Pour tirer pleinement parti des applications et des services cloud, les organisations doivent trouver le bon équilibre entre garantir l’accès et garder le contrôle de façon à protéger les données critiques consultées à partir d’applications et d’API.
Le modèle de Confiance Zéro aide les organisations à s’assurer que les applications et les données qu’elles contiennent sont protégées par :
L’application de contrôles et de technologies pour découvrir l’informatique fantôme.
La vérification des autorisations appropriées dans l’application.
La limitation de l’accès en fonction de l’analytique en temps réel.
La surveillance de tout comportement anormal.
Le contrôle des actions de l’utilisateur.
La validation des options de configuration sécurisée.
Les objectifs de déploiement Confiance Zéro au niveau des applications
Avant que la plupart des organisations n’initient leur stratégie Confiance Zéro, leurs applications locales sont accessibles par le biais de réseaux physiques ou VPN, et certaines applications cloud critiques sont accessibles aux utilisateurs.
Lors de la mise en œuvre d’une approche Confiance Zéro pour la gestion et la surveillance des applications, nous vous recommandons de vous concentrer sur les objectifs de déploiement initiaux suivants :
Guide de déploiement de la Confiance Zéro pour les applications
Ce guide vous accompagne tout au long des étapes nécessaires à la sécurisation de vos applications et API selon les principes d’une infrastructure de sécurité Confiance Zéro. Notre approche est alignée sur les trois principes suivants de Confiance Zéro :
Vérifier explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état du dispositif, le service ou la charge de travail, la classification des données et les anomalies.
Utiliser l’accès du moindre privilège. Limitez l’accès utilisateur avec l’accès « juste à temps et juste suffisant » (JIT/JEA), les stratégies adaptatives basées sur les risques et la protection des données pour protéger les données et la productivité.
Supposer une violation. Réduisez le rayon d’explosion pour les violations et empêchez le mouvement latéral en segmentant l’accès par réseau, utilisateur, appareils et sensibilisation aux applications. Vérifier que toutes les sessions sont chiffrées de bout en bout. Utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.
Objectifs de déploiement initiaux
I. Obtenez une visibilité des activités et des données liées à vos applications en les connectant via des API.
La majorité des activités des utilisateurs au sein d’une organisation proviennent des applications cloud et des ressources associées. La plupart des applications cloud principales fournissent une API pour la consommation d’informations sur les locataires et la réception d’actions de gouvernance correspondantes. Utilisez ces intégrations pour surveiller et alerter quand des menaces et des anomalies se produisent dans votre environnement.
Effectuez les étapes suivantes :
Adoptez Microsoft Defender for Cloud Apps, qui fonctionne avec les services pour optimiser la visibilité, les actions de gouvernance et l’utilisation.
Passez en revue les applications qui peuvent être connectées avec l’intégration de l’API Defender pour le cloud Apps, et connectez les applications dont vous avez besoin. Utilisez cette visibilité approfondie pour analyser les activités, les fichiers et les comptes pour les applications de votre environnement cloud.
II. Découvrez et contrôlez l’utilisation de l’informatique fantôme
En moyenne, ce sont 1 000 applications distinctes qui sont utilisées au sein de votre organisation. 80 % des employés utilisent des applications non approuvées que personne n’a révisées et qui peuvent ne pas être conformes à vos stratégies de sécurité et de conformité. Et comme vos employés peuvent accéder à vos ressources et applications à l’extérieur de votre réseau d’entreprise, définir des règles et des stratégies sur vos pare-feu ne suffit plus.
Concentrez-vous sur l’identification de modèles d’utilisation des applications, l’évaluation des niveaux de risque et de l’adéquation des applications pour l’entreprise, la prévention de la fuite de données vers des applications non conformes et la limitation de l’accès à des données régulées.
Configurer Cloud Discovery qui analyse vos journaux de trafic par rapport au catalogue Microsoft Defender for Cloud Apps de plus de 16 000 applications cloud. Les applications sont classées et évaluées sur la base de plus de 90 facteurs de risque.
Optez pour l’intégration avec Microsoft Defender pour point de terminaison pour commencer immédiatement à collecter des données sur le trafic du cloud sur vos appareils Windows 10, sur votre réseau et en dehors de celui-ci.
Déployez le collecteur de journaux Defender pour le cloud Apps sur vos pare-feu et autres proxys pour collecter les données de vos points de terminaison et les envoyer à Defender for Cloud Apps à des fins d’analyse.
Intégrer Defender pour le cloud Apps à votre proxy.
Sur le portail Defender pour le cloud Apps, sous Découvrir, cliquez sur Applications découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque qui vous intéressent.
Explorez une application pour mieux évaluer sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher des détails sur les facteurs de risque de sécurité de l’application.
Sur le portail Defender pour le cloud Apps, sous Découvrir, cliquez sur Applications découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque de conformité qui vous intéressent. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.
Explorez une application pour en savoir plus sur sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher les détails sur les facteurs de risque de conformité de l’application.
Sur le portail Defender pour le cloud Apps, sous Découvrir, cliquez sur Applications découvertes, puis approfondissez en cliquant sur l'application spécifique que vous souhaitez étudier. L’onglet Utilisation vous permet de savoir combien d’utilisateurs actifs se servent de l’application et la quantité de trafic qu’elle génère. Si vous voulez savoir précisément qui utilise l’application, vous pouvez faire une exploration plus poussée en cliquant sur Nombre total d’utilisateurs actifs.
Explorez plus en détail les applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud.
Créez de nouvelles balises d’application personnalisées afin de classer chaque application en fonction de son état ou de sa justification au sein de l’entreprise. Ces balises peuvent ensuite être utilisées à des fins d’analyse spécifiques.
Les balises d’application peuvent être gérées sous les balises d’application des paramètres Cloud Discovery. Ces balises peuvent ensuite être utilisées pour filtrer le contenu des pages Cloud Discovery et créer des stratégies.
Gérer les applications découvertes à l’aide de la galerie Microsoft Entra. Pour les applications qui figurent déjà dans la galerie Microsoft Entra, il vous suffit d’appliquer l’authentification unique et de gérer l’application avec Microsoft Entra ID. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis choisissez Gérer l’application avec Microsoft Entra ID.
III. Protégez automatiquement les informations et les activités sensibles en mettant en œuvre des stratégies.
Defender pour le cloud Apps vous permet de définir la façon dont vous souhaitez que vos utilisateurs se comportent dans le cloud. Pour ce faire, vous pouvez créer des stratégies. Il existe de nombreux types : accès, activité, détection d’anomalie, découverte d’application, stratégie de fichier, détection d’anomalies Cloud Discovery et stratégies de session.
Les stratégies permettent de détecter des comportements à risques, des violations, ou des points de données et des activités suspectes dans votre environnement cloud. Elles permettent de surveiller les tendances, voir les menaces de sécurité et générer des rapports et des alertes personnalisés.
Effectuez les étapes suivantes :
Utilisez des stratégies prêtes à l’emploi qui ont déjà été testées pour un grand nombre d’activités et de fichiers. Mettez en œuvre des actions de gouvernance telles que la révocation des autorisations et la suspension des utilisateurs, la mise en quarantaine des fichiers et l’application d’étiquettes de confidentialité.
Créez de nouvelles stratégies que Defender pour le cloud Apps vous suggère.
Configurez des stratégies pour surveiller les applications d’informatique fantôme et garantir un contrôle :
Créez une stratégie de découverte d’application qui vous informe qu’un pic de téléchargements ou de trafic a été atteint par une application dont vous vous souciez. Activez les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques.
Conservez les stratégies de mise à jour et utilisez le tableau de bord Cloud Discovery. Consultez les (nouvelles) applications que vos utilisateurs utilisent, ainsi que leurs modèles d’utilisation et de comportement.
IV. Déployez des un accès adaptatif et des contrôles de session pour toutes les applications
Une fois que vous avez accompli vos trois objectifs initiaux, vous pouvez vous concentrer sur des objectifs supplémentaires, par exemple pour vous assurer que toutes les applications utilisent un accès à privilèges minimum avec une vérification continue. L’adaptation et la restriction dynamiques des accès en cas de modification des risques de session vous permettent de bloquer les violations et les fuites en temps réel, avant que les employés ne placent vos données et votre organisation en péril.
Étape à suivre
Activez la surveillance et le contrôle en temps réel de l’accès à n’importe quelle application web, en fonction de l’utilisateur, de l’emplacement, de l’appareil et de l’application. Par exemple, vous pouvez créer des stratégies pour protéger les téléchargements de contenu sensible avec des étiquettes de sensibilité lors de l’utilisation d’un appareil non géré. Les fichiers peuvent également être analysés au moment du chargement pour détecter les programmes malveillants potentiels et les empêcher de pénétrer dans un environnement cloud sensible.
V. Renforcez la protection contre les menaces informatiques et les applications non autorisées
Les utilisateurs malveillants ont développé des outils, des techniques et des procédures uniques et dédiés d’attaque, qui ciblent le cloud afin de franchir les défenses et d’accéder à des informations sensibles et critiques. Ils utilisent des tactiques, telles que des autorisations de consentement OAuth illicites, des ransomware liés au cloud et des informations d’identification pour la compromission d’identités dans le cloud.
Les organisations peuvent répondre à ces menaces à l’aide d’outils disponibles dans Defender pour le cloud Apps, tels que l’analyse comportementale des utilisateurs et des entités (UEBA) et la détection d’anomalies, la protection contre les programmes malveillants, la protection des applications OAuth, l’enquête sur les incidents, et la correction. Defender pour le cloud Apps cible de nombreuses anomalies de sécurité prêtes à l’emploi, telles que le voyage impossible, les règles de boîte de réception suspectes et les ransomware.
Les différentes détections sont développées en tenant compte des équipes d’exploitation de sécurité et visent à concentrer les alertes sur les véritables indicateurs de compromission, tout en déverrouillant les investigations et les mises à jour pilotées par le renseignement sur les menaces.
VI. Évaluez la position de sécurité de vos environnements cloud
Au-delà des applications SaaS, les organisations sont massivement impliquées dans les services IaaS et PaaS. Defender pour le cloud Apps permet à votre entreprise d'évaluer et de renforcer sa posture et ses capacités de sécurité pour ces services en obtenant une visibilité sur la configuration de la sécurité et l'état de la conformité sur l'ensemble de vos plateformes de cloud public. Cela permet une enquête basée sur les risques de l’état de la configuration de la plateforme dans son ensemble.
Effectuez les étapes suivantes :
Utilisez Defender pour le cloud Apps pour surveiller les ressources, les abonnements, les recommandations et les niveaux de gravité correspondants dans vos environnements cloud.
Limitez le risque d’une violation de la sécurité en conservant des plateformes cloud, telles que Microsoft Azure, AWS et GCP, en accord avec la stratégie de configuration de votre organisation et avec la réglementation, suivant la référence CIS, ainsi que les meilleures pratiques du fournisseur pour la configuration de la sécurité.
À l’aide de Defender pour le cloud Apps, le tableau de bord de configuration de la sécurité peut être utilisé pour mettre en œuvre des actions correctives afin de réduire le risque.
Quel que soit l’emplacement de la ressource ou de l’application cloud, les principes Confiance Zéro garantissent que vos environnements et données cloud sont protégés. Pour plus d’informations sur ces processus ou pour obtenir de l’aide pour ces implémentations, contactez l’équipe responsable de la réussite de vos clients.
Série de guides de déploiement de la Confiance Zéro
Confiance Zéro n’est pas un produit ou un outil, mais une stratégie de sécurité essentielle qui cherche à vérifier en permanence chaque transaction, déclare un accès au moindre privilège et suppose que chaque transaction peut être une attaque possible. Grâce aux modules de ce parcours d’apprentissage, vous allez comprendre Confiance Zéro et comment ça s’applique à l’identité, aux points de terminaison, aux applications, aux réseaux, à l’infrastructure et aux données.
Expliquez les fonctionnalités de Microsoft Entra ID pour moderniser des solutions d’identité, implémenter des solutions hybrides et une gouvernance des identités.
L’infrastructure représente un vecteur de menace critique. Une stratégie Confiance zéro facilite le développement, le test, la livraison, la surveillance, le contrôle et la prise en charge des services informatiques.
Étant donné que la Confiance Zéro ne suppose pas que les requêtes sont dignes de confiance, il est essentiel de mettre en place un moyen d’attester de la fiabilité de la requête pour prouver sa fiabilité à un point dans le temps. Cette attestation requiert la possibilité d’obtenir une visibilité des activités sur et autour de la requête.
Tous les points de terminaison ne sont pas gérés ni même détenus par l’organisation, ce qui se traduit par des configurations d’appareil et des niveaux de correctif logiciel différents. Dans une approche Confiance Zéro, les mêmes stratégies de sécurité sont appliquées quel que soit le type d’appareil ou le propriétaire.
La protection des données est l’une des principales responsabilités des équipes de sécurité et de conformité. Pour garantir la protection et la limitation de l’accès aux données aux utilisateurs autorisés, les données doivent être inventoriées, classées, étiquetées et, le cas échéant, chiffrées.
En raison du cloud, des appareils mobiles et autres points de terminaison qui repoussent les frontières et changent les paradigmes, il n’y a pas nécessairement de réseau clairement circonscrit/défini à sécuriser. Au lieu de cela, il existe un vaste éventail d’appareils et de réseaux reliés entre eux par le cloud.
