Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’accès privilégié couvre les contrôles destinés à protéger l’accès privilégié à votre abonné et à vos ressources, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : assurez-vous d’identifier tous les comptes à impact commercial élevé. Limitez le nombre de comptes privilégiés/d’administration dans le plan de contrôle, le plan de gestion et le plan de charge de travail de votre cloud.
Conseils Azure : vous devez sécuriser tous les rôles avec un accès administratif direct ou indirect aux ressources hébergées par Azure.
Azure Active Directory (Azure AD) est le service de gestion des identités et des accès par défaut d’Azure. Les rôles intégrés les plus critiques dans Azure AD sont administrateur général et administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer des rôles d’administrateur. Avec ces privilèges, les utilisateurs peuvent lire et modifier directement ou indirectement chaque ressource dans votre environnement Azure :
- Administrateur général / Administrateur d’entreprise : les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration dans Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.
- Administrateur de rôle privilégié : les utilisateurs disposant de ce rôle peuvent gérer les attributions de rôles dans Azure AD, ainsi que dans Azure AD Privileged Identity Management (PIM). En outre, ce rôle permet la gestion de tous les aspects de PIM et d’unités administratives.
En dehors d’Azure AD, Azure a des rôles intégrés qui peuvent être essentiels pour l’accès privilégié au niveau de la ressource.
- Propriétaire : accorde un accès complet pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC.
- Contributeur : accorde un accès complet pour gérer toutes les ressources, mais ne vous permet pas d’attribuer des rôles dans Azure RBAC, de gérer les affectations dans Azure Blueprints ou de partager des galeries d’images.
- Administrateur de l’accès utilisateur : vous permet de gérer l’accès utilisateur aux ressources Azure.
Remarque : Vous pouvez avoir d’autres rôles critiques qui doivent être régis si vous utilisez des rôles personnalisés dans le niveau Azure AD ou le niveau de ressource avec certaines autorisations privilégiées affectées.
En outre, les utilisateurs disposant des trois rôles suivants dans le portail Contrat Entreprise Azure (EA) doivent également être limités, car ils peuvent être utilisés pour gérer directement ou indirectement des abonnements Azure.
- Propriétaire du compte : les utilisateurs disposant de ce rôle peuvent gérer les abonnements, y compris la création et la suppression d’abonnements.
- Administrateur d’entreprise : les utilisateurs affectés à ce rôle peuvent gérer les utilisateurs du portail EA.
- Administrateur de service : les utilisateurs affectés à ce rôle peuvent modifier les propriétaires de compte au sein du service.
Enfin, vérifiez que vous limitez également les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui ont un accès administratif à vos ressources critiques pour l’entreprise, telles que les contrôleurs de domaine Active Directory (DCS), les outils de sécurité et les outils de gestion des systèmes avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromissaient ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources critiques de l’entreprise.
Implémentation Azure et contexte supplémentaire :
- Autorisations de rôle d’administrateur dans Azure AD
- Utiliser des alertes de sécurité Azure Privileged Identity Management
- Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD
Conseils AWS : vous devez sécuriser tous les rôles avec un accès administratif direct ou indirect aux ressources hébergées par AWS.
Les utilisateurs privilégiés/administratifs doivent être sécurisés :
- Utilisateur racine : l’utilisateur racine est le compte privilégié le plus élevé dans votre compte AWS. Les comptes racines doivent être très restreints et utilisés uniquement en cas d’urgence. Reportez-vous aux contrôles d’accès d’urgence dans PA-5 (Configurer l’accès d’urgence).
- Identités IAM (utilisateurs, groupes, rôles) avec la stratégie d’autorisation privilégiée : les identités IAM affectées avec une stratégie d’autorisation telle que AdministratorAccess peuvent avoir un accès complet aux services et ressources AWS.
Si vous utilisez Azure Active Directory (Azure AD) comme fournisseur d’identité pour AWS, reportez-vous aux instructions Azure pour la gestion des rôles privilégiés dans Azure AD.
Vérifiez que vous limitez également les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui disposent d’un accès administratif à vos ressources critiques pour l’entreprise, tels que AWS Cognito, les outils de sécurité et les outils de gestion des systèmes avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromissaient ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources critiques de l’entreprise.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : vous devez sécuriser tous les rôles avec un accès administratif direct ou indirect aux ressources hébergées par GCP.
Le rôle intégré le plus critique dans Google Cloud est le super administrateur. Le super administrateur peut effectuer toutes les tâches dans la console d’administration et dispose d’autorisations administratives irréversibles. Il est déconseillé d’utiliser le compte super administrateur pour l’administration quotidienne.
Les rôles de base sont des rôles hérités très permissifs, et il est recommandé que les rôles de base ne soient pas utilisés dans les environnements de production, car il accorde un accès étendu à toutes les ressources Google Cloud. Les rôles de base incluent Visionneuse, Éditeur et Propriétaire. Il est plutôt recommandé d’utiliser des rôles prédéfinis ou personnalisés. Les rôles privilégiés notables prédéfinis sont les suivants :
- Administrateur de l’organisation : les utilisateurs disposant de ce rôle peuvent gérer les stratégies IAM et afficher les stratégies d’organisation pour les organisations, les dossiers et les projets.
- Administrateur de stratégie d’organisation : les utilisateurs disposant de ce rôle peuvent définir les restrictions qu’une organisation souhaite placer sur la configuration des ressources cloud en définissant des stratégies d’organisation.
- Administrateur de rôle d’organisation : les utilisateurs disposant de ce rôle peuvent administrer tous les rôles personnalisés dans l’organisation et les projets ci-dessous.
- Administrateur de sécurité : les utilisateurs disposant de ce rôle peuvent obtenir et définir n’importe quelle stratégie IAM.
- Refuser l’administrateur : les utilisateurs disposant de ce rôle disposent des autorisations nécessaires pour lire et modifier les stratégies de refus IAM.
En outre, certains rôles prédéfinis contiennent des autorisations IAM privilégiées au niveau de l’organisation, du dossier et du projet. Ces autorisations IAM sont les suivantes :
- administrateur d'organisation
- dossierIAMAdmin
- ProjetIAMAdmin
En outre, implémentez la séparation des tâches en affectant des rôles à des comptes pour différents projets ou en tirant parti de l’autorisation binaire avec Google Kubernetes Engine.
Enfin, assurez-vous que vous limitez également les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité disposant d’un accès administratif à vos ressources critiques pour l’entreprise, comme le DNS cloud, les outils de sécurité et les outils de gestion des systèmes avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromissaient ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources critiques de l’entreprise.
Implémentation GCP et contexte supplémentaire :
- Meilleures pratiques relatives au compte Super administrateur
- Informations de référence sur les rôles de base et prédéfinis IAM
- Séparation des tâches et rôles de gestion des identités et des accès
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- architecture de sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-2 : Éviter l’accès permanent pour les comptes d’utilisateur et les autorisations
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : au lieu de créer des privilèges permanents, utilisez le mécanisme juste-à-temps (JIT) pour attribuer un accès privilégié aux différents niveaux de ressources.
Conseils Azure : Activez l’accès privilégié juste-à-temps (JIT) aux ressources Azure et à Azure AD à l’aide d’Azure AD Privileged Identity Management (PIM). JIT est un modèle dans lequel les utilisateurs reçoivent des autorisations temporaires pour effectuer des tâches privilégiées, ce qui empêche les utilisateurs malveillants ou non autorisés d’accéder après l’expiration des autorisations. L’accès est accordé uniquement au moment où les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.
Limitez le trafic entrant vers vos ports de gestion de machines virtuelles sensibles avec la fonctionnalité d’accès juste-à-temps (JIT) de Microsoft Defender pour cloud. Cela garantit que l’accès privilégié à la machine virtuelle est accordé uniquement lorsque les utilisateurs en ont besoin.
Implémentation Azure et contexte supplémentaire :
- Déploiement d’accès juste-à-temps Azure PIM
- Comprendre l'accès aux machines virtuelles juste-à-temps (JIT)
Conseils AWS : Utilisez AWS Security Token Service (AWS STS) pour créer des informations d’identification de sécurité temporaires pour accéder aux ressources via l’API AWS. Les informations d’identification de sécurité temporaires fonctionnent presque de la même façon que les informations d’identification de clé d’accès à long terme que vos utilisateurs IAM peuvent utiliser, avec les différences suivantes :
- Les informations d’identification de sécurité temporaires ont une durée de vie à court terme, de minutes à heures.
- Les informations d’identification de sécurité temporaires ne sont pas stockées avec l’utilisateur, mais sont générées dynamiquement et fournies à l’utilisateur lorsqu’ils sont demandés.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez l’accès conditionnel IAM pour créer un accès temporaire aux ressources à l’aide de liaisons de rôles conditionnels dans les stratégies d’autorisation, qui sont accordées aux utilisateurs Cloud Identity. Configurez les attributs de date/heure pour appliquer des contrôles basés sur le temps pour accéder à une ressource particulière. L’accès temporaire peut avoir une durée de vie à court terme, de minutes à heures, ou peut être accordé en fonction des jours ou des heures de la semaine.
Implémentation GCP et contexte supplémentaire :
- Vue d’ensemble des conditions IAM
- Configurer l’accès temporaire
- Vue d’ensemble du Gestionnaire de contexte d’accès
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- architecture de sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-3 : Gérer le cycle de vie des identités et des droits
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : utilisez un processus automatisé ou un contrôle technique pour gérer le cycle de vie des identités et des accès, notamment la demande, l’examen, l’approbation, l’approvisionnement et la déprovisionnement.
Conseils Azure : Utilisez les fonctionnalités de gestion des droits d’utilisation Azure AD pour automatiser les flux de travail de demande d’accès (pour les groupes de ressources Azure). Cela permet aux flux de travail pour les groupes de ressources Azure de gérer les affectations d’accès, les révisions, l’expiration et l’approbation à deux ou plusieurs étapes.
Utilisez la gestion des autorisations pour détecter, automatiquement la taille appropriée et surveiller en permanence les autorisations inutilisées et excessives affectées aux identités utilisateur et de charge de travail sur les infrastructures multiclouds.
Implémentation Azure et contexte supplémentaire :
- Présentation des révisions d’accès Azure AD
- Qu’est-ce que la gestion des droits d’utilisation Azure AD ?
- Vue d’ensemble de la gestion des autorisations
Conseils AWS : Utilisez AWS Access Advisor pour extraire les journaux des accès des comptes d'utilisateur et les autorisations des ressources. Créez un workflow manuel ou automatisé à intégrer à AWS IAM pour gérer les affectations d’accès, les révisions et les suppressions.
Remarque : Il existe des solutions tierces disponibles sur la Place de marché AWS pour gérer le cycle de vie des identités et des droits.
Implémentation AWS et contexte supplémentaire :
- IAM Access Advisor
- Les solutions AWS Marketplace Identity and Access Management
Conseils GCP : Utilisez les journaux d’audit cloud de Google pour extraire les journaux d’audit d’activité d’administrateur et d’accès aux données pour les comptes d’utilisateur et les droits des ressources. Créez un flux de travail manuel ou automatisé pour l’intégrer à GCP IAM pour gérer les affectations d’accès, les révisions et les suppressions.
Utilisez Google Cloud Identity Premium pour fournir des services de gestion des identités et des appareils de base. Ces services incluent des fonctionnalités telles que l’approvisionnement automatique d’utilisateurs, la mise en liste verte des applications et la gestion automatisée des appareils mobiles.
Remarque : Il existe des solutions tierces disponibles sur Google Cloud Marketplace pour gérer le cycle de vie des identités et des droits d’utilisation.
Implémentation GCP et contexte supplémentaire :
- IAM Access Advisor
- Accès à l’identité cloud et à Atlassian : gestion du cycle de vie des utilisateurs au sein de votre organisation
- Octroi et révocation de l’accès à l’API
- Révoquer l’accès à un projet Google Cloud
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-4 : Réviser et faire des conciliations régulièrement pour l’accès utilisateur
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7,1, 7,2, 8,1, A3,4 |
Principe de sécurité : effectuez un examen régulier des droits de compte privilégiés. Vérifiez que l’accès accordé aux comptes est valide pour l’administration du plan de contrôle, du plan de gestion et des charges de travail.
Conseils Azure : passez en revue tous les comptes privilégiés et les droits d’accès dans Azure, notamment les locataires Azure, les services Azure, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion et de sécurité d’entreprise.
Utilisez les révisions d’accès Azure AD pour passer en revue les rôles Azure AD, les rôles d’accès aux ressources Azure, les appartenances aux groupes et l’accès aux applications d’entreprise. Les rapports Azure AD peuvent également fournir des journaux d’activité pour découvrir des comptes obsolètes ou des comptes qui n’ont pas été utilisés pendant un certain temps.
En outre, Azure AD Privileged Identity Management peut être configuré pour alerter lorsqu’un nombre excessif de comptes d’administrateur est créé pour un rôle spécifique et pour identifier les comptes d’administrateur obsolètes ou mal configurés.
Implémentation Azure et contexte supplémentaire :
- Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management (PIM)
- Comment utiliser les révisions d’identité et d’accès Azure AD
Conseils AWS : Passez en revue tous les comptes privilégiés et les droits d’accès dans AWS, notamment les comptes AWS, les services, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion et de sécurité d’entreprise.
Utilisez IAM Access Advisor, Access Analyzer et Rapports d’informations d’identification pour passer en revue les rôles d’accès aux ressources, les appartenances aux groupes et l’accès aux applications d’entreprise. Les rapports IAM Access Analyzer et les rapports d'informations d'identification peuvent également fournir des journaux pour aider à découvrir des comptes inactifs ou des comptes qui n'ont pas été utilisés depuis un certain temps.
Si vous utilisez Azure Active Directory (Azure AD) comme fournisseur d’identité pour AWS, utilisez la révision d’accès Azure AD pour passer en revue régulièrement les comptes privilégiés et les droits d’accès.
Implémentation AWS et contexte supplémentaire :
- Analyseur d’accès IAM
- Rapport d’informations d’identification
- IAM Access Advisor
Conseils GCP : passez en revue tous les comptes privilégiés et les droits d’accès dans Google Cloud, notamment les comptes d’identité cloud, les services, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion et de sécurité d’entreprise.
Utilisez les journaux d’audit cloud et l’analyseur de stratégie pour passer en revue les rôles d’accès aux ressources et les appartenances aux groupes. Créez des requêtes d’analyse dans Policy Analyzer pour comprendre quels principaux peuvent accéder à des ressources spécifiques.
Si vous utilisez Azure Active Directory (Azure AD) comme fournisseur d’identité pour Google Cloud, utilisez la révision d’accès Azure AD pour passer en revue régulièrement les comptes privilégiés et les droits d’accès.
En outre, Azure AD Privileged Identity Management peut être configuré pour alerter lorsqu’un nombre excessif de comptes d’administrateur est créé pour un rôle spécifique et pour identifier les comptes d’administrateur obsolètes ou mal configurés.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-5 : Configurer l’accès d’urgence
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : configurez l’accès d’urgence pour vous assurer que vous n’êtes pas verrouillé accidentellement hors de votre infrastructure cloud critique (par exemple, votre système de gestion des identités et des accès) en cas d’urgence.
Les comptes d’accès d’urgence doivent être rarement utilisés et peuvent être très nuisibles à l’organisation s’ils sont compromis, mais leur disponibilité à l’organisation est également critique pour les rares scénarios quand ils sont nécessaires.
Conseils Azure : Pour empêcher le verrouillage accidentel de votre organisation Azure AD, configurez un compte d’accès d’urgence (par exemple, un compte avec rôle Administrateur général) pour l’accès lorsque des comptes administratifs normaux ne peuvent pas être utilisés. Les comptes d’accès d’urgence sont généralement hautement privilégiés et ne doivent pas être attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités aux scénarios d’urgence ou de « dernière chance » où les comptes administratifs normaux ne peuvent pas être utilisés.
Vous devez vous assurer que les informations d’identification (telles que le mot de passe, le certificat ou la carte à puce) pour les comptes d’accès d’urgence sont conservées et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence. Vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et les donner à des personnes distinctes) pour améliorer la sécurité de ce processus. Vous devez également surveiller les journaux de connexion et d’audit pour vous assurer que les comptes d’accès d’urgence sont utilisés uniquement lorsqu’ils sont autorisés.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Les comptes « racines » AWS ne doivent pas être utilisés pour les tâches administratives régulières. Étant donné que le compte « racine » est hautement privilégié, il ne doit pas être affecté à des personnes spécifiques. Son utilisation doit être limitée uniquement aux scénarios d'urgence lorsque les comptes administratifs normaux ne peuvent pas être utilisés. Pour les tâches d’administration quotidiennes, des comptes d’utilisateur privilégiés distincts doivent être utilisés et attribuer les autorisations appropriées via des rôles IAM.
Vous devez également vous assurer que les informations d’identification (telles que le mot de passe, les jetons MFA et les clés d’accès) pour les comptes racines sont conservées sécurisées et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence. L’authentification multifacteur doit être activée pour le compte racine et vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et lui donner des personnes distinctes) pour améliorer la sécurité de ce processus.
Vous devez également surveiller les journaux de connexion et d’audit dans CloudTrail ou EventBridge pour vous assurer que les comptes d’accès racine sont utilisés uniquement lorsqu’ils sont autorisés.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Les comptes super administrateurs Google Cloud Identity ne doivent pas être utilisés pour les tâches administratives régulières. Étant donné que le compte super administrateur est hautement privilégié, il ne doit pas être affecté à des personnes spécifiques. Son utilisation doit être limitée uniquement aux scénarios d'urgence lorsque les comptes administratifs normaux ne peuvent pas être utilisés. Pour les tâches d’administration quotidiennes, des comptes d’utilisateur privilégiés distincts doivent être utilisés et attribuer les autorisations appropriées via des rôles IAM.
Vous devez également vous assurer que les informations d’identification (telles que le mot de passe, les jetons MFA et les clés d’accès) pour les comptes super administrateurs sont conservées sécurisées et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence. L’authentification multifacteur doit être activée pour le compte super administrateur, et vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et lui donner des personnes distinctes) pour améliorer la sécurité de ce processus.
Vous devez également surveiller les journaux de connexion et d’audit dans les journaux d’audit cloud, ou interroger l’analyseur de stratégie pour vous assurer que les comptes super administrateurs sont utilisés uniquement lorsqu’ils sont autorisés.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Opérations de sécurité (SecOps)
PA-6 : Utiliser des stations de travail à accès privilégié
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/A |
Principe de sécurité : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles tels que l’administrateur, le développeur et l’opérateur de service critique.
Conseils Azure : Utilisez Azure Active Directory, Microsoft Defender et/ou Microsoft Intune pour déployer des stations de travail à accès privilégié (PAW) locales ou dans Azure pour des tâches privilégiées. Le PAW doit être géré de manière centralisée pour appliquer la configuration sécurisée, notamment l’authentification forte, les bases de référence logicielles et matérielles, ainsi que l’accès logique et réseau restreint.
Vous pouvez également utiliser Azure Bastion, qui est un service PaaS entièrement géré par la plateforme qui peut être provisionné à l’intérieur de votre réseau virtuel. Azure Bastion autorise la connectivité RDP/SSH à vos machines virtuelles directement à partir du portail Azure à l’aide d’un navigateur web.
Implémentation Azure et contexte supplémentaire :
- Comprendre les stations de travail d’accès privilégié
- Déploiement de stations de travail à accès privilégié
Conseils AWS : Utilisez Session Manager dans AWS Systems Manager pour créer un chemin d’accès (session de connexion) vers l’instance EC2 ou une session de navigateur vers les ressources AWS pour les tâches privilégiées. Le Gestionnaire de sessions autorise la connectivité RDP, SSH et HTTPS à vos hôtes de destination via le transfert de port.
Vous pouvez également choisir de déployer une station de travail à accès privilégié (PAW) gérée de manière centralisée via Azure Active Directory, Microsoft Defender et/ou Microsoft Intune. La gestion centrale doit appliquer la configuration sécurisée, notamment l’authentification forte, les bases de référence logicielles et matérielles, ainsi que l’accès logique et réseau restreint.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez Proxy (IAP) de bureau Identity-Aware pour créer un chemin d’accès (une session de connexion) à l’instance de calcul pour les tâches de privilège. IAP Desktop permet la connectivité RDP et SSH à vos hôtes de destination via le transfert de port. En outre, les instances de calcul Linux accessibles en externe peuvent être connectées via un navigateur SSH via la console Google Cloud.
Vous pouvez également choisir de déployer des stations de travail à accès privilégié (PAW) gérées de manière centralisée via Google Workspace Endpoint Management ou des solutions Microsoft (Azure Active Directory, Microsoft Defender et/ou Microsoft Intune). La gestion centrale doit appliquer la configuration sécurisée, notamment l’authentification forte, les bases de référence logicielles et matérielles, ainsi que l’accès logique et réseau restreint.
Vous pouvez également créer des hôtes bastion pour sécuriser l’accès aux environnements approuvés avec des paramètres définis.
Implémentation GCP et contexte supplémentaire :
- Connexion sécurisée aux instances de machine virtuelle
- Se connecter à des machines virtuelles Linux à l’aide de Identity-Aware proxy
- Se connecter à des machines virtuelles à l’aide d’un hôte bastion
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Opérations de sécurité (SecOps)
- de gestion des identités et des clés
PA-7 : Suivez le principe d’administration suffisante (privilège minimum)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principe de sécurité : suivez le principe d’administration suffisant (privilège minimum) pour gérer les autorisations au niveau précis. Utilisez des fonctionnalités telles que le contrôle d’accès en fonction du rôle (RBAC) pour gérer l’accès aux ressources via des attributions de rôles.
Conseils Azure : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer l’accès aux ressources Azure via des attributions de rôles. Via RBAC, vous pouvez attribuer des rôles aux utilisateurs, groupes, principaux de service et identités managées. Il existe des rôles prédéfinis pour certaines ressources, et ces rôles peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell et le portail Azure.
Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Les privilèges limités compléteront l’approche juste-à-temps (JIT) d’Azure AD Privileged Identity Management (PIM), et il est nécessaire de réviser ces privilèges régulièrement. Si nécessaire, vous pouvez également utiliser PIM pour définir une attribution limitée dans le temps, qui est une condition dans une attribution de rôle où un utilisateur ne peut activer le rôle que dans les dates de début et de fin spécifiées.
Remarque : Utilisez des rôles intégrés Azure pour allouer des autorisations et créer uniquement des rôles personnalisés si nécessaire.
Implémentation Azure et contexte supplémentaire :
- Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC)
- Comment configurer RBAC dans Azure
- Comment utiliser les révisions d’identité et d’accès Azure AD
- Azure AD Privileged Identity Management - Affectation liée au temps
Conseils AWS : Utilisez la stratégie AWS pour gérer l’accès aux ressources AWS. Il existe six types de stratégies : stratégies basées sur l’identité, stratégies basées sur les ressources, limites d’autorisations, stratégie de contrôle de service AWS Organizations (SCP), liste de contrôle d’accès et stratégies de session. Vous pouvez utiliser des stratégies managées AWS pour les cas d’utilisation d’autorisations courants. Toutefois, gardez à l’esprit que les stratégies gérées peuvent contenir des autorisations excessives qui ne doivent pas être affectées aux utilisateurs.
Vous pouvez également utiliser AWS ABAC (contrôle d’accès basé sur des attributs) pour attribuer des autorisations basées sur des attributs (balises) attachés aux ressources IAM, notamment des entités IAM (utilisateurs ou rôles) et des ressources AWS.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Utilisez Google Cloud IAM Policy pour gérer l’accès aux ressources GCP par le biais d’attributions de rôles. Vous pouvez utiliser les rôles prédéfinis de Google Cloud pour les cas d’utilisation courants des autorisations. Toutefois, gardez à l’esprit que les rôles prédéfinis peuvent comporter des autorisations excessives qui ne doivent pas être affectées aux utilisateurs.
En outre, utilisez Policy Intelligence avec le générateur de recommandations IAM pour identifier et supprimer des autorisations excessives des comptes.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Gestion de la posture
- de gestion des identités et des clés
PA-8 Déterminer le processus d’accès pour la prise en charge du fournisseur de cloud
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Principe de sécurité : Établissez un processus d’approbation et un chemin d’accès pour demander et approuver les demandes de support du fournisseur et l’accès temporaire à vos données via un canal sécurisé.
Conseils Azure : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour passer en revue et approuver ou rejeter chaque demande d’accès aux données effectuée par Microsoft.
Implémentation Azure et contexte supplémentaire :
Conseils AWS : Dans les scénarios de support où les équipes de support AWS doivent accéder à vos données, créez un compte dans le portail AWS Support pour demander le support. Passez en revue les options disponibles, telles que la fourniture d’un accès aux données en lecture seule ou l’option de partage d’écran pour la prise en charge d’AWS pour accéder à vos données.
Implémentation AWS et contexte supplémentaire :
Conseils GCP : Dans les scénarios de support où Google Cloud Customer Care doit accéder à vos données, utilisez l’approbation d’accès pour passer en revue et approuver ou rejeter chaque demande d’accès aux données effectuées par Cloud Customer Care.
Implémentation GCP et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- de gestion des identités et des clés