Meilleures pratiques relatives à la sécurité Azure

Cet article décrit les meilleures pratiques de sécurité recommandées, qui sont basées sur des leçons apprises par les clients et de l’expérience dans nos propres environnements.

Pour une présentation vidéo, voir les meilleures pratiques pour la sécurité d'Azure.

1. Personnes : Former les équipes pour le parcours vers la sécurité dans le cloud

L’équipe doit comprendre le parcours sur lequel elle se trouve.

Quoi ?

Informez vos équipes de sécurité et de TI sur le parcours de la sécurité dans le nuage et sur les changements qu'ils devront affronter, notamment :

  • Les menaces dans le cloud
  • Le modèle de responsabilité partagée et son impact sur la sécurité
  • Modifications apportées à la culture et aux rôles et responsabilités qui sont généralement fournis avec l’adoption du cloud

Pourquoi ?

La sécurité cloud nécessite un changement d’état d’esprit et d’approche. Si les résultats que la sécurité apporte à l'organisation ne changent pas, la meilleure façon d'atteindre ces résultats dans le nuage peut changer considérablement.

Le passage au cloud est comparable au fait de déménager d’une maison indépendante à un appartement dans une tour d’habitation. Vous disposez toujours d’une infrastructure de base (comme la plomberie et l’électricité), et vous y menez des activités similaires (recevoir des amis, cuisiner, regarder la télévision, surfer sur Internet, etc.). Toutefois, il existe souvent une différence considérable entre ce que fournit le bâtiment, qui fournit et gère ces aspects, et votre routine quotidienne.

Qui ?

Tous les membres de l'organisation de la sécurité et de l'informatique ayant une quelconque responsabilité en matière de sécurité, du DSI ou CISO aux praticiens techniques, doivent être au courant de ces changements.

Comment faire ?

Fournissez aux équipes le contexte nécessaire pour déployer et fonctionner correctement pendant la transition vers l’environnement cloud.

Microsoft a publié ce qu’il a appris auprès de ses clients et de son service informatique concernant la transition vers le cloud.

Pour plus d'informations, consultez les rôles, les responsabilités et les obligations de rendre compte d'Azure Security Benchmark.

2. Personnes : Former les équipes pour les technologies de sécurité dans le cloud

Vos équipes ont besoin de comprendre où elles vont.

Quoi ?

Assurez-vous que vos équipes ont pris le temps nécessaire pour se former à la sécurisation des ressources cloud, notamment :

  • Technologie cloud et technologie de sécurité dans le cloud
  • Configurations recommandées et meilleures pratiques
  • Où obtenir des informations techniques plus approfondies

Pourquoi ?

Les équipes techniques doivent avoir accès aux informations techniques pour prendre des décisions éclairées en matière de sécurité. Les équipes techniques sont douées pour apprendre les nouvelles technologies sur le terrain, mais le volume de détails dans le cloud dépasse souvent leur capacité à intégrer cet apprentissage dans leur routine quotidienne.

Vous devez consacrer du temps à l’apprentissage technique. L'apprentissage permet de s'assurer que les gens ont le temps de prendre confiance dans leur capacité à évaluer la sécurité du cloud. Il permet également de réfléchir à la façon d’adapter ses compétences et processus existants.

Qui ?

Tous les rôles de sécurité et d’informatique qui interagissent directement avec la technologie cloud doivent consacrer du temps à l’apprentissage technique des plateformes cloud et à la manière de les sécuriser.

La sécurité, les responsables techniques informatiques et les chefs de projet peuvent développer des connaissances techniques sur la sécurisation des ressources cloud. Ces connaissances leur permettent d’être plus efficaces et de coordonner les initiatives cloud.

Comment faire ?

Assurez-vous que les techniciens de la sécurité se réservent du temps pour se former, à leur propre rythme, à la sécurisation des ressources cloud. Même si cela n’est pas toujours possible, l’idéal serait de proposer une formation formelle avec un instructeur expérimenté et de mettre en place des labos pratiques.

Important

Les protocoles d'identité sont essentiels pour le contrôle d'accès dans le nuage, mais ne sont souvent pas prioritaires dans la sécurité sur site. Les équipes de sécurité doivent s'attacher à se familiariser avec ces protocoles et ces journaux.

Microsoft fournit de nombreuses ressources pour aider les professionnels techniques à améliorer leurs compétences. Ces ressources incluent :

3. Processus : Affecter les responsabilités pour les décisions de sécurité dans le cloud

Les décisions en matière de sécurité ne seront pas prises si personne n'est responsable de leur prise.

Quoi ?

Désignez la personne chargée de prendre chaque type de décision en matière de sécurité pour l’environnement d’entreprise Azure.

Pourquoi ?

Une attribution claire des décisions en matière de sécurité accélère l’adoption du cloud et renforce la sécurité. Le manque d'appropriation crée généralement des frictions car personne ne se sent habilité à prendre des décisions. Personne ne sait à qui demander de prendre une décision, et personne n’est encouragé à prendre une décision informée. Les frictions constituent souvent une entrave aux :

  • Objectifs métier
  • Calendriers des développeurs
  • Objectifs informatiques
  • Garanties de sécurité

Les frictions peuvent se traduire ainsi :

  • Projets bloqués en attente de l'approbation de la sécurité
  • Déploiements non sécurisés qui n’ont pas pu attendre l’approbation de la sécurité

Qui ?

Les responsables de la sécurité désignent les équipes ou personnes chargées de prendre des décisions de sécurité concernant le cloud.

Comment faire ?

Choisissez des groupes ou des individus qui seront chargés de prendre des décisions clés en matière de sécurité.

Rassemblez ces propriétaires dans un document avec leurs informations de contact, et diffusez ce document aux équipes chargées de la sécurité, de l’informatique et du cloud par le biais les réseaux sociaux. Cette diffusion par les réseaux sociaux a pour but de faciliter la prise de contact pour tous les rôles.

Vous trouverez ci-dessus les situations dans lesquelles des décisions de sécurité doivent être prises. Le tableau suivant indique la catégorie de la décision, la description de la catégorie et les équipes qui prennent le plus souvent ces décisions.

Décision Description Équipe type
Sécurité du réseau Configurer et maintenir le pare-feu Azure, les appliances virtuelles de réseau et le routage associé, les pare-feu d'application Web (WAF), les NSG, les ASG, etc. L’équipe Sécurité d’infrastructure et de point de terminaison se concentre sur la sécurité réseau
Gestion de réseau Gérer l’allocation des réseaux et des sous-réseaux virtuels à l’échelle de l’entreprise. L’équipe en charge des opérations réseau au sein du département Opérations informatiques centrales
Sécurité des points de terminaison de serveur Monitorer et corriger les problèmes de sécurité du serveur (mise à jour corrective, configuration, sécurité des points de terminaison, etc.) Les équipes centrales des opérations et de l'infrastructure informatiques et de la sécurité des points d'extrémité, conjointement
Surveillance et traitement des incidents Investiguer et corriger les incidents de sécurité dans le SIEM ou la console source, y compris Microsoft Defender pour le cloud, Microsoft Entra Protection, etc. L’équipe Opérations de sécurité
Gestion des stratégies Définir une orientation pour l'utilisation du contrôle d'accès basé sur les rôles (Azure RBAC), de Defender for Cloud, de la stratégie de protection des administrateurs et de la stratégie Azure pour gouverner les ressources Azure. Les équipes Stratégie et normes et Architecture de la sécurité, conjointement
Sécurité et normes relatives aux identités Définition de l’orientation des annuaires Microsoft Entra, de l’utilisation de PIM/PAM, de l’authentification multifacteur, de la configuration du mot de passe et de la synchronisation, et des normes d’identité des applications. Les équipes Gestion des identités et des clés, Stratégie et normes et Architecture de la sécurité, conjointement

Remarque

  • Veillez à ce que les décideurs disposent des connaissances requises dans leur domaine de compétence pour assumer cette responsabilité.
  • Vérifiez que les décisions sont documentées conformément à la stratégie et aux normes afin de fournir un enregistrement et guider l'organisation sur le long terme.

4. Processus : Mise à jour des processus de réponse aux incidents pour le cloud

Prévoyez tout à l'avance. Vous n’avez pas le temps de planifier un plan de crise pendant une crise.

Quoi ?

Préparez-vous à des incidents de sécurité sur votre plateforme de cloud Azure. Cette préparation inclue les outils natifs de détection des menaces que vous avez adoptés. Mettez à jour les processus, préparez votre équipe et simulez des attaques afin d’optimiser les réponses de votre équipe lors des investigations sur les incidents, les mesures correctives et la recherche des menaces.

Pourquoi ?

Les attaquants actifs présentent un risque immédiat pour l’entreprise. La situation peut rapidement devenir difficile à contrôler. Répondez rapidement et efficacement aux attaques. Ce processus de réponse aux incidents doit être efficace pour l'ensemble de vos ressources, y compris toutes les plateformes cloud qui hébergent les données, les systèmes et les comptes de l'entreprise.

Même si elles sont similaires de bien des façons, les plateformes cloud sont techniquement différentes des systèmes locaux. Les systèmes locaux peuvent bloquer les processus existants, généralement parce que les informations sont disponibles sous une forme différente. Les analystes de la sécurité peuvent avoir des difficultés à répondre rapidement à un environnement inconnu qui peut les ralentir. Cette affirmation est d'autant plus vraie s'ils ne sont formés qu'aux architectures classiques sur site et aux approches d'investigation du réseau et du disque.

Qui ?

La modernisation des processus IR est généralement dirigée par l’équipe Opérations de sécurité. Cette tâche nécessite souvent l’aide d’autres groupes disposant des connaissances et de l’expertise nécessaires.

  • Sponsorship : la modernisation du processus est généralement assurée par le directeur des opérations de sécurité ou un rôle équivalent.

  • Exécution : L’adaptation des processus existants (ou la création de ces processus) est un effort de collaboration qui implique les ressources suivantes :

    • Opérations de sécurité : l’équipe ou le responsable de la gestion des incidents mènent les mises à jour des processus et de l’intégration pour les principales parties prenantes externes. Ces équipes incluent l’équipe juridique, l’équipe de communication ou l’équipe Relations publiques.
    • Opérations de sécurité : les analystes de la sécurité apportent une expertise en matière d’investigation et de triage des incidents techniques
    • Opérations informatiques centrales : cette équipe fournit une expertise sur la plateforme cloud (directement, via le centre d’excellence de nuage, ou via des consultants externes).

Comment faire ?

Mettre à jour les processus et préparer votre équipe afin qu'elle sache quoi faire lorsqu'elle identifie un agresseur actif.

  • Processus et playbooks : adaptez les processus existants d’investigation, de résolution et de recherche des menaces aux différences de fonctionnement des plateformes cloud. Ces différences incluent les outils nouveaux ou différents, les sources de données, les protocoles d’identité, etc.
  • Éducation : préparez les analystes à la transformation globale du cloud, apportez-leur des détails techniques sur le fonctionnement de la plateforme et informez-les des processus nouveaux ou mis à jour. Ces informations leur permettent de savoir ce qui est susceptible de changer et où aller chercher ce dont ils ont besoin.
  • Principaux domaines : même si de nombreux détails sont décrits dans les liens de ressources, il s’agit de domaines clés sur lesquels vous devez concentrer vos efforts de formation et de planification :
    • Modèle de responsabilité partagée et architectures cloud : pour un analyste de la sécurité, Azure est un centre de données à définition logicielle qui fournit de nombreux services. Ces services comprennent les VM et d'autres qui sont différents de ceux sur site, comme Azure SQL Database Azure Functions. Les données les plus intéressantes se trouvent dans les journaux de service et dans les services spécialisés de détection des menaces. Elles ne se trouvent pas dans les journaux du système d’exploitation ou des machines virtuelles sous-jacents, qui sont exploités par Microsoft et mis au service de plusieurs clients. Les analystes doivent comprendre et intégrer ce contexte dans leurs workflows quotidiens. De cette façon, ils savent quelles sont les données à attendre, où les obtenir ainsi que leur format.
    • Sources de données de point de terminaison : souvent, les outils natifs de détection cloud permettent d’obtenir plus rapidement et facilement des insights et des données plus précis concernant les attaques et les logiciels malveillants dont sont victimes les serveurs hébergés dans le cloud. Les outils tels que Microsoft Defender pour le cloud et les solutions de protection évolutive des points de terminaison fournissent des données plus précises que les approches traditionnelles d’accès direct au disque. La forensique directe des disques est disponible pour les scénarios dans lesquels elle est possible et requise par une procédure légale. Pour plus d’informations, consultez Forensique des ordinateurs dans Azure. Toutefois, cette approche constitue souvent la méthode la plus inefficace pour détecter et investiguer les attaques.
    • Sources de données réseau et identité : de nombreuses fonctions des plateformes cloud utilisent principalement l’identité pour le contrôle d’accès. Ce contrôle d’accès comprend l’accès au portail Azure, même si les contrôles d’accès réseau sont aussi largement utilisés. Le contrôle d’accès nécessite que les analystes comprennent les protocoles d’identité cloud afin d’obtenir une image complète et riche de l’activité des attaquants et de l’activité des utilisateurs légitimes, et soutenir ainsi les investigations sur les incidents et les mesures correctives. Identifiez les annuaires et les protocoles d’identité qui sont différents de ceux locaux. Ils sont généralement basés sur SAML, OAuth, OpenID Connect et les annuaires cloud plutôt que sur LDAP, Kerberos, NTLM et Active Directory.
    • Exercices d'entraînement : la simulation d'une attaque et d'une réaction peut contribuer à renforcer la mémoire musculaire et la préparation technique de l'organisation. Elle fournit une préparation pour les analystes de sécurité, les chercheurs de menaces, les responsables des incidents ainsi que pour d’autres parties prenantes de votre organisation. L’apprentissage sur le tas et la capacité d’adaptation constituent des éléments naturels de la réponse aux incidents. Cependant, vous pouvez œuvrer de manière à réduire ce que vous devez apprendre en cas de crise.

Principales ressources

Pour plus d'informations, consultez le processus de réponse aux incidents Azure Security Benchmark pour Azure.

5. Processus : Définir la gestion de la posture de sécurité

Tout d’abord, bien se connaître.

Quoi ?

Veillez à gérer activement la posture de sécurité de votre environnement Azure en :

  • Attribuer des responsabilités claires à :
    • Surveiller la posture de sécurité
    • Atténuer les risques pour les actifs
  • automatisant et simplifiant ces tâches

Pourquoi ?

L’identification et la correction rapides des risques courants en matière d’hygiène de la sécurité réduisent considérablement les risques auxquels votre organisation est exposée.

La nature définie par logiciel des centres de données en nuage permet une surveillance continue des risques de sécurité, tels que les vulnérabilités logicielles ou les mauvaises configurations de sécurité, avec une instrumentation étendue des actifs. La vitesse à laquelle les développeurs et l’équipe informatique peuvent déployer des machines virtuelles, des bases de données et d’autres ressources nécessitent que les ressources soient configurées de manière sécurisée et activement monitorées.

Ces nouvelles capacités offrent de nouvelles possibilités, mais pour en tirer profit, il vous faut définir la responsabilité de leur utilisation. Pour que les opérations dans le cloud se poursuivent de manière cohérente et évoluent rapidement, les processus humains doivent rester aussi simples et automatisés que possible. Reportez-vous à la section sur le principe de sécurité « Favoriser la simplicité ».

Remarque

L’objectif de la simplification et de l’automatisation n’est pas de supprimer des emplois, mais d’enlever aux personnes le fardeau des tâches répétitives afin qu’elles puissent se concentrer sur des activités humaines plus enrichissantes comme la motivation et la formation des équipes informatiques et DevOps.

Qui ?

Cette pratique est généralement divisée en deux groupes de responsabilités :

  • Gestion de la posture de sécurité : cette fonction est souvent une évolution des fonctions existantes de gestion des vulnérabilités ou de la gouvernance. Le résultat comprend le monitoring de la posture de sécurité globale à l’aide du score sécurisé de Microsoft Defender pour le cloud ainsi que d’autres sources de données. Il inclut également une collaboration active avec les propriétaires de ressources dans le but de réduire les risques, ainsi que le signalement des risques de sécurité.

  • Correction de sécurité : Attribuez la responsabilité de la gestion de ces risques aux équipes chargées de la gestion de ces ressources. Cette responsabilité revient soit aux équipes DevOps qui gèrent leurs propres ressources applicatives, soit aux équipes spécialisées dans les technologies Opérations informatiques centrales :

    • Ressources de calcul et d’application
      • Services d'applications : Équipes de développement d'applications et de sécurité
      • Conteneurs : développement d’applications ou opérations informatiques/d’infrastructure
      • Machines virtuelles, Groupes identiques, Calcul : Opérations informatiques/d’infrastructure
    • Ressources de stockage et de données
      • SQL, Redis, Data Lake Analytics, Data Lake Store : équipe en charge de la base de données
      • Comptes de stockage : Équipe chargée du stockage et de l'infrastructure
    • Ressources pour les identités et les accès
      • Abonnements : équipes en charge des identités
      • Key Vault : équipe chargée de la sécurité des identités ou des informations/données
    • Ressources réseau : équipe chargée de la sécurité réseau
    • Sécurité IoT : équipe chargée des opérations IoT

Comment faire ?

La sécurité est le travail de tout le monde. Cependant, tout le monde n’a pas conscience de son importance, ni de ce qu’il faut faire ou comment le faire.

  • Tenez les propriétaires des ressources responsables des risques en matière de sécurité tout comme ils sont tenus responsables de la disponibilité, des performances, des coûts et d’autres facteurs de succès.
  • Aidez les propriétaires de ressources à comprendre clairement pourquoi les risques de sécurité sont importants pour leurs ressources, ce qu’ils peuvent faire pour atténuer les risques et comment les mettre en œuvre avec une perte de productivité minimale.

Important

Les explications sur le pourquoi, le quoi et le comment de la sécurisation des ressources sont souvent similaires pour les différents types de ressources et d'applications, mais il est essentiel de faire le lien avec les connaissances et les centres d’intérêt de chaque équipe. Les équipes en charge de la sécurité peuvent collaborer avec leurs homologues du service informatique et DevOps, et agir en tant que conseillers et partenaires de confiance dont l’objectif est de permettre à ces équipes de réussir.

Outils : le degré de sécurisation dans Microsoft Defender pour le cloud fournit une évaluation des informations de sécurité les plus importantes dans Azure pour une grande variété de ressources. Cette évaluation peut être votre point de départ pour la gestion de votre posture, et elle pourra être complétée par des stratégies Azure personnalisées et d’autres mécanismes si nécessaire.

Fréquence : définissez une fréquence régulière (généralement mensuelle) à laquelle passer en revue les initiatives en matière de degré de sécurisation et de planification Azure visant des objectifs d’amélioration spécifiques. La fréquence peut être augmentée selon les besoins.

Conseil

Donnez à l’activité un aspect ludique si possible pour stimuler la motivation des participants, par exemple en créant des concours amusants et en attribuant des prix aux équipes DevOps qui ont le plus amélioré leur score.

Pour plus d'informations, consultez la stratégie de gestion de la posture de sécurité Azure Security Benchmark .

6. Technologie : Exiger une authentification sans mot de passe ou multifacteur

Seriez-vous prêt à mettre en jeu la sécurité de votre entreprise en pariant que des agresseurs professionnels ne peuvent pas deviner ou voler le mot de passe de votre administrateur ?

Quoi ?

Tous les administrateurs susceptibles d’avoir un impact critique doivent utiliser une authentification sans mot de passe ou une authentification multifacteur (MFA).

Pourquoi ?

De la même manière que les anciens passe-partout ne protègent pas une maison contre un cambrioleur moderne, les mots de passe ne peuvent pas protéger les comptes contre les attaques courantes. Pour plus d’informations techniques, voir Votre pa$$word n’a pas d’importance.

L’authentification multifacteur était autrefois une étape supplémentaire fastidieuse. Aujourd’hui, les approches sans mot de passe améliorent la façon dont les utilisateurs se connectent à l’aide d’approches biométriques, telles que la reconnaissance faciale des appareils Windows Hello et des appareils mobiles. De plus, les approches de type Confiance zéro mémorisent les appareils approuvés. Cette méthode réduit le nombre d’invites concernant des actions d’authentification multifacteur hors bande. Pour plus d’informations sur cette option, consultez Fréquence de connexion de l’utilisateur.

Qui ?

L’initiative d’authentification par mot de passe et multifacteur est généralement conduite par les équipes Gestion des identités et des clés ou Architecture de la sécurité.

Comment faire ?

Implémentez une authentification sans mot de passe ou une authentification multifacteur. Formez les administrateurs à leur utilisation selon leurs besoins, et demandez-leur ensuite d’utiliser une stratégie écrite. Utilisez une ou plusieurs de ces technologies :

Remarque

L’authentification multifacteur basée sur un message texte étant désormais relativement peu coûteuse à contourner pour les attaquants, il est plus facile de se concentrer sur une authentification multifacteur sans mot de passe et plus forte.

Pour plus d'informations, consultez les contrôles d'authentification forte d'Azure Security Benchmark pour tous les accès basés sur Microsoft Entra ID.

7. Technologie : Intégrer un pare-feu natif et la sécurité réseau

Simplifiez la protection des systèmes et des données contre les attaques réseau.

Quoi ?

Simplifiez votre stratégie de sécurité et la maintenance de votre réseau en intégrant le pare-feu Azure, le pare-feu WAF et les mesures d’atténuation DDoS à votre approche de sécurité réseau.

Pourquoi ?

La simplicité est essentielle à la sécurité car elle réduit les risques de confusion, de mauvaise configuration et autres erreurs humaines. Reportez-vous à la section sur le principe de sécurité « Favoriser la simplicité ».

Les pare-feu et les systèmes WAF sont des contrôles de sécurité de base importants pour protéger les applications contre le trafic malveillant, mais leur mise en place et leur maintenance peuvent être complexes et consommer une grande partie du temps et de l’attention de l’équipe en charge de la sécurité (comme pour l’installation de pièces de rechange personnalisées sur une voiture). Les fonctions natives d’Azure peuvent simplifier la mise en œuvre et le fonctionnement des pare-feu, des pare-feu d’applications web, des mesures d’atténuation DDoS (Distributed Denial of Service) et plus encore.

Cette pratique permet à votre équipe de passer moins de temps sur les tâches de sécurité de grande importance comme :

  • L’évaluation de la sécurité des services Azure
  • L’automatisation des opérations de sécurité
  • L’intégration de la sécurité aux applications et aux solutions informatiques

Qui ?

  • Parrainage : La direction de la sécurité ou la direction informatique parraine généralement la mise à jour de la stratégie de sécurité du réseau.
  • Exécution : l’intégration de ces éléments à votre stratégie de sécurité du réseau cloud est un effort conjoint qui implique les ressources suivantes :
    • Architecture de la sécurité : mettez en place une architecture de sécurité réseau cloud avec les responsables du cloud réseau et de la sécurité du réseau cloud.
    • Responsables du réseau cloud Opérations informatiques centrales et Responsables de la sécurité du réseau cloud Équipe en charge de la sécurité de l’infrastructure
      • Établissez une architecture de sécurité du réseau cloud avec les architectes de sécurité.
      • Configurez les fonctionnalités de pare-feu, NSG et WAF, et collaborer avec des architectes d’applications sur les règles WAF.
    • Architectes d’applications : collaborez avec l’équipe en charge de la sécurité réseau pour définir et affiner les jeux de règles WAF et les configurations DDoS afin de protéger l’application sans perturber la disponibilité

Comment faire ?

Les organisations qui souhaitent simplifier leurs opérations ont deux options :

  • Étendre les capacités et les architectures existantes : De nombreuses organisations choisissent souvent d'étendre l'utilisation des capacités de pare-feu existantes afin de pouvoir capitaliser sur les investissements existants dans l'intégration des compétences et des processus, en particulier lorsqu'elles adoptent le cloud pour la première fois.
  • Appliquer des contrôles de sécurité natifs : de plus en plus d’organisations préfèrent utiliser des contrôles natifs pour éviter la complexité de l’intégration de capacités tierces. Ces organisations cherchent généralement à éviter le risque d'une mauvaise configuration de l'équilibrage de charge, des routes définies par l'utilisateur, du pare-feu ou du WAF lui-même, ainsi que les retards dans les transferts entre les différentes équipes techniques. Cette option est intéressante pour les organisations qui suivent des approches « Infrastructure as code », car elles peuvent automatiser et instrumenter les capacités intégrées plus facilement que les capacités tierces.

La documentation sur les capacités de sécurité du réseau natif Azure est disponible à l'adresse suivante :

La Place de marché Azure regroupe de nombreux fournisseurs de pare-feu tiers.

Pour plus d’informations, consultez la protection DDOS et la protection avec un pare-feu d’applications web d’Azure Security Benchmark.

8. Technologie : Intégrer la détection native des menaces

Simplifiez la détection et la réponse des attaques contre les systèmes et données Azure.

Quoi ?

Simplifiez votre stratégie de détection et de réponse aux menaces en intégrant des capacités natives de détection des menaces dans vos opérations de sécurité et dans le système SIEM.

Pourquoi ?

L’objectif des opérations de sécurité est de réduire l’impact des attaquants actifs qui ont accès à l’environnement. L’impact est mesuré en termes de temps moyen pour accuser réception (MTTA) et résoudre les incidents (MTTR). Cette pratique nécessite à la fois la précision et la vitesse de tous les éléments de réponse aux incidents. Le résultat permet de garantir la qualité des outils et l’efficacité de l’exécution des processus.

Il est difficile de détecter des menaces élevées à l’aide des approches et outils existants. Les outils et les approches sont conçus pour la détection des menaces locales en raison des différences que présente la technologie cloud et du rythme rapide auquel elle évolue. Les détections intégrées en natif fournissent des solutions à l'échelle industrielle maintenues par les fournisseurs de cloud qui peuvent suivre les menaces actuelles et les changements de plateforme de cloud.

Ces solutions natives permettent aux équipes des opérations de sécurité de se concentrer sur l’investigation et la correction des incidents. Concentrez-vous sur ces éléments au lieu de perdre du temps en créant des alertes à partir de données de journal inconnues, d’outils d’intégration et de tâches de maintenance.

Qui ?

Cette solution est généralement gérée par l’équipe Opérations de sécurité.

  • Parrainage : cette tâche est généralement assurée par le directeur des opérations de sécurité ou fonction équivalente.
  • Exécution : l’intégration de la détection native des menaces est un travail collaboratif impliquant les solutions suivantes :
    • Opérations de sécurité : intégrer des alertes dans les processus SIEM et les processus d’investigation des incidents. L’équipe des opérations de sécurité peut expliquer aux analystes les alertes cloud et leur signification, et leur expliquer comment utiliser les outils cloud natifs.
    • Préparation aux incidents : intégrer les incidents liés au cloud aux exercices d’entraînement et veiller à ce que ces exercices soient effectivement menés afin de préparer les équipes.
    • Renseignement sur les menaces : rechercher et intégrer les informations sur les attaques dans le cloud pour fournir le contexte et les informations nécessaires aux équipes.
    • Architecture de la sécurité : intégrer les outils natifs à la documentation de l’architecture de sécurité.
    • Stratégie et normes : Définir des normes et une stratégie pour permettre la mise en œuvre d'outils natifs dans toute l'organisation. Garantir la conformité.
    • Infrastructure et points de terminaison et opérations informatiques centrales : Configurer et activer les détections, intégrer dans les solutions d'automatisation et d'infrastructure as code

Comment faire ?

Activez la détection des menaces dans Microsoft Defender pour le cloud pour toutes les ressources que vous utilisez, et demandez à chaque équipe de les intégrer à ses processus, comme décrit ci-dessus.

Pour plus d'informations, consultez le document Azure Security Benchmark sur la détection des menaces pour les ressources Azure.

9. Architecture : Normaliser en utilisant un répertoire et une identité uniques

Personne ne veut avoir affaire à plusieurs identités et répertoires.

Quoi ?

Standardisation sur un seul répertoire Microsoft Entra. Vous pouvez normaliser une identité unique pour chaque application et pour chaque utilisateur dans Azure.

Remarque

Cette meilleure pratique se réfère spécifiquement aux ressources d'entreprise. Pour les comptes de partenaires, utilisez Microsoft Entra B2B afin de ne pas avoir à créer et à gérer des comptes dans votre annuaire. Pour les comptes client ou citoyen, gérez-les avec Azure AD B2C.

Pourquoi ?

Plusieurs comptes et répertoires d’identité créent des frictions inutiles, ce qui crée une confusion dans les flux de travail quotidiens pour :

  • Utilisateurs de productivité
  • Développeurs
  • Administrateurs informatiques et administrateurs des identités
  • Analystes de sécurité
  • Autres rôles

Le fait d’avoir à gérer plusieurs comptes et annuaires favorise l’utilisation de pratiques de sécurité faibles. Ces pratiques incluent notamment la réutilisation des mots de passe pour les comptes. Cela augmente la probabilité de comptes obsolètes ou abandonnés que les attaquants peuvent prendre comme cibles.

S’il semble parfois plus facile de mettre en place rapidement un annuaire LDAP personnalisé pour une application ou une charge de travail particulière, cela nécessite beaucoup plus de travail d’intégration et de gestion. Cela équivaut à choisir de configurer un locataire Azure supplémentaire ou une forêt Active Directory locale plutôt que d’utiliser le locataire d’entreprise existant. Pour plus d’informations, consultez Principe de sécurité basé sur la simplicité.

Qui ?

La standardisation sur un seul répertoire Microsoft Entra est souvent un effort de plusieurs équipes. Cette tâche est menée par les équipes Architecture de la sécurité ou Gestion des identités et des clés.

  • Parrainage : les équipes Gestion des identités et des clés et Architecture de la sécurité assurent généralement cette tâche. Toutefois, dans certaines organisations, elle peut être assurée par le responsable de la sécurité des systèmes d’information ou le directeur informatique.
  • Exécution : il s’agit d’un travail collaboratif impliquant les ressources suivantes :

Comment faire ?

Adoptez une approche pragmatique qui commence par les nouvelles fonctionnalités Greenfield. Ensuite, éliminez toutes les difficultés liées au Brownfield des applications et services existants en tant qu’exercice complémentaire :

  • Greenfield : établir et implémenter une stratégie claire selon laquelle toute identité d’entreprise peut utiliser un seul annuaire Microsoft Entra avec un seul compte pour chaque utilisateur.

  • Brownfield : De nombreuses organisations utilisent souvent plusieurs répertoires et systèmes d'identité hérités. Corrigez ces éléments hérités lorsque le coût des problèmes de gestion dépasse l’investissement nécessaire à leur nettoyage. Même si les solutions de synchronisation et de gestion des identités peuvent atténuer certains de ces problèmes, elles ne disposent pas d’une intégration profonde des fonctionnalités de sécurité et de productivité. Ces fonctionnalités apportent une expérience fluide aux utilisateurs, aux administrateurs et aux développeurs.

Le moment idéal pour combiner votre utilisation de l’identité se situe pendant les cycles de développement des applications, lorsque vous :

  • modernisez des applications pour le cloud ;
  • mettez à jour des applications cloud avec des processus de DevOps.

Bien qu’il existe des raisons valables d’utiliser un annuaire distinct pour des unités commerciales ou des exigences réglementaires, vous devez éviter d’utiliser plusieurs annuaires dans toutes les autres situations.

Pour plus d'informations, consultez l’Azure Security Benchmark Système central d'identité et d'authentification de Microsoft Entra.

Important

La seule exception à la règle des comptes uniques est que les utilisateurs privilégiés, notamment les administrateurs informatiques et les analystes de sécurité, peuvent disposer de comptes distincts pour les tâches d'utilisateur standard par rapport aux tâches administratives.

Pour plus d’informations, consultez le benchmark de sécurité Azure Accès privilégié.

10. Architecture : Utiliser un contrôle d'accès basé sur l'identité plutôt que sur des clés

Quoi ?

Utilisez les identités Microsoft Entra au lieu de l'authentification par clé dans la mesure du possible. Par exemple, les services Azure, les applications, les API.

Pourquoi ?

L’authentification basée sur les clés peut être utilisée pour s’authentifier auprès des services cloud et des API. Toutefois, cela nécessite de gérer les clés de façon sécurisée, ce qui est très difficile à réaliser, en particulier à grande échelle. Pour les professionnels non spécialistes de la sécurité, comme les développeurs et les spécialistes de l’infrastructure, il est difficile de gérer les clés de manière sécurisée. Il arrive donc souvent qu’ils compromettent la sécurité de l’organisation.

L’authentification basée sur l’identité permet de surmonter un grand nombre de difficultés liées aux fonctionnalités matures. Ces fonctionnalités incluent la rotation des secrets, la gestion du cycle de vie, la délégation administrative, etc.

Qui ?

L’implémentation du contrôle d’accès basé sur l’identité implique souvent plusieurs équipes. Cette tâche est menée par les équipes Architecture de la sécurité ou Gestion des identités et des clés.

  • Parrainage : cette tâche est généralement assurée par l’équipe Architecture de la sécurité ou Gestion des identités et des clés (ou par le responsable de la sécurité des systèmes d’information/directeur informatique, dans certaines organisations).
  • Exécution : il s’agit d’un travail collaboratif impliquant les équipes suivantes :

Comment faire ?

Définir une préférence organisationnelle et utiliser l’authentification basée sur l’identité requiert la mise en œuvre d’un processus et d’une technologie.

Le processus

  1. Définir une stratégie et des normes qui décrivent clairement l’authentification basée sur l’identité par défaut, ainsi que les exceptions acceptables.
  2. Former les développeurs et les équipes en charge de l’infrastructure sur la raison d’adopter la nouvelle approche, ce qu’ils doivent faire et comment procéder.
  3. Mettez en œuvre les changements de manière pragmatique en commençant par les nouvelles capacités vertes adoptées aujourd'hui et à l'avenir, telles que les nouveaux services Azure et les nouvelles applications, puis en procédant à un nettoyage des configurations existantes.
  4. Garantir la conformité et effectuer un suivi auprès des équipes de développement et d’infrastructure pour résoudre les problèmes.

Les technologies

pour les comptes non humains tels que les services ou l’automatisation, utilisez des identités managées. Les identités gérées par Azure peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Microsoft Entra. L’authentification est activée à l’aide de règles d’octroi d’accès prédéfinies, évitant les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

Pour les services qui ne prennent pas en charge les identités managées, utilisez plutôt Microsoft Entra ID pour créer un principal de service avec des autorisations restreintes au niveau de la ressource. Vous devez configurer les principaux services avec les informations d'identification du certificat et le repli sur les secrets du client. Dans les deux cas, Azure Key Vault peut être utilisé avec des identités gérées par Azure, afin que l’environnement d’exécution, par exemple, une fonction Azure, puisse récupérer les informations d’identification du coffre de clés.

Pour plus d'informations, voir les identités de l'application Azure Security Benchmark.

11. Architecture : Définir une stratégie de sécurité unique et unifiée

Tout le monde doit ramer dans la même direction pour que le bateau puisse avancer.

Quoi ?

S'assurer que toutes les équipes sont alignées sur une stratégie unique qui permet et sécurise les systèmes et les données de l'entreprise.

Pourquoi ?

Lorsque les équipes travaillent de manière isolée sans être alignées sur une stratégie commune, leurs actions individuelles peuvent affaiblir les efforts de chacune d’elles. L’absence d’alignement peut créer des frictions inutiles qui ralentissent la progression des objectifs de tout le monde.

Un exemple de situation dans laquelle des équipes travaillent de façon isolée est la segmentation des ressources, que l’on constate souvent dans de nombreuses organisations :

  • Sécurité réseau : développe une stratégie de segmentation pour un réseau à plat. Cette stratégie accroît la sécurité, en se basant souvent sur les sites physiques, les adresses/plages d’adresses IP attribuées, ou des éléments similaires.
  • L’équipe chargée des identités : développe une stratégie pour les groupes et les unités organisationnelles Active Directory, basée sur sa compréhension et sa connaissance de l’organisation.
  • Les équipes chargées des applications : ces équipes ont du mal à travailler avec ces systèmes. Ceci est dû au fait qu’ils ont été conçus avec des entrées restreintes et une compréhension limitée des opérations, des objectifs et des risques de l’entreprise.

Dans les organisations qui connaissent cette limitation, les équipes rencontrent souvent des conflits par rapport aux exceptions de pare-feu. Les conflits peuvent avoir un impact négatif sur la sécurité, car les équipes approuvent les exceptions. La productivité a un impact négatif sur la sécurité, car les déploiements ralentissent la fonctionnalité des applications dont l’entreprise a besoin.

Alors que la sécurité peut créer des frictions saines en forçant la pensée critique, ce conflit ne fait que créer des frictions malsaines qui entravent les objectifs. Pour plus d’informations, consultez guide de la stratégie de sécurité.

Qui ?

  • Parrainage : la stratégie unifiée est généralement créée conjointement par le directeur informatique, le responsable de la sécurité des systèmes d’information et le directeur technique. Le parrainage est souvent fourni avec le soutien des responsables commerciaux pour certains éléments de haut niveau. En outre, il est pris en charge par les représentants de chaque équipe.
  • Exécution : la stratégie de sécurité doit être implémentée par tout le monde. Celle-ci intègre les données de différentes équipes afin d’augmenter la propriété, l’achat et la probabilité de réussite.
    • Architecture de sécurité : cette équipe dirige l’effort de création d’une stratégie de sécurité et de l’architecture résultante. L’architecture de sécurité recueille activement les commentaires des équipes et les documente dans des présentations, des documents et des diagrammes destinés à différents publics.
    • Stratégie et normes : cette équipe capture les éléments appropriés dans des normes et des stratégies, puis elle monitore leur conformité.
    • Toutes les équipes techniques de l'informatique et de la sécurité : Ces équipes fournissent des exigences d'entrée, puis s'alignent sur la stratégie de l'entreprise et la mettent en œuvre.
    • Propriétaires et développeurs d’applications : ces équipes lisent et comprennent les documents stratégiques qui les concernent. Idéalement, les conseils sont adaptés à leur rôle.

Comment faire ?

Élaborer et mettre en œuvre une stratégie de sécurité pour le cloud qui inclut les données saisies et la participation active de toutes les équipes. Même si le format de la documentation de processus peut varier, celle-ci comprend toujours les éléments suivants :

  • Données actives des équipes : en général, les stratégies échouent si les membres de l’organisation n’y adhèrent pas. Idéalement, réunissez toutes les équipes dans la même pièce afin qu'elles participent à l'élaboration de la stratégie. Dans les ateliers que nous organisons avec nos clients, nous constatons souvent que les organisations fonctionnent de facto en silos et que ces réunions sont souvent l’occasion pour les intervenants de se rencontrer pour la première fois. Nous constatons également que l’inclusivité est indispensable. Si certaines équipes ne sont pas invitées, cette réunion devra être organisée plusieurs fois, jusqu’à ce que toutes les équipes y participent. Si ce n’est pas le cas, le projet ne progressera pas.
  • Documentation et communication claires : toutes les équipes doivent avoir connaissance de la stratégie de sécurité. Dans l’idéal, la stratégie de sécurité doit être un composant de sécurité de la stratégie technologique globale. Cette stratégie doit comprendre la raison pour laquelle la sécurité doit être intégrée, ce qui est important dans la sécurité et ce à quoi ressemble une sécurité réussie. Cette stratégie inclut des conseils spécifiques destinés aux équipes d’application et de développement afin qu’elles puissent obtenir des conseils clairs et organisés, sans avoir à lire des informations qui ne les concernent pas.
  • Stables mais flexibles : les stratégies doivent rester relativement cohérentes et stables. Cependant, les architectures et la documentation peuvent nécessiter des changements pour ajouter plus de clarté et tenir compte de la nature dynamique du cloud. Par exemple, le filtrage du trafic externe malveillant restera un impératif stratégique constant, même si vous passez de l’utilisation d’un pare-feu tiers de nouvelle génération au Pare-feu Azure, et que vous ajustez les schémas et les instructions sur la façon de procéder.
  • Commencez par la segmentation : il existe des problèmes de stratégie à la fois importants et petits à résoudre, mais vous devez commencer quelque part. Commencez la stratégie de sécurité par la segmentation des actifs de l'entreprise. Cette segmentation est une décision fondamentale qu’il sera difficile de modifier par la suite, et qui nécessite aussi bien l’implication des équipes commerciales que des nombreuses équipes techniques.

Microsoft a publié une vidéo de conseils concernant l’application d’une stratégie de segmentation dans Azure. Des documents ont été publiés à propos de la segmentation d’entreprise et de l’alignement de la sécurité réseau sur cette segmentation.

Le Cloud Adoption Framework comprend des conseils pour aider vos équipes lors des tâches suivantes :

Pour plus d'informations, consultez la stratégie de gouvernance d'Azure Security Benchmark .