Partager via


Contrôle de sécurité : contrôle d’identité et d’accès

Remarque

Le benchmark de sécurité Azure le plus up-toest disponible ici.

Les recommandations de gestion des identités et des accès se concentrent sur la résolution des problèmes liés au contrôle d’accès basé sur l’identité, au verrouillage de l’accès administratif, aux alertes sur les événements liés à l’identité, au comportement anormal du compte et au contrôle d’accès en fonction du rôle.

3.1 : Tenir un inventaire des comptes d’administration

Azure ID Identifiants CIS Responsabilité
3.1 4,1 Client

Azure AD a des rôles intégrés qui doivent être attribués explicitement et peuvent être interrogés. Utilisez le module Azure AD PowerShell pour effectuer des requêtes ad hoc pour découvrir les comptes membres de groupes d’administration.

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Azure ID Identifiants CIS Responsabilité
3.2 4,2 Client

Azure AD n’a pas le concept de mots de passe par défaut. D’autres ressources Azure nécessitant un mot de passe forcent la création d’un mot de passe avec des exigences de complexité et une longueur minimale de mot de passe, ce qui diffère selon le service. Vous êtes responsable des applications tierces et des services de la Place de marché qui peuvent utiliser des mots de passe par défaut.

3.3 : Utiliser des comptes d’administration dédiés

Azure ID Identifiants CIS Responsabilité
3.3 4.3 Client

Créez des procédures d’exploitation standard autour de l’utilisation de comptes d’administration dédiés. Utilisez les recommandations du contrôle de sécurité « Gérer l’accès et les autorisations » d’Azure Security Center pour surveiller le nombre de comptes administratifs.

Vous pouvez également activer un Just-In-Time / Just-Enough-Access en utilisant les rôles privilégiés de la gestion des identités privilégiées Azure AD pour les services Microsoft et le gestionnaire de ressources Azure.

3.4 : Utiliser l’authentification unique (SSO) avec Azure Active Directory

Azure ID Identifiants CIS Responsabilité
3.4 4.4 Client

Dans la mesure du possible, utilisez l’authentification unique Azure Active Directory au lieu de configurer des informations d’identification autonomes individuelles par service. Utilisez les recommandations du contrôle de sécurité « Gérer l’accès et les autorisations » d’Azure Security Center.

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Azure ID Identifiants CIS Responsabilité
3,5 4.5, 11.5, 12.11, 16.3 Client

Activez l’authentification multifacteur Azure AD et suivez les recommandations de gestion des identités et des accès Azure Security Center.

3.6 : Utiliser des machines dédiées (stations de travail à accès privilégié) pour toutes les tâches administratives

Azure ID Identifiants CIS Responsabilité
3,6 4.6, 11.6, 12.12 Client

Utilisez des PW (stations de travail à accès privilégié) avec L’authentification multifacteur configurée pour vous connecter aux ressources Azure et les configurer.

3.7 : Journaliser et alerter sur les activités suspectes à partir de comptes d’administration

Azure ID Identifiants CIS Responsabilité
3.7 4.8, 4.9 Client

Utilisez les rapports de sécurité Azure Active Directory pour la génération de journaux et d’alertes lorsque des activités suspectes ou dangereuses se produisent dans l’environnement. Utilisez Azure Security Center pour surveiller l’activité d’identité et d’accès.

3.8 : Gérer les ressources Azure à partir d’emplacements approuvés uniquement

Azure ID Identifiants CIS Responsabilité
3.8 11.7 Client

Utilisez des emplacements nommés d’accès conditionnel pour autoriser l’accès à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

3.9 : Utiliser Azure Active Directory

Azure ID Identifiants CIS Responsabilité
3.9 16.1, 16.2, 16.4, 16.5, 16.6 Client

Utilisez Azure Active Directory comme système central d’authentification et d’autorisation. Azure AD protège les données à l’aide d’un chiffrement fort pour les données au repos et en transit. Azure AD sale, hache et stocke en toute sécurité les informations d'identification des utilisateurs.

3.10 : Examiner et réconcilier régulièrement les accès utilisateur

Azure ID Identifiants CIS Responsabilité
3.10 16.9, 16.10 Client

Azure AD fournit des journaux d’activité pour découvrir les comptes obsolètes. En outre, utilisez les révisions d’accès d’identité Azure pour gérer efficacement les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles. L’accès utilisateur peut être examiné régulièrement pour s’assurer que seuls les utilisateurs appropriés ont un accès continu.

3.11 : Surveiller les tentatives d’accès aux informations d’identification désactivées

Azure ID Identifiants CIS Responsabilité
3.11 16.12 Client

Vous avez accès à l'activité de connexion Azure AD, aux sources du journal d'audit et aux événements de risque, ce qui vous permet de vous intégrer à n'importe quel outil SIEM ou de surveillance.

Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure Active Directory et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Vous pouvez configurer les alertes souhaitées dans l’espace de travail Log Analytics.

3.12 : Alerte sur l’écart de comportement de connexion de compte

Azure ID Identifiants CIS Responsabilité
3,12 16.13 Client

Utilisez les fonctionnalités Azure AD Risk et Identity Protection pour configurer des réponses automatisées aux actions suspectes détectées liées aux identités utilisateur. Vous pouvez également ingérer des données dans Azure Sentinel pour une investigation plus approfondie.

3.13 : Fournir à Microsoft l’accès aux données client pertinentes pendant les scénarios de support

Azure ID Identifiants CIS Responsabilité
3.13 16 Client

Dans les scénarios de support où Microsoft doit accéder aux données client, Customer Lockbox fournit une interface pour vous permettre de passer en revue et d’approuver ou de rejeter les demandes d’accès aux données client.

Étapes suivantes