Contrôle de sécurité V2 : Sécurité réseau
Notes
La version la plus à jour d’Azure Security Benchmark est disponible ici.
La sécurité réseau couvre les contrôles permettant de sécuriser et de protéger les réseaux Azure. Cela comprend la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes, ainsi que la sécurisation de DNS.
Pour afficher l’instance Azure Policy intégrée applicable, consultez Informations sur l’initiative intégrée Conformité réglementaire Azure Security Benchmark : Sécurité réseau
NS-1 : Implémenter la sécurité pour le trafic interne
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-1 | 9.2, 9.4, 14.1, 14.2, 14.3 | AC-4, CA-3, SC-7 |
Vérifiez que tous les réseaux virtuels Azure suivent un principe de segmentation d’entreprise qui s’aligne sur les risques métier. Tout système qui peut entraîner des risques plus élevés pour l’organisation doit être isolé sur son propre réseau virtuel et être suffisamment sécurisé à l’aide d’un groupe de sécurité réseau (NSG) et/ou du Pare-feu Azure.
En fonction de vos applications et de votre stratégie de segmentation d’entreprise, limitez ou autorisez le trafic entre des ressources internes suivant des règles de groupe de sécurité réseau. Pour des applications bien définies (par exemple, une application à 3 niveaux), il peut s’agir d’une approche « Refuser par défaut, Autoriser par exception », hautement sécurisée. Cela peut ne pas bien évoluer si vous avez un grand nombre d’applications et de points de terminaison qui interagissent les uns avec les autres. Vous pouvez également utiliser le Pare-feu Azure dans les cas où la gestion centrale est exigée sur un grand nombre de segments d’entreprise ou de spokes (dans une topologie hub/spoke).
Utilisez la fonctionnalité de durcissement du réseau adaptatif d’Azure Security Center pour recommander des configurations de groupe de sécurité réseau qui limitent les ports et les adresses IP sources en fonction des règles de trafic réseau externe.
Utilisez Azure Sentinel pour découvrir l’utilisation de protocoles non sécurisés hérités, tels que SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, liaisons LDAP non signées et chiffrements faibles dans Kerberos.
Comment créer un groupe de sécurité réseau avec des règles de sécurité
Guide pratique pour déployer et configurer le Pare-feu Azure
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-2 : Interconnecter des réseaux privés
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-2 | N/A | CA-3, AC-17, MA-4 |
Azure ExpressRoute ou le réseau privé virtuel (VPN) Azure permettent de créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne sont pas établies via l’Internet public et elles offrent une plus grande fiabilité, des débits plus importants et des latences moindres par rapport aux connexions Internet classiques. Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et d’Azure ExpressRoute.
Pour interconnecter deux réseaux virtuels ou plus dans Azure, utilisez un appairage de réseaux virtuels ou une liaison privée. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-3 : Établir un accès réseau privé aux services Azure
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-3 | 14,1 | AC-4, CA-3, SC-7 |
Utilisez Azure Private Link pour activer l’accès privé aux services Azure à partir de vos réseaux virtuels, sans passer par Internet. Dans les cas où Azure Private Link n’est pas encore disponible, utilisez des points de terminaison de service Réseau virtuel Azure. Les points de terminaison de service Réseau virtuel Azure offrent un accès sécurisé aux services par le biais d’une route optimisée sur le réseau principal Azure.
L’accès privé est une mesure de défense renforcée qui vient s’ajouter à la sécurité de l’authentification et du trafic proposée par les services Azure.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-4 : Protégez les applications et les services contre les attaques réseau externes
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-4 | 9.5, 12.3, 12.9 | SC-5, SC-7 |
Protégez les ressources Azure contre les attaques de réseaux externes, notamment les attaques par déni de service distribué (DDoS), les attaques spécifiques aux applications et le trafic Internet non sollicité et potentiellement malveillant. Pour ce faire, Azure intègre des fonctionnalités natives :
Utilisez le Pare-feu Azure pour protéger les applications et les services contre le trafic potentiellement malveillant provenant d’Internet et d’autres emplacements externes.
Utilisez les fonctionnalités Web Application Firewall (WAF) dans Azure Application Gateway, Azure Front Door et Azure Content Delivery Network (CDN) pour protéger vos applications, services et API contre les attaques de la couche Application.
Protégez vos ressources contre les attaques DDoS en activant la protection DDoS Standard sur vos réseaux virtuels Azure.
Utilisez Azure Security Center pour détecter les risques de configuration incorrecte liés à ce qui précède.
Gérer la norme Azure DDoS Protection à l’aide du portail Azure
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-5 : Déployer des systèmes de détection et de prévention des intrusions (IDS/IPS)
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-5 | 12.6, 12.7 | SI-4 |
Utilisez le filtrage basé sur le renseignement sur les menaces du Pare-feu Azure pour générer des alertes et/ou bloquer le trafic en provenance ou à destination d’adresses IP et de domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence. Lorsque l’inspection de charge utile est requise, vous pouvez utiliser Pare-feu Azure fonctionnalité IDPS Premium ou déployer un système de détection d’intrusion/prévention des intrusions tiers (IDS/IPS) à partir de Place de marché Azure avec des fonctionnalités d’inspection de charge utile. Vous pouvez également utiliser une solution EDR (Host-based IDS/IPS) ou une solution de détection et de réponse de point de terminaison basée sur l’hôte (EDR) conjointement avec ou au lieu d’IDS/IPS basés sur le réseau.
Remarque : Si vous avez une exigence réglementaire ou autre pour l’utilisation des systèmes IDS/IPS, vérifiez qu’elle est toujours adaptée pour fournir des alertes de haute qualité à votre solution SIEM.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-6 : Simplifier les règles de sécurité réseau
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-6 | 1.5 | IA-4 |
Simplifiez les règles de sécurité réseau en tirant parti des étiquettes de service et des groupes de sécurité d’application (ASG).
Utilisez des étiquettes de service de réseau virtuel pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou sur le Pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service dans le champ source ou de destination d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.
Vous pouvez également utiliser des groupes de sécurité d’application pour simplifier les configurations de sécurité complexes. Au lieu de définir une stratégie en fonction d’adresses IP explicites dans des groupes de sécurité réseau, les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure d’une application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau en fonction de ces groupes.
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-7 : Système DNS (Domain Name System) sécurisé
| Identifiant Azure | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| NS-7 | N/A | SC-20, SC-21 |
Suivez les bonnes pratiques concernant la sécurité DNS afin d’atténuer les attaque courantes comme les entrées DNS non résolues, les attaques d’amplifications DNS, l’empoisonnement et l’usurpation d’identité DNS, etc.
Quand Azure DNS est utilisé comme votre service DNS faisant autorité, vérifiez que les zones et les enregistrements DNS sont protégés contre toute modification accidentelle ou malveillante à l’aide du contrôle d’accès en fonction du rôle (RBAC) Azure et de verrous de ressources.
Guide de déploiement d’un système DNS (Domain Name System) sécurisé
Prévention des entrées DNS non résolues et de l’acquisition de sous-domaine
Responsabilité : Customer
Parties prenantes de la sécurité des clients (En savoir plus) :