Contrôle de sécurité V2 : Gestion des identités

Remarque

Le benchmark de sécurité Azure le plus up-toest disponible ici.

Identity Management couvre les contrôles pour établir des contrôles d’identité et d’accès sécurisés à l’aide d’Azure Active Directory. Cela inclut l’utilisation de l’authentification unique, des authentifications fortes, des identités managées (et des principaux de service) pour les applications, l’accès conditionnel et la surveillance des anomalies de compte.

Pour voir la stratégie intégrée d'Azure, consultez Détails de l'initiative intégrée de conformité réglementaire Azure Security Benchmark : Gestion des identités

Messagerie instantanée 1 : Normaliser Azure Active Directory en tant que système central d’identité et d’authentification

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
MESSAGERIE INSTANTANÉE-1	16.1, 16.2, 16.4, 16.5	IA-2, IA-8, AC-2, AC-3

Azure Active Directory (Azure AD) est le service de gestion des identités et des accès par défaut d’Azure. Vous devez normaliser sur Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

• Ressources cloud Microsoft, telles que le portail Azure, stockage Azure, machines virtuelles Azure (Linux et Windows), Azure Key Vault, PaaS et applications SaaS.

• Les ressources de votre organisation, telles que les applications sur Azure ou vos ressources réseau d’entreprise.

La sécurisation d’Azure AD doit être une priorité élevée dans la pratique de sécurité cloud de votre organisation. Azure AD fournit un score sécurisé d’identité pour vous aider à évaluer votre posture de sécurité des identités par rapport aux recommandations de bonnes pratiques de Microsoft. Utilisez le score pour évaluer la façon dont votre configuration correspond aux recommandations de bonnes pratiques et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les fournisseurs d’identité externes, qui permettent aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

• Location dans Azure AD

• Comment créer et configurer une instance Azure AD

• Définir des locataires Azure AD

• Utiliser des fournisseurs d’identité externes pour une application

• Qu’est-ce que le score de sécurisation des identités dans Azure AD

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• de gestion des identités et des clés

• architecture de sécurité

• Sécurité des applications et DevSecOps

• Gestion de la posture

Messagerie instantanée 2 : Gérer les identités d’application de manière sécurisée et automatique

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
MI-2	N/A	AC-2, AC-3, IA-2, IA-4, IA-9

Pour les comptes non humains tels que les services ou l’automatisation, utilisez des identités managées Azure, au lieu de créer un compte humain plus puissant pour accéder aux ressources ou exécuter du code. Les identités managées Azure peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. L’authentification est activée via des règles d’octroi d’accès prédéfinies, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

Pour les services qui ne prennent pas en charge les identités managées, utilisez Azure AD pour créer un principal de service avec des autorisations restreintes au niveau de la ressource à la place. Il est recommandé de configurer des principaux de service avec des informations d’identification de certificat et de revenir aux secrets client. Dans les deux cas, Azure Key Vault peut être utilisé conjointement avec les identités managées Azure, afin que l’environnement d’exécution (tel qu’une fonction Azure) puisse récupérer les informations d’identification du coffre de clés.

• Identités managées Azure

• Services qui prennent en charge les identités managées pour les ressources Azure

• Principal de service Azure

• Créer un principal de service avec des certificats

Utiliser Azure Key Vault pour l’enregistrement du principal de sécurité : authentication#authorize-a-security-principal-to-access-key-vault

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• de gestion des identités et des clés

• Sécurité des applications et DevSecOps

IM-3 : Utiliser l'authentification unique Azure AD pour l'accès aux applications

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
IM-3	4.4	IA-2, IA-4

Azure AD fournit une gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. La gestion des identités et des accès s’applique aux identités d’entreprise telles que les employés, ainsi qu’aux identités externes telles que les partenaires, les fournisseurs et les fournisseurs.

Utilisez l’authentification unique Azure AD pour gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez tous vos utilisateurs, applications et appareils à Azure AD pour un accès transparent, sécurisé et une meilleure visibilité et un contrôle accrus.

• Comprendre l’authentification unique d’application avec Azure AD

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• de gestion des identités et des clés

• Sécurité des applications et DevSecOps

Messagerie instantanée 4 : Utiliser des contrôles d’authentification forts pour tous les accès basés sur Azure Active Directory

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
MESSAGERIE INSTANTANÉE-4	4.2, 4.4 4.5, 11.5, 12.11, 16.3	AC-2, AC-3, IA-2, IA-4

Azure AD prend en charge des contrôles d’authentification forts via l’authentification multifacteur (MFA) et des méthodes sans mot de passe fortes.

• Authentification multifacteur : activez Azure AD MFA et suivez les recommandations du contrôle de sécurité « Activer l’authentification multifacteur » d’Azure Security Center. L’authentification multifacteur peut être appliquée à tous les utilisateurs, sélectionner des utilisateurs ou au niveau de chaque utilisateur en fonction des conditions de connexion et des facteurs de risque.

• Authentification sans mot de passe : trois options d’authentification sans mot de passe sont disponibles : Windows Hello Entreprise, l’application Microsoft Authenticator et les méthodes d’authentification locales telles que les cartes à puce.

Pour les utilisateurs administrateurs et privilégiés, assurez-vous que le niveau le plus élevé de la méthode d’authentification forte est utilisé, suivi du déploiement de la stratégie d’authentification forte appropriée pour d’autres utilisateurs.

Si l’authentification par mot de passe héritée est toujours utilisée pour l’authentification Azure AD, sachez que les comptes cloud uniquement (comptes d’utilisateur créés directement dans Azure) ont une stratégie de mot de passe de base par défaut. Et les comptes hybrides (comptes d’utilisateur provenant d’Active Directory local) suivent les stratégies de mot de passe locales. Lorsque vous utilisez l’authentification par mot de passe, Azure AD fournit une fonctionnalité de protection par mot de passe qui empêche les utilisateurs de définir des mots de passe faciles à deviner. Microsoft fournit une liste globale de mots de passe interdits mis à jour en fonction de la télémétrie, et les clients peuvent augmenter la liste en fonction de leurs besoins (par exemple, personnalisation, références culturelles, etc.). Cette protection par mot de passe peut être utilisée pour les comptes cloud uniquement et hybrides.

Remarque : l’authentification basée uniquement sur les informations d’identification de mot de passe est susceptible d’être utilisée pour les méthodes d’attaque populaires. Pour une sécurité plus élevée, utilisez une authentification forte telle que MFA et une stratégie de mot de passe forte. Pour les applications tierces et les services de la Place de marché qui peuvent avoir des mots de passe par défaut, vous devez les modifier lors de la configuration initiale du service.

• Comment activer l’authentification multifacteur dans Azure

• Présentation des options d’authentification sans mot de passe pour Azure Active Directory

• Stratégie de mot de passe par défaut Azure AD

• Éliminer les mots de passe incorrects à l’aide de la protection par mot de passe Azure AD

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• de gestion des identités et des clés

• Sécurité des applications et DevSecOps

IM-5 : Surveiller et alerter sur les anomalies de compte

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
MI-5	4.8, 4.9, 16.12, 16.13	AC-2, AC-3, AC-7, AU-6

Azure AD fournit les sources de données suivantes :

• Connexions : le rapport des connexions fournit des informations sur l’utilisation des applications managées et des activités de connexion utilisateur.

• Journaux d’audit : offre une traçabilité via les journaux pour toutes les modifications effectuées à travers différentes fonctionnalités d'Azure AD. Parmi les exemples de journaux d’audit des modifications journalisées, citons l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies.

• Connexions risquées : une connexion risquée est un indicateur pour une tentative de connexion qui a pu être effectuée par une personne qui n’est pas le propriétaire légitime d’un compte d’utilisateur.

• Utilisateurs marqués pour les risques : un utilisateur à risque est un indicateur pour un compte d’utilisateur qui a pu être compromis.

Ces sources de données peuvent être intégrées à Azure Monitor, Azure Sentinel ou à des systèmes SIEM tiers.

Azure Security Center peut également alerter sur certaines activités suspectes, telles qu’un nombre excessif de tentatives d’authentification ayant échoué et des comptes déconseillés dans l’abonnement.

Microsoft Defender pour Identity est une solution de sécurité qui peut utiliser des signaux Active Directory locaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes.

• Rapports d’activité d’audit dans Azure AD

• Comment afficher les connexions à risque Azure AD

• Comment identifier les utilisateurs Azure AD marqués pour une activité à risque

• Comment surveiller l’activité d’identité et d’accès des utilisateurs dans Azure Security Center

• Alertes dans les plans Azure Security Center et Azure Defender

• Comment intégrer des journaux d’activité Azure dans Azure Monitor

• Connecter des données à partir d’Azure AD Identity Protection

• Microsoft Defender pour Identité

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• Sécurité des applications et DevSecOps

• Gestion de la posture

IM-6 : Restreindre l'accès aux ressources Azure selon certaines conditions

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
IM-6	N/A	AC-2, AC-3

Utilisez l’accès conditionnel Azure AD pour un contrôle d’accès plus granulaire basé sur des conditions définies par l’utilisateur, telles que l’exigence de connexions utilisateur à partir de certaines plages d’adresses IP pour utiliser l’authentification multifacteur. Une gestion de session d’authentification granulaire peut également être utilisée par le biais d’une stratégie d’accès conditionnel Azure AD pour différents cas d’usage.

• vue d’ensemble de l’accès conditionnel Azure

• Stratégies d’accès conditionnel courantes

• Configurer la gestion des sessions d’authentification avec l’accès conditionnel

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• de gestion des identités et des clés

• Sécurité des applications et DevSecOps

• Gestion de la posture

• Renseignement sur les menaces

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
IM-7	18.1, 18.7	IA-5

Implémentez Le scanneur d’informations d’identification Azure DevOps pour identifier les informations d’identification dans le code. Le scanneur d’informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés tels qu’Azure Key Vault.

Pour GitHub, vous pouvez utiliser la fonctionnalité d’analyse de secrets native pour identifier les informations d’identification ou d’autres formes de secrets dans le code.

• Guide pratique pour configurer le scanneur d’informations d’identification

• Analyse des secrets GitHub

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• Sécurité des applications et DevSecOps

• Gestion de la posture

IM-8 : Sécuriser l’accès utilisateur aux applications existantes

Azure ID	ID des contrôles CIS v7.1	ID NIST SP 800-53 r4
IM-8	14.6	AC-2, AC-3, SC-11

Vérifiez que vous disposez de contrôles d’accès modernes et de surveillance de session pour les applications héritées et les données qu’ils stockent et traitent. Bien que les VPN soient couramment utilisés pour accéder aux applications héritées, ils n’ont souvent que le contrôle d’accès de base et la surveillance limitée des sessions.

Le proxy d’application Azure AD vous permet de publier des applications locales héritées sur des utilisateurs distants avec l’authentification unique (SSO) tout en validant explicitement la fiabilité des utilisateurs distants et des appareils avec accès conditionnel Azure AD.

D'autre part, Microsoft Defender pour Cloud Apps est un service d'agent de sécurité d'accès au cloud (CASB) qui peut fournir des contrôles pour surveiller les sessions d'application d'un utilisateur et bloquer des actions (pour les applications locales héritées et les applications SaaS dans le cloud).

• Proxy d’application Azure AD

• Bonnes pratiques de Microsoft Defender pour Cloud Apps

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Sécurité de l’infrastructure et du point de terminaison

• Sécurité des applications et DevSecOps