Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’accès privilégié couvre les contrôles pour protéger l’accès privilégié à votre locataire Azure et à vos ressources, y compris une gamme de contrôles pour protéger votre modèle d’administration, vos comptes d’administration et vos stations de travail d’accès privilégié contre un risque délibéré et involontaire.
PA-1 : Séparer et limiter les utilisateurs hautement privilégiés/administratifs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : Vérifiez que vous identifiez tous les comptes à impact élevé sur l’entreprise. Limitez le nombre de comptes privilégiés/d’administration dans le plan de contrôle, le plan de gestion et le plan de charge de travail de votre cloud.
Conseils Azure : Azure Active Directory (Azure AD) est le service de gestion des identités et des accès par défaut d’Azure. Les rôles intégrés les plus critiques dans Azure AD sont administrateur général et administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer des rôles d’administrateur. Avec ces privilèges, les utilisateurs peuvent lire et modifier directement ou indirectement chaque ressource dans votre environnement Azure :
- Administrateur général / Administrateur d’entreprise : les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration dans Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.
- Administrateur de rôle privilégié : les utilisateurs disposant de ce rôle peuvent gérer les attributions de rôles dans Azure AD, ainsi que dans Azure AD Privileged Identity Management (PIM). En outre, ce rôle permet la gestion de tous les aspects de PIM et d’unités administratives.
En dehors d’Azure AD, Azure a des rôles intégrés qui peuvent être essentiels pour l’accès privilégié au niveau de la ressource.
- Propriétaire : accorde un accès complet pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC.
- Contributeur : accorde un accès complet pour gérer toutes les ressources, mais ne vous permet pas d’attribuer des rôles dans Azure RBAC, de gérer les affectations dans Azure Blueprints ou de partager des galeries d’images.
- Administrateur de l’accès utilisateur : vous permet de gérer l’accès utilisateur aux ressources Azure. Remarque : Vous pouvez avoir d’autres rôles critiques qui doivent être régis si vous utilisez des rôles personnalisés dans le niveau Azure AD ou le niveau de ressource avec certaines autorisations privilégiées affectées.
Vérifiez que vous limitez également les comptes privilégiés dans d’autres systèmes de gestion, d’identité et de sécurité qui ont un accès administratif à vos ressources critiques pour l’entreprise, comme les contrôleurs de domaine Active Directory (DCS), les outils de sécurité et les outils de gestion du système avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromissaient ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources critiques de l’entreprise.
Implémentation et contexte supplémentaire :
- Autorisations de rôle d’administrateur dans Azure AD
- Utiliser des alertes de sécurité Azure Privileged Identity Management
- Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- architecture de sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-2 : Éviter l’accès permanent pour les comptes d’utilisateur et les autorisations
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : Au lieu de créer des privilèges permanents, utilisez le mécanisme juste-à-temps (JIT) pour attribuer un accès privilégié aux différents niveaux de ressources.
Conseils Azure : Activez l’accès privilégié juste-à-temps (JIT) aux ressources Azure et à Azure AD à l’aide d’Azure AD Privileged Identity Management (PIM). JIT est un modèle dans lequel les utilisateurs reçoivent des autorisations temporaires pour effectuer des tâches privilégiées, ce qui empêche les utilisateurs malveillants ou non autorisés d’accéder après l’expiration des autorisations. L’accès est accordé uniquement au moment où les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.
Limitez le trafic entrant vers vos ports de gestion de machines virtuelles sensibles avec la fonctionnalité d’accès juste-à-temps (JIT) de Microsoft Defender pour cloud. Cela garantit que l’accès privilégié à la machine virtuelle est accordé uniquement lorsque les utilisateurs en ont besoin.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- architecture de sécurité
- Gestion de la conformité de la sécurité
- Opérations de sécurité
PA-3 : Gérer le cycle de vie des identités et des droits
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Principe de sécurité : Utilisez un processus automatisé ou un contrôle technique pour gérer le cycle de vie des identités et des accès, notamment la demande, l’examen, l’approbation, l’approvisionnement et la déprovisionnement.
Conseils Azure : Utilisez les fonctionnalités de gestion des droits d’utilisation Azure AD pour automatiser les flux de travail de demande d’accès (pour les groupes de ressources Azure). Cela permet aux flux de travail pour les groupes de ressources Azure de gérer les affectations d’accès, les révisions, l’expiration et l’approbation à deux ou plusieurs étapes.
Implémentation et contexte supplémentaire :
- Présentation des révisions d’accès Azure AD
- Qu’est-ce que la gestion des droits d’utilisation Azure AD ?
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-4 : Examiner et concilier régulièrement l'accès des utilisateurs
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7,1, 7,2, 8,1, A3,4 |
Principe de sécurité : Effectuez un examen régulier des droits de compte privilégié. Vérifiez que l’accès accordé aux comptes est valide pour l’administration du plan de contrôle, du plan de gestion et des charges de travail.
Conseils Azure : Passez en revue tous les comptes privilégiés et les droits d’accès dans Azure, notamment le locataire Azure, les services Azure, les machines virtuelles/IaaS, les processus CI/CD et les outils de gestion d’entreprise et de sécurité.
Utilisez les révisions d’accès Azure AD pour passer en revue les rôles Azure AD et les rôles d’accès aux ressources Azure, les appartenances aux groupes, l’accès aux applications d’entreprise. Les rapports Azure AD peuvent également fournir des journaux pour vous aider à découvrir les comptes inactifs, les comptes qui ne sont pas utilisés depuis un certain temps.
En outre, Azure AD Privileged Identity Management peut être configuré pour alerter lorsqu’un nombre excessif de comptes d’administrateur est créé pour un rôle spécifique et pour identifier les comptes d’administrateur obsolètes ou mal configurés.
Implémentation et contexte supplémentaire :
- Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management (PIM)
- Comment utiliser les révisions d’identité et d’accès Azure AD
Parties prenantes de la sécurité des clients (en savoir plus) :
- de gestion des identités et des clés
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
PA-5 : Configurer l’accès d’urgence
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| N/A | AC-2 | N/A |
Principe de sécurité : Configurez l’accès d’urgence pour vous assurer que vous n’êtes pas verrouillé accidentellement hors de votre infrastructure cloud critique (par exemple, votre système de gestion des identités et des accès) en cas d’urgence.
Les comptes d’accès d’urgence doivent être rarement utilisés et peuvent être très nuisibles à l’organisation s’ils sont compromis, mais leur disponibilité à l’organisation est également critique pour les rares scénarios quand ils sont nécessaires.
Conseils Azure : Pour éviter d’être verrouillé accidentellement hors de votre organisation Azure AD, configurez un compte d’accès d’urgence (par exemple, un compte avec rôle Administrateur général) pour l’accès lorsque des comptes administratifs normaux ne peuvent pas être utilisés. Les comptes d’accès d’urgence sont généralement hautement privilégiés et ne doivent pas être attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont limités aux scénarios d’urgence ou de « dernière chance » où les comptes administratifs normaux ne peuvent pas être utilisés.
Vous devez vous assurer que les informations d’identification (telles que le mot de passe, le certificat ou la carte à puce) pour les comptes d’accès d’urgence sont conservées et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence. Vous pouvez également utiliser des contrôles supplémentaires, tels que des contrôles doubles (par exemple, fractionner la donnée d'identification en deux parties et la remettre à des personnes distinctes) pour améliorer la sécurité de ce processus. Vous devez également surveiller les journaux de connexion et d’audit pour vous assurer que les comptes d’accès d’urgence ne peuvent être utilisés que sous autorisation.
Implémentation et contexte supplémentaire :
- Gérer les comptes d’accès d’urgence dans Azure AD
- de gestion des identités et des clés
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Opérations de sécurité (SecOps)
PA-6 : Utiliser des stations de travail à accès privilégié
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | N/A |
Principe de sécurité : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles tels que l’administrateur, le développeur et l’opérateur de service critique.
Conseils Azure : Utilisez Azure Active Directory, Microsoft Defender et/ou Microsoft Intune pour déployer des stations de travail à accès privilégié (PAW) locales ou dans Azure pour les tâches privilégiées. Le PAW doit être géré de manière centralisée pour appliquer la configuration sécurisée, notamment l’authentification forte, les bases de référence logicielles et matérielles, ainsi que l’accès logique et réseau restreint.
Vous pouvez également utiliser Azure Bastion, qui est un service PaaS entièrement géré par la plateforme qui peut être provisionné à l’intérieur de votre réseau virtuel. Azure Bastion autorise la connectivité RDP/SSH à vos machines virtuelles directement à partir du portail Azure à l’aide du navigateur.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Opérations de sécurité (SecOps)
- de gestion des identités et des clés
PA-7 : Suivez le principe d’administration suffisante (privilège minimum)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Principe de sécurité : Suivez le principe d’administration (privilège minimum) suffisant pour gérer les autorisations au niveau précis. Utilisez des fonctionnalités telles que le contrôle d’accès en fonction du rôle (RBAC) pour gérer l’accès aux ressources via des attributions de rôles.
Conseils Azure : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer l’accès aux ressources Azure via des attributions de rôles. Via RBAC, vous pouvez attribuer des rôles aux utilisateurs, aux principaux de service de groupe et aux identités managées. Il existe des rôles prédéfinis pour certaines ressources, et ces rôles peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell et le portail Azure.
Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Les privilèges limités complètent l’approche juste-à-temps (JIT) d’Azure AD Privileged Identity Management (PIM), et ces privilèges doivent être examinés régulièrement. Si nécessaire, vous pouvez également utiliser PIM pour définir la condition de durée (affectation limitée dans le temps) dans l’attribution de rôle où un utilisateur peut activer ou utiliser le rôle uniquement dans les dates de début et de fin.
Remarque : Utilisez des rôles intégrés Azure pour allouer des autorisations et créer uniquement des rôles personnalisés si nécessaire.
Implémentation et contexte supplémentaire :
- Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC)
- Comment configurer RBAC dans Azure
- Comment utiliser les révisions d’identité et d’accès Azure AD
- Azure AD Privileged Identity Management - Affectation liée au temps
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- Gestion de la posture
- de gestion des identités et des clés
PA-8 Déterminer le processus d’accès pour la prise en charge du fournisseur de cloud
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | ID du PCI-DSS v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | N/A |
Principe de sécurité : Établissez un processus d’approbation et un chemin d’accès pour demander et approuver la demande de support du fournisseur et l’accès temporaire à vos données via un canal sécurisé.
Conseils Azure : Dans les scénarios de support où Microsoft doit accéder à vos données, utilisez Customer Lockbox pour examiner et approuver ou rejeter chaque demande d’accès aux données de Microsoft.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (en savoir plus) :
- Sécurité des applications et DevSecOps
- Gestion de la conformité de la sécurité
- de gestion des identités et des clés