Contrôle de sécurité v3 : accès privilégié
L’accès privilégié recouvre les contrôles destinés à protéger l’accès privilégié à votre locataire et vos ressources Azure, avec notamment toute une gamme de contrôles visant à protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail à accès privilégié contre les risques délibérés et involontaires.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : Veillez à identifier tous les comptes à impact élevé sur l’entreprise. Limitez le nombre de comptes privilégiés/administratifs dans le plan de contrôle, le plan de gestion et le plan de données/charges de travail de votre cloud.
Conseils Azure : Azure Active Directory (Azure AD) est le service par défaut de gestion des identités et des accès d’Azure. Les rôles intégrés les plus critiques dans Azure AD sont ceux d’Administrateur général et d’Administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer les rôles administrateur. Avec ces privilèges, les utilisateurs peuvent lire et modifier directement ou indirectement chaque ressource dans votre environnement Azure :
- Administrateur général ou Administrateur d’entreprise : Les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration d’Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.
- Administrateur de rôle privilégié : Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Azure AD et Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.
En dehors d’Azure AD, Azure dispose de rôles intégrés qui peuvent être essentiels pour l’accès privilégié au niveau des ressources.
- Propriétaire : garantit un accès total pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC.
- Contributeur : Accorde un accès total pour gérer toutes les ressources, mais ne vous permet pas d’affecter des rôles dans Azure RBAC, de gérer des affectations dans Azure Blueprints ou de partager des galeries d’images.
- Administrateur de l’accès utilisateur : permet de gérer l’accès des utilisateurs aux ressources Azure. Remarque : vous pouvez avoir d’autres rôles critiques qui doivent être régis si vous utilisez des rôles personnalisés au niveau d’Azure AD ou de la ressource avec certaines autorisations privilégiées affectées.
Veillez également à limiter les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui ont un accès administratif aux ressources vitales pour l'entreprise, tels que les contrôleurs de domaine (DC) Active Directory, les outils de sécurité et les outils de gestion du système avec les agents installés sur les systèmes critiques de l’entreprise. Les attaquants qui compromettent ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources stratégiques de l’entreprise.
Implémentation et contexte supplémentaire :
- Autorisations de rôle Administrateur dans Azure AD
- Utiliser les alertes de sécurité Azure Privileged Identity Management
- Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Architecture de la sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-2 : Éviter l’accès permanent aux comptes et autorisations utilisateurs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : Au lieu de créer des privilèges permanents, utilisez le mécanisme juste-à-temps (JAT) pour attribuer un accès privilégié aux différents niveaux de ressources.
Conseils Azure : Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et Azure AD en utilisant Azure AD Privileged Identity Management (PIM). JAT est un modèle où les utilisateurs reçoivent des autorisations temporaires pour effectuer des tâches privilégiées. De cette façon, les utilisateurs malveillants ou non autorisés ne peuvent pas accéder aux ressources une fois que les autorisations ont expiré. L’accès est accordé uniquement au moment où les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.
Limitez le trafic entrant à vos ports de gestion des machines virtuelles sensibles grâce à Microsoft Defender pour le cloud et sa fonctionnalité d’accès juste-à-temps (JAT) pour les machines virtuelles. Cela garantit que l’accès privilégié à la machine virtuelle est accordé uniquement lorsque les utilisateurs en ont besoin.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Architecture de la sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-3 : Gérer le cycle de vie des identités et des droits d'utilisation
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : Utilisez un processus automatisé ou un contrôle technique pour gérer le cycle de vie des identités et des accès, y compris la requête, la révision, l’approbation, l’approvisionnement et l’annulation de l’approvisionnement.
Conseils Azure : Utilisez les fonctionnalités de gestion des droits d'utilisation Azure AD pour automatiser les requêtes d’accès aux flux de travail. Cela permet aux workflows des groupes de ressources Azure de gérer les affectations d’accès, les révisions, l’expiration et l’approbation à deux ou plusieurs niveaux.
Implémentation et contexte supplémentaire :
- Présentation des révisions d’accès Azure AD
- Présentation de la gestion des droits d’utilisation Azure AD
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-4 : Examiner et rapprocher régulièrement les accès utilisateur
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Principe de sécurité : Examinez régulièrement les droits des comptes privilégiés. Assurez-vous que l’accès accordé aux comptes est valide pour l’administration du plan de contrôle, du plan de gestion et des charges de travail.
Conseils Azure : Passez en revue tous les comptes privilégiés et les droits d’accès dans Azure, notamment le locataire Azure, les services Azure, les machines virtuelles/IaaS, les processus CI/CD, et les outils de sécurité et de gestion d’entreprise.
Utilisez les révisions d’accès Azure AD pour examiner les rôles Azure AD et les rôles d’accès aux ressources Azure, les appartenances aux groupes et l’accès aux applications d’entreprise. Les rapports Azure AD peuvent également fournir des journaux pour vous aider à découvrir les comptes obsolètes, soit les comptes qui ne sont pas utilisés pendant un certain laps de temps.
En outre, Azure AD Privileged Identity Management peut être configuré pour alerter en cas de création d’un nombre excessif de comptes administrateur pour un rôle spécifique et pour identifier les comptes administrateur obsolètes ou mal configurés.
Implémentation et contexte supplémentaire :
- Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management (PIM)
- Utilisation des révisions d’accès et des identités Azure AD
Parties prenantes de la sécurité des clients (En savoir plus) :
- Gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-5 : Configurer l’accès d’urgence
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : Configurez l’accès d’urgence pour vous assurer de ne pas être accidentellement bloqué en dehors de votre infrastructure cloud critique (par exemple, votre système de gestion des identités et des accès) en cas d’urgence.
Les comptes d’accès d’urgence doivent être utilisés rarement et peuvent être très préjudiciables pour l’organisation en cas de compromission, mais leur disponibilité pour l’organisation revêt une importance capitale pour les quelques scénarios dans lesquels ils sont nécessaires.
Conseils Azure : Pour empêcher le verrouillage accidentel de votre organisation Azure AD, configurez un compte d’accès d’urgence (par exemple un compte muni du rôle d’Administrateur général) pour conserver un accès lorsque les comptes administratifs normaux ne peuvent pas être utilisés. Les comptes d’accès d’urgence sont généralement hautement privilégiés et ne doivent pas être attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités à des cas d’urgence ou à des scénarios « de secours » où il est impossible d’utiliser des comptes d’administration normaux.
Vous devez vous assurer que les informations d’identification (telles que le mot de passe, le certificat ou la carte à puce) des comptes d’accès d’urgence restent sécurisées et connues des seules personnes autorisées à les utiliser en cas d’urgence. Vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner les informations d’identification en deux parties et les donner à des personnes distinctes) pour améliorer la sécurité de ce processus. Vous devez également surveiller les journaux de connexion et d’audit pour vous assurer que les comptes d’accès d’urgence ne peuvent être utilisés que sous autorisation.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Opérations de sécurité (SecOps)
PA-6 : Utiliser des stations de travail d’accès privilégié
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/A |
Principes de sécurité : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique.
Conseils Azure : Utilisez Azure Active Directory, Microsoft Defender et/ou Microsoft Intune pour déployer des stations de travail à accès privilégié (PAW) locales ou sur Azure pour les tâches privilégiées. Les stations de travail à accès privilégié doivent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles, et un accès réseau et logique restreint.
Vous pouvez également utiliser Azure Bastion, un service PaaS entièrement géré par une plateforme qui peut être approvisionné à l’intérieur de votre réseau virtuel. Azure Bastion autorise la connectivité RDP/SSH à vos machines virtuelles directement depuis le portail Azure à l’aide d’un navigateur.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevSecOps
- Opérations de sécurité (SecOps)
- Gestion des identités et des clés
PA-7 : Suivre le principe JEA, Just Enough Administration (privilège minimum)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principe de sécurité : Suivez le principe JEA (privilège minimum) pour gérer les autorisations à un niveau affiné. Utilisez des fonctionnalités, telles que le contrôle d’accès en fonction du rôle (RBAC), pour gérer l’accès aux ressources par le biais des attributions de rôles.
Conseils Azure : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) afin de gérer l’accès aux ressources Azure par le biais d’attributions de rôles. À l’aide de RBAC, vous pouvez attribuer des rôles à des utilisateurs, regrouper des principaux groupes de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell et le portail Azure.
Les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Les privilèges limités complètent l’approche juste-à-temps (JAT) d’Azure AD Privileged Identity Management (PIM) et ces privilèges doivent être révisés régulièrement. Si nécessaire, vous pouvez également utiliser PIM pour définir la condition de durée (affectation limitée dans le temps) dans l’attribution de rôle, dans laquelle un utilisateur peut activer ou utiliser le rôle uniquement entre les dates de début et de fin.
Remarque : utilisez les rôles intégrés Azure pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.
Implémentation et contexte supplémentaire :
- Présentation du contrôle d’accès en fonction du rôle Azure (Azure RBAC)
- Configurer le contrôle d'accès en fonction du rôle dans Azure
- Utilisation des révisions d’accès et des identités Azure AD
- Azure AD Privileged Identity Management - Affectation limitée dans le temps
Parties prenantes de la sécurité des clients (En savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Gestion de la posture
- Gestion des identités et des clés
PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Principe de sécurité : Établissez un processus d’approbation et un chemin d’accès pour demander et approuver la demande de support du fournisseur et l’accès temporaire à vos données via un canal sécurisé.
Conseils Azure : Dans les scénarios de prise en charge où Microsoft a besoin d’accéder à vos données, utilisez Customer Lockbox pour examiner et approuver ou refuser les demandes d’accès aux données de Microsoft.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :