hors connexion pendant des périodes de temps étendues. - Évaluation de vulnérabilité des machines virtuelles. |
Responsabilité partagée | - Où sont les transferts pour les responsabilités de l’équipe ? Ces responsabilités doivent être prises en compte lors de la surveillance ou de la réponse aux événements de sécurité. - Tenez compte des conseils de la méthodologie sécurisée pour les opérations de sécurité. |
Chiffrement et clés | - Qui nécessite l’accès aux clés dans l’environnement ? - Qui sera responsable de la gestion des clés ? - Étudiez attentivement le chiffrement et les clés. |
Attestation | - Allez-vous utiliser le lancement fiable pour vos machines virtuelles et avez-vous besoin d'une attestation de l'intégrité de l'ensemble de la chaîne de démarrage de votre machine virtuelle (UEFI, système d'exploitation, système et pilotes) ? - Voulez-vous tirer parti du chiffrement des disques pour vos machines virtuelles confidentielles ? - Vos charges de travail nécessitent-elles une attestation qu’elles s’exécutent dans un environnement approuvé ? |
Recommandations relatives la conception d’opérations de sécurité
Utiliser les fonctionnalités de création de rapports Microsoft Entra ID pour générer des rapports d’audit de contrôle d’accès.
Exportez les journaux d’activité Azure vers Journaux Azure Monitor pour une conservation des données à long terme. Exportez vers le service Stockage Azure pour un stockage à long terme au-delà de deux ans, si nécessaire.
Activez Defender pour le cloud standard pour tous les abonnements, et utilisez Azure Policy pour garantir la conformité.
Supervisez la dérive de mise à jour corrective du système d’exploitation de base avec les journaux Azure Monitor et Microsoft Defender pour le cloud.
Utilisez des stratégies Azure pour déployer automatiquement des configurations logicielles par le biais d’extensions de machine virtuelle et appliquer une configuration de machine virtuelle de base conforme.
Surveillez la dérive de la configuration de sécurité de machine virtuelle via Azure Policy.
Connectez des configurations de ressources par défaut à un espace de travail Log Analytics d’Azure Monitor centralisé.
Utilisez une solution basée sur Event Grid pour les alertes en temps réel axées sur le journal.
Utilisez Azure Attestation pour l’attestation de :
- Intégrité de la chaîne de démarrage entière de votre machine virtuelle. Pour plus d'informations, consultez Vue d'ensemble de la surveillance de l'intégrité de l'amorçage.
- Libération sécurisée des clés de chiffrement de disques confidentiels pour une machine virtuelle confidentielle. Pour plus d’informations, consultez Chiffrement du disque confidentiel du système d'exploitation.
- Différents types d’environnements d’exécution de confiance de charge de travail. Pour plus d’informations, consultez Cas d’utilisation.
Considérations relatives à la conception du contrôle d’accès
Les limites de sécurité modernes sont plus complexes que les limites d’un centre de données traditionnel. Les quatre murs du centre de données ne contiennent plus vos ressources. La conservation des utilisateurs du réseau protégé n’est plus suffisante pour contrôler l’accès. Dans le cloud, votre périmètre est composé de deux parties : les contrôles de sécurité réseau et les contrôles d’accès de niveau de Confiance Zéro.
Sécurité réseau avancée
Étendue | Context |
---|---|
Planifier la connectivité Internet entrante et sortante | Décrit les modèles de connectivité recommandés pour la connectivité entrante et sortante à partir et en direction de l’Internet public. |
Planifier la segmentation du réseau de zone d’atterrissage | Explore les principales recommandations pour la fourniture d’une segmentation du réseau interne hautement sécurisée à l’intérieur d’une zone d’atterrissage. Ces recommandations pilotent l’implémentation d’un réseau de confiance zéro. |
Définir des exigences de chiffrement de réseau | Explore les principales recommandations pour obtenir un chiffrement de réseau entre sites locaux et Azure, et dans des régions Azure. |
Planifier l’inspection du trafic | Explore des considérations clés et des approches recommandées pour la mise en miroir ou l’exploitation du trafic à l’intérieur d’un Réseau virtuel Azure. |
Confiance Zéro
Pour Confiance Zéro l’accès avec des identités, vous devez prendre en compte les éléments suivants :
- Quelles équipes ou personnes doivent accéder aux services au sein de la zone d’atterrissage ? Quels rôles ont-ils ?
- Qui doit autoriser les requêtes d’accès ?
- Qui doit recevoir les notifications lorsque les rôles privilégiés sont activés ?
- Qui doit avoir accès à l’historique d’audit ?
Pour plus d’informations, consultez Qu’est-ce que Microsoft Entra Privileged Identity Management.
L’implémentation de Confiance Zéro peut aller au-delà de la simple gestion des identités et des accès. Vous devez déterminer si votre organisation doit mettre en œuvre des pratiques de Confiance Zéro sur plusieurs piliers, tels que l'infrastructure, les données et le réseau. Pour plus d’informations, consultez Incorporer Confiance Zéro pratiques dans votre zone d’atterrissage
Recommandations en matière de conception de contrôle d’accès
Un examen conjoint de chaque service requis doit être conduit dans le contexte de vos exigences sous-jacentes. Si vous souhaitez apporter vos propres clés, il est possible que cela ne soit pas pris en charge pour tous les services considérés. Implémentez une atténuation appropriée afin que les incohérences ne compromettent pas les résultats souhaités. Choisissez les paires de régions appropriées et les régions de récupération d’urgence qui minimisent la latence.
Développez un plan de liste d’autorisation de sécurité pour évaluer des services tels que la configuration de la sécurité, la surveillance et les alertes. Créez ensuite un plan pour les intégrer aux systèmes existants.
Élaborez le plan de réponse aux incidents pour les services Azure avant la mise en production.
Alignez vos exigences de sécurité avec les feuilles de route de la plateforme Azure pour rester informé des nouveaux contrôles de sécurité.
Implémenter une approche confiance zéro pour l’accès à la plateforme Azure si nécessaire.
Sécurité dans l’accélérateur de zone d’atterrissage Azure
La sécurité est au cœur de l’accélérateur de zone d’atterrissage Azure. Dans le cadre de l’implémentation, de nombreux outils et contrôles sont déployés pour aider les organisations à obtenir rapidement une ligne de base de sécurité.
Par exemple, les éléments suivants sont inclus :
Outils :
- Niveau standard ou gratuit de Microsoft Defender pour le cloud
- Microsoft Sentinel
- Vue d’ensemble de Protection réseau Azure DDoS (facultatif)
- Pare-feu Azure
- Pare-feu d’applications web (WAF)
- Privileged Identity Management (PIM)
Stratégies pour les zones d’atterrissage en ligne et connectées à l’entreprise :
- Imposer un accès sécurisé, par exemple HTTPS, aux comptes de stockage
- Appliquer l’audit pour Azure SQL Database
- Appliquer le chiffrement pour Azure SQL Database
- Empêcher le transfert IP
- Empêcher le protocole RDP entrant à partir d’Internet
- S’assurer que les sous-réseaux sont associés au groupe de sécurité réseau
Étapes suivantes
Découvrez comment sécuriser l’accès privilégié pour les déploiements hybrides et cloud dans Microsoft Entra ID.