Tout savoir sur Azure Security Benchmark v2
Microsoft a ajouté des benchmarks de sécurité à Azure. Comment fonctionnent-ils et comment peuvent-ils vous aider à mieux comprendre votre posture de sécurité sur Azure ?
La récente v2 d'Azure Security Benchmark de Microsoft vous permet d'aligner ces benchmarks sur ceux que vous utilisez pour votre environnement sur site. Les benchmarks pour CIS Controls v7.1 et NIST SP800-53 r4 du catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information fédéraux américains (Security and Privacy Controls for Federal Information Systems and Organizations) seront bientôt alignés sur les benchmarks de sécurité Azure. Cette concordance permettra d'obtenir une vue consolidée des recommandations de Microsoft en matière de sécurité sur Azure. Une explication de ces benchmarks et des frameworks Azure vous donnera une image plus claire de votre posture de sécurité Azure. Et même si vous exercez une activité en dehors du secteur réglementé, il est toujours intéressant de savoir de quoi il s'agit. Ces meilleures pratiques peuvent contribuer dans une large mesure à assurer votre sécurité.
Azure Security Benchmark v2 inclut :
- Sécurité des réseaux : ces contrôles visent à sécuriser et à protéger les réseaux Azure. Ils concernent la sécurisation des réseaux virtuels, les connexions privées, la prévention et l'atténuation des attaques externes et la sécurisation du DNS. Cette sécurité est proche de la sécurité physique et matérielle d'un réseau sur site typique.
- Gestion des identités : l'identité est un nouvel aspect de la sécurité dans le cloud. Elle inclut des contrôles pour établir une identité sécurisée et des contrôles d'accès en utilisant Azure Active Directory (AD). Elle couvre également l'authentification unique (SSO), les authentifications fortes, les identités gérées (et les principes de service) pour les applications, l'accès conditionnel et la surveillance des anomalies sur les comptes.
- Accès privilégié : La protection de vos administrateurs est un élément essentiel de la protection dans le cloud et sur site. L'accès privilégié couvre les contrôles visant à protéger l'accès privilégié à votre locataire Azure et à vos ressources, y compris la protection de votre modèle d'administration, vos comptes d'administration et vos postes de travail à accès privilégié contre les risques délibérés et involontaires.
- Protection des données : Dans le contexte actuel où les employés travaillent depuis n'importe quel lieu, les données peuvent être stockées n'importe où. La protection des données couvre le contrôle de la protection des données au repos, en transit et via des mécanismes d'accès autorisés, y compris la découverte, la classification, la protection et la surveillance des données sensibles à l'aide du contrôle d'accès, du cryptage et de la journalisation dans Azure.
- Gestion des actifs : Le contrôle des actifs assure la visibilité et la gouvernance sur la sécurité des ressources Azure, y compris les recommandations sur les autorisations pour le personnel de sécurité, l'accès sécurisé à l'inventaire des actifs et la gestion des approbations pour les services et les ressources (inventaire, suivi et correction).
- Journalisation et détection des menaces : La journalisation est souvent négligée dans les réseaux sur site et dans le cloud. Dans Azure, cela inclut l'activation, la collecte et le stockage de journaux d'audit pour les services Azure, par exemple l'activation de processus de détection, d'enquête et de correction avec des contrôles pour générer des alertes de haute qualité avec détection native des menaces dans les services Azure. Azure Sentinel (le produit de journalisation de Microsoft basé sur le cloud), la synchronisation temporelle et la conservation des journaux en sont des éléments clés.
- Réponse aux incidents : Le cycle de vie de la réponse aux incidents (préparation, détection et analyse, rétention et activités post-incident) est souvent négligé, tant le redémarrage de l'activité prévaut sur tout le reste. Azure Security Center et Sentinel sont utilisés pour automatiser le processus de réponse aux incidents.
- Gestion de la posture et de la vulnérabilité : La surveillance continue, y compris l'analyse des vulnérabilités, les tests de pénétration et les mesures correctives, ainsi que le suivi, le reporting et la correction de la configuration de sécurité dans les ressources Azure sont essentiels pour sécuriser les ressources du cloud.
- Sécurité des points d'extrémité : Ce benchmark comprend la détection et la réponse des points d'extrémité (EDR), y compris l'utilisation de l'EDR et du service anti-malware pour les points d'extrémité dans les environnements Azure.
- Sauvegarde et récupération : Cela inclut des contrôles pour garantir que les sauvegardes de données et de configuration aux différents niveaux de service sont effectuées, validées et protégées.
- Gouvernance et stratégie : Cela comprend une stratégie pour les politiques et les normes telles que l'établissement des rôles et des responsabilités pour les différentes fonctions de sécurité dans le cloud, une stratégie technique unifiée et des politiques de support et de normes.
Dans les mois à venir, les exigences de conformité PCI DSS, le standard de sécurité de l'industrie des cartes de paiement, seront incluses au mappage des benchmarks de sécurité Azure.
Utiliser Azure Security Benchmark v2
Pour commencer à examiner les benchmarks, téléchargez la feuille de calcul Excel qui montre la correspondance avec les contrôles du National Institute of Standards and Technology (NIST). Azure Security Center dispose de la version v1 du benchmark, la version par défaut de son tableau de bord de conformité réglementaire. Bientôt, le nouveau benchmark v2 sera la version par défaut.
Azure CIS 1.1.0 est la valeur par défaut actuellement en vigueur. Pour consulter le tableau de bord de la conformité réglementaire, vous devez disposer d'une licence Azure Defender. Vous pouvez choisir des normes réglementaires supplémentaires en allant dans le centre de sécurité Azure Security Center et en sélectionnant « Conformité réglementaire ». Cliquez ensuite sur « Gérer les politiques de conformité ». Choisissez votre abonnement Azure et cliquez ensuite sur « Ajouter d'autres normes ». Á partir de là, vous pouvez choisir des normes comme NIST SP800-53 r4 du catalogue de contrôles de sécurité et de confidentialité pour les systèmes d'information fédéraux américains (Security and Privacy Controls for Federal Information Systems and Organizations).
Avant de déployer les modèles, assurez-vous que vous disposez de certains droits sur votre locataire Azure. Vous devrez peut-être vous connecter à PowerShell ou Azure Cloud Shell pour vérifier les droits dont vous disposez. Ouvrez Azure AD. Dans la rubrique « Gérer », sélectionnez « Propriétés ». Dans la rubrique « Gestion de l'accès aux ressources Azure », réglez le commutateur sur « Oui ». Dans Azure Cloud Shell, accordez l'accès à l'utilisateur admin et au périmètre root.
#get object Id of the user
$user = Get-AzADUser -UserPrincipalName <user>@<azuredomain>
#Assign Owner role to Tenant root scope ("/") as a User Access Administrator
(Assigner le rôle de propriétaire au champ d'application racine du locataire ("/") en tant qu'administrateur de l'accès utilisateur)
New-AzRoleAssignment -Scope '/' -RoleDefinitionName 'Owner' -ObjectId $user.Id
Une fois que vous avez les autorisations appropriées, démarrez le processus de déploiement du modèle pour votre abonnement. Dans la page du framework, cliquez sur « Déployer vers Azure ». Le portail ouvre alors l'onglet « Déploiement ». Ensuite, sélectionnez le bon locataire et la région que vous souhaitez choisir pour déployer les ressources. Après quoi, attribuez un préfixe de groupe de gestion. Cette valeur doit comporter de 1 à 5 caractères. Dans la section suivante, « Gestion, sécurité et gouvernance de la plate-forme », sélectionnez les valeurs par défaut que vous souhaitez déployer. Les sélections comprennent l'activation de l'espace de travail d'analyse des journaux pour une conservation de 30 jours. Vous pouvez choisir de déployer des solutions pour la santé des agents, le suivi des changements, la gestion des mises à jour, le journal des activités, les informations sur les machines virtuelles, la protection contre les logiciels malveillants, le mappage de services et l'analyse SQL.
Vous pouvez ensuite choisir de déployer Azure Security Center et d'activer la surveillance. Vous devez choisir entre les niveaux standard ou libre. Le niveau libre d'Azure Security Center vous permet d'effectuer une analyse en continue, d'obtenir des recommandations de sécurité et de consulter le score de sécurité d'Azure. Le niveau standard ajoute l'accès JIT (Just-in-Time) aux machines virtuelles, des contrôles adaptatifs des applications et un renforcement du réseau, un tableau de bord et des rapports de conformité réglementaire, une protection contre les menaces pour les machines virtuelles Azure et les serveurs non Azure (y compris les serveurs Endpoint Detection and Response EDR), une protection contre les menaces pour les services PaaS et Microsoft Defender pour les points de terminaison (serveurs). La page https://azure.microsoft.com/fr-fr/pricing/calculator/ permet de calculer les prix et d'estimer les coûts pour les produits Azure.
