Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité Azure le plus up-toest disponible ici.
Les recommandations de gestion des identités et des accès se concentrent sur la résolution des problèmes liés au contrôle d’accès basé sur l’identité, au verrouillage de l’accès administratif, aux alertes sur les événements liés à l’identité, au comportement anormal du compte et au contrôle d’accès en fonction du rôle.
3.1 : Tenir un inventaire des comptes d’administration
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.1 | 4,1 | Client |
Azure AD a des rôles intégrés qui doivent être attribués explicitement et peuvent être interrogés. Utilisez le module Azure AD PowerShell pour effectuer des requêtes ad hoc pour découvrir les comptes membres de groupes d’administration.
Comment obtenir un rôle d’annuaire dans Azure AD avec PowerShell
Comment obtenir des membres d’un rôle d’annuaire dans Azure AD avec PowerShell
3.2 : Modifier les mots de passe par défaut lorsque cela est possible
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.2 | 4,2 | Client |
Azure AD n’a pas le concept de mots de passe par défaut. D’autres ressources Azure nécessitant un mot de passe forcent la création d’un mot de passe avec des exigences de complexité et une longueur minimale de mot de passe, ce qui diffère selon le service. Vous êtes responsable des applications tierces et des services de la Place de marché qui peuvent utiliser des mots de passe par défaut.
3.3 : Utiliser des comptes d’administration dédiés
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.3 | 4.3 | Client |
Créez des procédures d’exploitation standard autour de l’utilisation de comptes d’administration dédiés. Utilisez les recommandations du contrôle de sécurité « Gérer l’accès et les autorisations » d’Azure Security Center pour surveiller le nombre de comptes administratifs.
Vous pouvez également activer un Just-In-Time / Just-Enough-Access en utilisant les rôles privilégiés de la gestion des identités privilégiées Azure AD pour les services Microsoft et le gestionnaire de ressources Azure.
3.4 : Utiliser l’authentification unique (SSO) avec Azure Active Directory
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.4 | 4.4 | Client |
Dans la mesure du possible, utilisez l’authentification unique Azure Active Directory au lieu de configurer des informations d’identification autonomes individuelles par service. Utilisez les recommandations du contrôle de sécurité « Gérer l’accès et les autorisations » d’Azure Security Center.
3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3,5 | 4.5, 11.5, 12.11, 16.3 | Client |
Activez l’authentification multifacteur Azure AD et suivez les recommandations de gestion des identités et des accès Azure Security Center.
3.6 : Utiliser des machines dédiées (stations de travail à accès privilégié) pour toutes les tâches administratives
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3,6 | 4.6, 11.6, 12.12 | Client |
Utilisez des PW (stations de travail à accès privilégié) avec L’authentification multifacteur configurée pour vous connecter aux ressources Azure et les configurer.
3.7 : Journaliser et alerter sur les activités suspectes à partir de comptes d’administration
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.7 | 4.8, 4.9 | Client |
Utilisez les rapports de sécurité Azure Active Directory pour la génération de journaux et d’alertes lorsque des activités suspectes ou dangereuses se produisent dans l’environnement. Utilisez Azure Security Center pour surveiller l’activité d’identité et d’accès.
Comment identifier les utilisateurs Azure AD marqués pour une activité à risque
Comment surveiller l’activité d’identité et d’accès des utilisateurs dans Azure Security Center
3.8 : Gérer les ressources Azure à partir d’emplacements approuvés uniquement
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.8 | 11.7 | Client |
Utilisez des emplacements nommés d’accès conditionnel pour autoriser l’accès à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.
3.9 : Utiliser Azure Active Directory
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Client |
Utilisez Azure Active Directory comme système central d’authentification et d’autorisation. Azure AD protège les données à l’aide d’un chiffrement fort pour les données au repos et en transit. Azure AD sale, hache et stocke en toute sécurité les informations d'identification des utilisateurs.
3.10 : Examiner et réconcilier régulièrement les accès utilisateur
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.10 | 16.9, 16.10 | Client |
Azure AD fournit des journaux d’activité pour découvrir les comptes obsolètes. En outre, utilisez les révisions d’accès d’identité Azure pour gérer efficacement les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles. L’accès utilisateur peut être examiné régulièrement pour s’assurer que seuls les utilisateurs appropriés ont un accès continu.
3.11 : Surveiller les tentatives d’accès aux informations d’identification désactivées
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.11 | 16.12 | Client |
Vous avez accès à l'activité de connexion Azure AD, aux sources du journal d'audit et aux événements de risque, ce qui vous permet de vous intégrer à n'importe quel outil SIEM ou de surveillance.
Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure Active Directory et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Vous pouvez configurer les alertes souhaitées dans l’espace de travail Log Analytics.
3.12 : Alerte sur l’écart de comportement de connexion de compte
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3,12 | 16.13 | Client |
Utilisez les fonctionnalités Azure AD Risk et Identity Protection pour configurer des réponses automatisées aux actions suspectes détectées liées aux identités utilisateur. Vous pouvez également ingérer des données dans Azure Sentinel pour une investigation plus approfondie.
3.13 : Fournir à Microsoft l’accès aux données client pertinentes pendant les scénarios de support
| Azure ID | Identifiants CIS | Responsabilité |
|---|---|---|
| 3.13 | 16 | Client |
Dans les scénarios de support où Microsoft doit accéder aux données client, Customer Lockbox fournit une interface pour vous permettre de passer en revue et d’approuver ou de rejeter les demandes d’accès aux données client.
Étapes suivantes
- Consultez le contrôle de sécurité suivant : Protection des données