Contrôle de sécurité : Contrôle des accès et des identités

Notes

La version la plus à jour d’Azure Security Benchmark est disponible ici.

Les recommandations en matière de gestion des identités et des accès se concentrent sur le traitement des problèmes liés au contrôle d’accès en fonction de l’identité, au verrouillage de l’accès administratif, à la génération d’alertes lors d’événements liés à l’identité, au comportement anormal des comptes et au contrôle d’accès en fonction du rôle.

3.1 : Tenir un inventaire des comptes d’administration

Identifiant Azure	Identifiants CIS	Responsabilité
3.1	4,1	Customer

Azure AD comporte des rôles intégrés qui doivent être explicitement attribués et qui peuvent être interrogés. Utilisez le module Azure AD PowerShell pour effectuer des requêtes ad hoc afin de découvrir les comptes membres de groupes d’administration.

• Guide pratique pour obtenir un rôle d’annuaire dans Azure AD avec PowerShell

• Guide pratique pour obtenir les membres d’un rôle d’annuaire dans Azure AD avec PowerShell

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Identifiant Azure	Identifiants CIS	Responsabilité
3.2	4,2	Customer

Azure AD n’intègre pas le concept des mots de passe par défaut. Selon le service, d’autres ressources Azure qui exigent un mot de passe forcent la création d’un mot de passe conforme à des exigences de complexité et d’une longueur minimale. Vous êtes responsable des applications tierces et des services de la place de marché susceptibles d’utiliser des mots de passe par défaut.

3.3 : Utiliser des comptes d’administration dédiés

Identifiant Azure	Identifiants CIS	Responsabilité
3.3	4.3	Customer

Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés. Utilisez les recommandations du contrôle de sécurité « Gérer les accès et les autorisations » d’Azure Security Center pour surveiller le nombre de comptes d’administration.

Vous pouvez également activer JIT (Juste-à-temps)/JEA (Just-Enough-Access) à l’aide de rôles Azure AD Privileged Identity Management pour les services Microsoft et d’Azure Resource Manager.

• En savoir plus sur Privileged Identity Management

3.4 : Utiliser l’authentification unique (SSO) avec Azure Active Directory

Identifiant Azure	Identifiants CIS	Responsabilité
3.4	4.4	Customer

Dans la mesure du possible, utilisez l’authentification unique (SSO) d’Azure Active Directory au lieu de configurer des informations d’identification autonomes individuelles par service. Utilisez les recommandations du contrôle de sécurité « Gérer les accès et les autorisations » d’Azure Security Center.

• Présentation de l’authentification SSO avec Azure AD

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Identifiant Azure	Identifiants CIS	Responsabilité
3,5	4.5, 11.5, 12.11, 16.3	Customer

Activez Azure AD MFA et suivez les recommandations liées à la gestion des identités et des accès dans Azure Security Center.

• Guide pratique pour activer l’authentification MFA dans Azure

• Guide pratique pour superviser les identités et les accès dans Azure Security Center

3.6 : Utiliser des ordinateurs dédiés (stations de travail avec accès privilégié) pour toutes les tâches administratives

Identifiant Azure	Identifiants CIS	Responsabilité
3.6	4.6, 11.6, 12.12	Customer

Utilisez des stations de travail avec accès privilégié avec l’authentification multifacteur (MFA) configurée pour la connexion aux ressources Azure et leur configuration.

• En savoir plus sur les stations de travail à accès privilégié

• Guide pratique pour activer l’authentification MFA dans Azure

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Identifiant Azure	Identifiants CIS	Responsabilité
3.7	4.8, 4.9	Customer

Utilisez les rapports de sécurité Azure Active Directory pour générer des journaux et des alertes lorsque des activités suspectes ou potentiellement dangereuses se produisent dans l’environnement. Utiliser Azure Security Center pour superviser les activités liées aux identités et aux accès.

• Guide pratique pour identifier les utilisateurs Azure AD pour lesquels une activité à risque a été signalée

• Guide pratique pour superviser l’activité liée aux identités et aux accès des utilisateurs dans Azure Security Center

3.8 : Gérer les ressources Azure à partir des emplacements approuvés uniquement

Identifiant Azure	Identifiants CIS	Responsabilité
3.8	11.7	Customer

Utilisez des emplacements nommés à accès conditionnel pour autoriser l’accès uniquement à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

• Guide pratique pour configurer des emplacements nommés dans Azure

3.9 : Utiliser Azure Active Directory

Identifiant Azure	Identifiants CIS	Responsabilité
3.9	16.1, 16.2, 16.4, 16.5, 16.6	Customer

Utiliser Azure Active Directory comme système d’authentification et d’autorisation central. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur.

• Création et configuration d’une instance Azure AD

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Identifiant Azure	Identifiants CIS	Responsabilité
3.10	16.9, 16.10	Customer

Azure AD fournit des journaux pour vous aider à découvrir les comptes obsolètes. De plus, utilisez les révisions d’accès des identités Azure pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seules les utilisateurs appropriés continuent de bénéficier d’un accès.

• Présentation des rapports Azure AD

• Guide pratique pour utiliser les révisions d’accès des identités Azure

3.11 : Superviser les tentatives d’accès à des informations d’identification désactivées

Identifiant Azure	Identifiants CIS	Responsabilité
3.11	16.12	Customer

Vous avez accès aux activités de connexion Azure AD, aux sources des journaux d’événements à risque et d’audit, ce qui vous permet de les intégrer à un outil SIEM/de supervision.

Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure Active Directory et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Vous pouvez configurer les alertes souhaitées dans un espace de travail Log Analytics.

• Guide pratique pour intégrer des journaux d’activité Azure dans Azure Monitor

3.12 : Alerte en cas d’écart de comportement de connexion à un compte

Identifiant Azure	Identifiants CIS	Responsabilité
3,12	16.13	Customer

Utilisez les fonctionnalités d’Azure AD Identity Risk and Identity Protection pour configurer des réponses automatiques aux actions suspectes détectées liées aux identités d’utilisateur. Vous pouvez également ingérer des données dans Azure Sentinel pour approfondir votre examen.

• Guide pratique pour afficher les connexions risquées Azure AD

• Guide pratique pour configurer et activer des stratégies de risque Identity Protection

• Guide pratique pour intégrer Azure Sentinel

3.13 : Fournir à Microsoft un accès aux données client pertinentes pendant les scénarios de support

Identifiant Azure	Identifiants CIS	Responsabilité
3.13	16	Customer

Dans le cadre des scénarios de support où Microsoft a besoin d’accéder aux données client, Customer Lockbox fournit une interface qui vous permet de consulter et d’approuver ou refuser les demandes d’accès aux données client.

• Présentation de Customer Lockbox

Étapes suivantes

• Consultez le contrôle de sécurité suivant : Protection des données