Contrôle de sécurité : accès privilégié
L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : assurez-vous d’identifier tous les comptes à impact élevé sur l’entreprise. Limitez le nombre de comptes privilégiés/administratifs dans le plan de contrôle, le plan de gestion et le plan de données/charges de travail de votre cloud.
Conseils Azure : Vous devez sécuriser tous les rôles avec un accès administratif direct ou indirect aux ressources hébergées azure.
Azure Active Directory (Azure AD) est le service centralisé de gestion des identités et des accès par défaut d’Azure. Les rôles intégrés les plus critiques dans Azure AD sont ceux d’Administrateur général et d’Administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer les rôles administrateur. Avec ces privilèges, les utilisateurs peuvent lire et modifier directement ou indirectement chaque ressource dans votre environnement Azure :
- Administrateur général/Administrateur d’entreprise : les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration dans Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.
- Administrateur de rôle privilégié : Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Azure AD et Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.
En dehors d’Azure AD, Azure dispose de rôles intégrés qui peuvent être critiques pour l’accès privilégié au niveau des ressources.
- Propriétaire : garantit un accès total pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC.
- Contributeur : Accorde un accès total pour gérer toutes les ressources, mais ne vous permet pas d’affecter des rôles dans Azure RBAC, de gérer des affectations dans Azure Blueprints ou de partager des galeries d’images.
- Administrateur de l’accès utilisateur : permet de gérer l’accès des utilisateurs aux ressources Azure.
Remarque : vous pouvez avoir d’autres rôles critiques qui doivent être régis si vous utilisez des rôles personnalisés au niveau d’Azure AD ou de la ressource avec certaines autorisations privilégiées affectées.
En outre, les utilisateurs disposant des trois rôles suivants dans le portail Azure Accord Entreprise (EA) doivent également être restreints, car ils peuvent être utilisés pour gérer directement ou indirectement des abonnements Azure.
- Propriétaire du compte : les utilisateurs disposant de ce rôle peuvent gérer les abonnements, y compris la création et la suppression d’abonnements.
- Administrateur d’entreprise : les utilisateurs affectés à ce rôle peuvent gérer les utilisateurs du portail (EA).
- Administrateur de service : les utilisateurs affectés à ce rôle peuvent changer de propriétaires de compte au sein du service.
Enfin, veillez à restreindre également les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui disposent d’un accès administratif à vos ressources critiques pour l’entreprise, tels que les contrôleurs de domaine Active Directory , les outils de sécurité et les outils de gestion système avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromettent ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources stratégiques de l’entreprise.
Implémentation Azure et contexte supplémentaire :
- Autorisations de rôle Administrateur dans Azure AD
- Utiliser les alertes de sécurité Azure Privileged Identity Management
- Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD
Conseils AWS : Vous devez sécuriser tous les rôles avec un accès administratif direct ou indirect aux ressources hébergées AWS.
Les utilisateurs privilégiés/administratifs doivent être sécurisés :
- Utilisateur racine : l’utilisateur racine est le plus haut niveau de comptes privilégiés de votre compte AWS. Les comptes racine doivent être très restreints et utilisés uniquement en situation d’urgence. Reportez-vous aux contrôles d’accès d’urgence dans PA-5 (Configurer l’accès d’urgence).
- Identités IAM (utilisateurs, groupes, rôles) avec la stratégie d’autorisation privilégiée : les identités IAM affectées avec une stratégie d’autorisation telle qu’AdministratorAccess peuvent avoir un accès complet aux services et ressources AWS.
Si vous utilisez Azure Active Directory (Azure AD) comme fournisseur d’identité pour AWS, reportez-vous aux conseils Azure pour la gestion des rôles privilégiés dans Azure AD.
Veillez également à restreindre les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui disposent d’un accès administratif à vos ressources critiques pour l’entreprise, comme AWS Cognito, les outils de sécurité et les outils de gestion système avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromettent ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources stratégiques de l’entreprise.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Vous devez sécuriser tous les rôles avec un accès administratif direct ou indirect aux ressources hébergées GCP.
Le rôle intégré le plus critique dans Google Cloud est le super administrateur. Le super administrateur peut effectuer toutes les tâches dans la console Administration et dispose d’autorisations administratives irrévocables. Il est déconseillé d’utiliser le compte super administrateur pour l’administration quotidienne.
Les rôles de base sont des rôles hérités hautement permissifs et il est recommandé que les rôles de base ne soient pas utilisés dans les environnements de production, car ils accordent un large accès à toutes les ressources Google Cloud. Les rôles de base incluent les rôles Visionneuse, Éditeur et Propriétaire. Il est plutôt recommandé d’utiliser des rôles prédéfinis ou personnalisés. Les rôles prédéfinis privilégiés notables sont les suivants :
- Administrateur d’organisation : les utilisateurs disposant de ce rôle peuvent gérer les stratégies IAM et afficher les stratégies organization pour les organisations, les dossiers et les projets.
- Administrateur de stratégie d’organisation : les utilisateurs disposant de ce rôle peuvent définir les restrictions qu’un organization souhaite placer sur la configuration des ressources cloud en définissant les stratégies d’organisation.
- Administrateur de rôle d’organisation : les utilisateurs disposant de ce rôle peuvent administrer tous les rôles personnalisés dans le organization et les projets situés sous celui-ci.
- Administration de sécurité : les utilisateurs disposant de ce rôle peuvent obtenir et définir n’importe quelle stratégie IAM.
- Refuser Administration : les utilisateurs disposant de ce rôle sont autorisés à lire et à modifier les stratégies de refus IAM.
En outre, certains rôles prédéfinis contiennent des autorisations IAM privilégiées au niveau de l’organization, du dossier et du projet. Ces autorisations IAM sont les suivantes :
- organizationAdmin
- dossierIAMAdmin
- projectIAMAdmin
En outre, implémentez la séparation des tâches en attribuant des rôles à des comptes pour différents projets ou en tirant parti de l’autorisation binaire avec Google Kubernetes Engine.
Enfin, veillez à restreindre également les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui disposent d’un accès administratif à vos ressources critiques pour l’entreprise, tels que le DNS cloud, les outils de sécurité et les outils de gestion système avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromettent ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources stratégiques de l’entreprise.
Implémentation GCP et contexte supplémentaire :
- Bonnes pratiques relatives aux comptes super administrateur
- Référence des rôles de base et prédéfinis IAM
- Séparation des tâches et rôles Gestion des identités et des accès
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Architecture de la sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-2 : Éviter l’accès permanent aux comptes et autorisations utilisateurs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : au lieu de créer des privilèges permanents, utilisez le mécanisme juste-à-temps (JIT) pour attribuer un accès privilégié aux différents niveaux de ressources.
Conseils Azure : Activez l’accès privilégié juste-à-temps (JIT) aux ressources Azure et à Azure AD à l’aide d’Azure AD Privileged Identity Management (PIM). JAT est un modèle où les utilisateurs reçoivent des autorisations temporaires pour effectuer des tâches privilégiées. De cette façon, les utilisateurs malveillants ou non autorisés ne peuvent pas accéder aux ressources une fois que les autorisations ont expiré. L’accès est accordé uniquement au moment où les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.
Limitez le trafic entrant à vos ports de gestion des machines virtuelles sensibles grâce à Microsoft Defender pour le cloud et sa fonctionnalité d’accès juste-à-temps (JAT) pour les machines virtuelles. Cela garantit que l’accès privilégié à la machine virtuelle n’est accordé que lorsque les utilisateurs en ont besoin.
Implémentation Azure et contexte supplémentaire :
- Déploiement de l’accès juste-à-temps Azure PIM
- Fonctionnement de l’accès aux machines virtuelles juste-à-temps (JAT)
Conseils AWS : Utilisez AWS Security Token Service (AWS STS) pour créer des informations d’identification de sécurité temporaires afin d’accéder aux ressources via l’API AWS. Les informations d’identification de sécurité temporaires fonctionnent presque de la même manière que les informations d’identification de clé d’accès à long terme que vos utilisateurs IAM peuvent utiliser, avec les différences suivantes :
- Les informations d’identification de sécurité temporaires ont une durée de vie à court terme, de minutes à heures.
- Les informations d’identification de sécurité temporaires ne sont pas stockées avec l’utilisateur, mais sont générées dynamiquement et fournies à l’utilisateur lorsque cela est demandé.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez l’accès conditionnel IAM pour créer un accès temporaire aux ressources à l’aide de liaisons de rôle conditionnel dans les stratégies d’autorisation, qui est accordé aux utilisateurs Cloud Identity. Configurez des attributs de date/heure pour appliquer des contrôles basés sur le temps pour accéder à une ressource particulière. L’accès temporaire peut avoir une durée de vie à court terme, de minutes à heures, ou peut être accordé en fonction de jours ou d’heures de la semaine.
Implémentation GCP et contexte supplémentaire :
- Vue d’ensemble des conditions IAM
- Configurer l’accès temporaire
- Vue d’ensemble d’Access Context Manager
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Architecture de la sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-3 : Gérer le cycle de vie des identités et des droits d'utilisation
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : utilisez un processus automatisé ou un contrôle technique pour gérer le cycle de vie de l’identité et de l’accès, y compris la demande, la révision, l’approbation, l’approvisionnement et le déprovisionnement.
Conseils Azure : Utilisez les fonctionnalités de gestion des droits d’utilisation Azure AD pour automatiser les flux de travail de demande d’accès (pour les groupes de ressources Azure). Cela permet aux workflows des groupes de ressources Azure de gérer les affectations d’accès, les révisions, l’expiration et l’approbation à deux ou plusieurs niveaux.
Utilisez La gestion des autorisations pour détecter, dimensionner automatiquement et surveiller en permanence les autorisations inutilisées et excessives attribuées aux identités des utilisateurs et des charges de travail dans des infrastructures multicloud.
Implémentation Azure et contexte supplémentaire :
- Présentation des révisions d’accès Azure AD
- Présentation de la gestion des droits d’utilisation Azure AD
- Vue d’ensemble de La gestion des autorisations
Conseils AWS : Utilisez AWS Access Advisor pour extraire les journaux d’accès pour les comptes d’utilisateur et les droits pour les ressources. Créez un workflow manuel ou automatisé à intégrer à AWS IAM pour gérer les attributions d’accès, les révisions et les suppressions.
Remarque : Il existe des solutions tierces disponibles sur la Place de marché AWS pour gérer le cycle de vie des identités et des droits.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez les journaux d’audit cloud de Google pour extraire l’activité d’administrateur et les journaux d’audit d’accès aux données pour les comptes d’utilisateur et les droits pour les ressources. Créez un workflow manuel ou automatisé à intégrer à GCP IAM pour gérer les attributions d’accès, les révisions et les suppressions.
Utilisez Google Cloud Identity Premium pour fournir les principaux services de gestion des identités et des appareils. Ces services incluent des fonctionnalités telles que l’approvisionnement automatisé des utilisateurs, la mise en liste verte des applications et la gestion automatisée des appareils mobiles.
Remarque : Il existe des solutions tierces disponibles sur la Place de marché Google Cloud pour gérer le cycle de vie des identités et des droits.
Implémentation GCP et contexte supplémentaire :
- IAM Access Advisor
- Identité cloud et accès Atlassian : gestion du cycle de vie des utilisateurs dans votre organization
- Octroi et révocation de l’accès à l’API
- Révoquer l’accès à un projet Google Cloud
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-4 : Examiner et rapprocher régulièrement les accès utilisateur
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principe de sécurité : effectuez une révision régulière des droits de compte privilégiés. Vérifiez que l’accès accordé aux comptes est valide pour l’administration du plan de contrôle, du plan de gestion et des charges de travail.
Conseils Azure : Passez en revue tous les comptes privilégiés et les droits d’accès dans Azure, y compris les locataires Azure, les services Azure, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion et de sécurité d’entreprise.
Utilisez les révisions d’accès Azure AD pour passer en revue les rôles Azure AD, les rôles d’accès aux ressources Azure, les appartenances aux groupes et l’accès aux applications d’entreprise. La création de rapports Azure AD peut également fournir des journaux pour vous aider à découvrir des comptes obsolètes ou des comptes qui n’ont pas été utilisés pendant un certain temps.
En outre, Azure AD Privileged Identity Management peut être configuré pour alerter en cas de création d’un nombre excessif de comptes administrateur pour un rôle spécifique et pour identifier les comptes administrateur obsolètes ou mal configurés.
Implémentation Azure et contexte supplémentaire :
- Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management (PIM)
- Utilisation des révisions d’accès et des identités Azure AD
Conseils AWS : Passez en revue tous les comptes privilégiés et les droits d’accès dans AWS, y compris les comptes AWS, les services, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion et de sécurité d’entreprise.
Utilisez IAM Access Advisor, Access Analyzer et Credential Reports pour passer en revue les rôles d’accès aux ressources, les appartenances aux groupes et l’accès aux applications d’entreprise. Iam Access Analyzer et rapports d’informations d’identification peuvent également fournir des journaux pour vous aider à découvrir des comptes obsolètes ou des comptes qui n’ont pas été utilisés pendant une certaine période.
Si vous utilisez Azure Active Directory (Azure AD) comme fournisseur d’identité pour AWS, utilisez la révision d’accès Azure AD pour examiner régulièrement les comptes privilégiés et les droits d’accès.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Passez en revue tous les comptes privilégiés et les droits d’accès dans Google Cloud, y compris les comptes d’identité cloud, les services, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion et de sécurité d’entreprise.
Utilisez les journaux d’audit cloud et Policy Analyzer pour passer en revue les rôles d’accès aux ressources et les appartenances aux groupes. Créez des requêtes d’analyse dans Policy Analyzer pour déterminer quels principaux peuvent accéder à des ressources spécifiques.
Si vous utilisez Azure Active Directory (Azure AD) comme fournisseur d’identité pour Google Cloud, utilisez la révision d’accès Azure AD pour passer en revue les comptes privilégiés et les droits d’accès régulièrement.
En outre, Azure AD Privileged Identity Management peut être configuré pour alerter en cas de création d’un nombre excessif de comptes administrateur pour un rôle spécifique et pour identifier les comptes administrateur obsolètes ou mal configurés.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-5 : Configurer l’accès d’urgence
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : configurez l’accès d’urgence pour vous assurer que vous n’êtes pas accidentellement bloqué hors de votre infrastructure cloud critique (comme votre système de gestion des identités et des accès) en cas d’urgence.
Les comptes d’accès d’urgence doivent être utilisés rarement et peuvent être très préjudiciables pour l’organisation en cas de compromission, mais leur disponibilité pour l’organisation revêt une importance capitale pour les quelques scénarios dans lesquels ils sont nécessaires.
Conseils Azure : Pour éviter le verrouillage accidentel de votre organization Azure AD, configurez un compte d’accès d’urgence (par exemple, un compte avec le rôle Administrateur général) pour l’accès lorsque des comptes administratifs normaux ne peuvent pas être utilisés. Les comptes d’accès d’urgence sont généralement hautement privilégiés et ne doivent pas être attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités à des cas d’urgence ou à des scénarios « de secours » où il est impossible d’utiliser des comptes d’administration normaux.
Vous devez vous assurer que les informations d’identification (telles que le mot de passe, le certificat ou la carte à puce) des comptes d’accès d’urgence restent sécurisées et connues des seules personnes autorisées à les utiliser en cas d’urgence. Vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et les attribuer à des personnes distinctes) pour améliorer la sécurité de ce processus. Vous devez également surveiller les journaux de connexion et d’audit pour vous assurer que les comptes d’accès d’urgence ne sont utilisés que lorsqu’ils sont autorisés.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Les comptes « racine » AWS ne doivent pas être utilisés pour les tâches d’administration régulières. Comme le compte « racine » est hautement privilégié, il ne doit pas être affecté à des personnes spécifiques. Son utilisation doit être limitée uniquement aux scénarios d’urgence ou de « cassage » lorsque les comptes d’administration normaux ne peuvent pas être utilisés. Pour les tâches d’administration quotidiennes, des comptes d’utilisateurs privilégiés distincts doivent être utilisés et affectés aux autorisations appropriées via des rôles IAM.
Vous devez également vous assurer que les informations d’identification (telles que le mot de passe, les jetons MFA et les clés d’accès) des comptes racines sont conservées en sécurité et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence. L’authentification multifacteur doit être activée pour le compte racine, et vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et les attribuer à des personnes distinctes) pour améliorer la sécurité de ce processus.
Vous devez également surveiller les journaux de connexion et d’audit dans CloudTrail ou EventBridge pour vous assurer que les comptes d’accès racine sont utilisés uniquement lorsqu’ils sont autorisés.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Les comptes de super administrateur Google Cloud Identity ne doivent pas être utilisés pour les tâches d’administration régulières. Comme le compte super administrateur est hautement privilégié, il ne doit pas être affecté à des personnes spécifiques. Son utilisation doit être limitée uniquement aux scénarios d’urgence ou de « cassage » lorsque les comptes d’administration normaux ne peuvent pas être utilisés. Pour les tâches d’administration quotidiennes, des comptes d’utilisateurs privilégiés distincts doivent être utilisés et affectés aux autorisations appropriées via des rôles IAM.
Vous devez également vous assurer que les informations d’identification (telles que le mot de passe, les jetons MFA et les clés d’accès) pour les comptes super administrateurs sont sécurisées et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence. L’authentification multifacteur doit être activée pour le compte super administrateur, et vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et les attribuer à des personnes distinctes) pour améliorer la sécurité de ce processus.
Vous devez également surveiller les journaux de connexion et d’audit dans les journaux d’audit cloud, ou interroger Policy Analyzer pour vous assurer que les comptes de super administrateur sont utilisés uniquement lorsqu’ils sont autorisés.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Opérations de sécurité (SecOps)
PA-6 : Utiliser des stations de travail d’accès privilégié
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/A |
Principe de sécurité : Les stations de travail isolées et sécurisées sont d’une importance cruciale pour la sécurité des rôles sensibles tels que l’administrateur, le développeur et l’opérateur de service critique.
Conseils Azure : Utilisez Azure Active Directory, Microsoft Defender et/ou Microsoft Intune pour déployer des stations de travail d’accès privilégié (PAW) locales ou dans Azure pour des tâches privilégiées. Les stations de travail à accès privilégié doivent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles, et un accès réseau et logique restreint.
Vous pouvez également utiliser Azure Bastion, un service PaaS entièrement géré par une plateforme qui peut être approvisionné à l’intérieur de votre réseau virtuel. Azure Bastion permet la connectivité RDP/SSH à vos machines virtuelles directement à partir du Portail Azure à l’aide d’un navigateur web.
Implémentation Azure et contexte supplémentaire :
- Comprendre les stations de travail d’accès privilégié
- Déploiement de stations de travail à accès privilégié
Conseils AWS : Utilisez Session Manager dans AWS Systems Manager pour créer un chemin d’accès (session de connexion) au instance EC2 ou une session de navigateur aux ressources AWS pour les tâches privilégiées. Le Gestionnaire de session autorise la connectivité RDP, SSH et HTTPS à vos hôtes de destination via le transfert de port.
Vous pouvez également choisir de déployer des stations de travail à accès privilégié (PAW) gérées de manière centralisée via Azure Active Directory, Microsoft Defender et/ou Microsoft Intune. La gestion centrale doit appliquer une configuration sécurisée, notamment une authentification forte, des bases de référence logicielles et matérielles, ainsi qu’un accès logique et réseau restreint.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez Identity-Aware Proxy (IAP) Desktop pour créer un chemin d’accès (une session de connexion) au instance de calcul pour les tâches privilégiées. IAP Desktop permet la connectivité RDP et SSH à vos hôtes de destination via le transfert de port. En outre, les instances de calcul Linux qui sont orientées vers l’extérieur peuvent être connectées via un ssh-in-browser via la console Google Cloud.
Vous pouvez également choisir de déployer des stations de travail à accès privilégié (PAW) gérées de manière centralisée via Google Workspace Endpoint Management ou des solutions Microsoft (Azure Active Directory, Microsoft Defender et/ou Microsoft Intune). La gestion centrale doit appliquer une configuration sécurisée, notamment une authentification forte, des bases de référence logicielles et matérielles, ainsi qu’un accès logique et réseau restreint.
Vous pouvez également créer des hôtes bastion pour sécuriser l’accès aux environnements approuvés avec des paramètres définis.
Implémentation GCP et contexte supplémentaire :
- Connexion sécurisée aux instances de machine virtuelle
- Se connecter à des machines virtuelles Linux à l’aide du proxy Identity-Aware
- Se connecter à des machines virtuelles à l’aide d’un hôte bastion
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevSecOps
- Opérations de sécurité (SecOps)
- Gestion des identités et des clés
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principe de sécurité : suivez le principe juste assez d’administration (privilège minimum) pour gérer les autorisations à un niveau affiné. Utilisez des fonctionnalités, telles que le contrôle d’accès en fonction du rôle (RBAC), pour gérer l’accès aux ressources par le biais des attributions de rôles.
Conseils Azure : Utilisez le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour gérer l’accès aux ressources Azure via des attributions de rôles. Grâce à RBAC, vous pouvez attribuer des rôles à des utilisateurs, des groupes, des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell et le portail Azure.
Les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Les privilèges limités complètent l’approche juste-à-temps (JAT) d’Azure AD Privileged Identity Management (PIM) et ces privilèges doivent être révisés régulièrement. Si nécessaire, vous pouvez également utiliser PIM pour définir une attribution limitée dans le temps, qui est une condition dans une attribution de rôle où un utilisateur peut uniquement activer le rôle dans les dates de début et de fin spécifiées.
Remarque : utilisez les rôles intégrés Azure pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.
Implémentation Azure et contexte supplémentaire :
- Présentation du contrôle d’accès en fonction du rôle Azure (Azure RBAC)
- Configurer le contrôle d'accès en fonction du rôle dans Azure
- Utilisation des révisions d’accès et des identités Azure AD
- Azure AD Privileged Identity Management - Affectation limitée dans le temps
Conseils AWS : Utilisez la stratégie AWS pour gérer l’accès aux ressources AWS. Il existe six types de stratégies : stratégies basées sur les identités, stratégies basées sur les ressources, limites d’autorisations, stratégie de contrôle de service (SCP) AWS Organizations, Access Control List et stratégies de session. Vous pouvez utiliser des stratégies gérées PAR AWS pour les cas d’utilisation courants des autorisations. Toutefois, vous devez garder à l’esprit que les stratégies managées peuvent comporter des autorisations excessives qui ne doivent pas être attribuées aux utilisateurs.
Vous pouvez également utiliser AWS ABAC (contrôle d’accès basé sur les attributs) pour attribuer des autorisations basées sur des attributs (balises) attachés aux ressources IAM, y compris les entités IAM (utilisateurs ou rôles) et les ressources AWS.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez Google Cloud IAM Policy pour gérer l’accès aux ressources GCP via des attributions de rôles. Vous pouvez utiliser les rôles prédéfinis de Google Cloud pour les cas d’utilisation d’autorisations courants. Toutefois, vous devez garder à l’esprit que les rôles prédéfinis peuvent avoir des autorisations excessives qui ne doivent pas être attribuées aux utilisateurs.
En outre, utilisez Policy Intelligence avec iam Recommender pour identifier et supprimer les autorisations excessives des comptes.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Gestion de la posture
- Gestion des identités et des clés
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Principe de sécurité : établissez un processus d’approbation et un chemin d’accès pour demander et approuver des demandes de support fournisseur et un accès temporaire à vos données via un canal sécurisé.
Conseils Azure : Dans les scénarios de support dans lesquels Microsoft doit accéder à vos données, utilisez Customer Lockbox pour examiner et approuver ou rejeter chaque demande d’accès aux données effectuée par Microsoft.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Dans les scénarios de support où les équipes de support AWS doivent accéder à vos données, créez un compte dans le portail AWS Support pour demander de l’aide. Passez en revue les options disponibles, telles que la fourniture d’un accès en lecture seule aux données ou l’option de partage d’écran permettant au support AWS d’accéder à vos données.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Dans les scénarios de support dans lesquels Le service clientèle Google Cloud doit accéder à vos données, utilisez l’approbation d’accès pour examiner et approuver ou rejeter chaque demande d’accès aux données effectuée par le Service clientèle Cloud.
Implémentation gcp et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :