Contrôle de sécurité v3 : Gestion des identités

Identity Management couvre les contrôles permettant d’établir des contrôles d’identité et d’accès sécurisés à l’aide d’Azure Active Directory, notamment l’utilisation de l’authentification unique, des authentifications fortes, des identités managées (et des principaux de service) pour les applications, l’accès conditionnel et la surveillance des anomalies de compte.

IM-1 : utiliser le système centralisé d’identité et d’authentification

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
6.7, 12.5	AC-2, AC-3, IA-2, IA-8	7.2, 8.3

Principe de sécurité : utilisez un système centralisé d’identité et d’authentification pour régir les identités et authentifications de votre organisation pour les ressources cloud et non cloud.

Conseils Azure : Azure Active Directory (Azure AD) est le service de gestion des identités et de l’authentification d’Azure. Vous devez normaliser Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

• Les ressources cloud Microsoft, comme le Portail Azure, le Stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.
• Les ressources de votre organisation, telles que les applications sur Azure, les applications tierces qui s’exécutent sur les ressources réseau de votre entreprise et les applications SaaS tierces.
• Les identités de votre entreprise dans Active Directory par la synchronisation sur Azure AD pour garantir une stratégie d’identité gérée régulièrement de manière centralisée.

Remarque : migrez les applications locales Active Directory vers Azure AD, dès que cela est techniquement possible. Il peut s’agir d’un annuaire d’entreprise Azure AD , d’une configuration interentreprises ou d’une configuration entreprise-client.

Implémentation et contexte supplémentaire :

• Location dans Azure AD
• Création et configuration d’une instance Azure AD
• Définir des locataires Azure AD
• Utiliser des fournisseurs d’identité externes pour une application

Parties prenantes de la sécurité des clients (En savoir plus) :

• Gestion des identités et des clés
• Architecture de la sécurité
• Sécurité des applications et DevSecOps
• Gestion de la posture

IM-2 : protéger les systèmes d’identité et d’authentification

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
5.4, 6.5	AC-2, AC-3, IA-2, IA-8, SI-4	8.2, 8.3

Principe de sécurité : sécurisez votre identité et votre système d’authentification avec une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Les contrôles de sécurité communs incluent :

• Limitation des rôles et des comptes privilégiés
• Demande d’une authentification renforcée pour tous les accès privilégiés
• Surveiller et auditer les activités à risque élevé

Conseils Azure : utilisez la base de référence sécurité Azure AD et le score de d’identité sécurisée Azure AD pour évaluer votre posture de sécurité des identités Azure AD et résoudre les problèmes de sécurité et de configuration. Le score d’identité sécurisée Azure AD évalue Azure AD pour les configurations suivantes :-Utiliser des rôles d’administration limités

• Activer la stratégie de risque utilisateur
• Désigner plus d’un administrateur général
• Activer une stratégie pour bloquer l’authentification héritée
• Vérifier que tous les utilisateurs peuvent utiliser une authentification multifacteur pour un accès sécurisé
• Exiger l'authentification multifacteur pour les rôles administratifs
• Activer la réinitialisation du mot de passe libre-service
• Ne pas faire expirer les mots de passe
• Activer la stratégie de connexion à risque
• Ne pas autoriser les utilisateurs à donner leur consentement aux applications non managées

Remarque : suivez les meilleures pratiques publiées pour tous les autres composants d’identité, y compris les Active Directory locaux et les fonctionnalités tierces, ainsi que les infrastructures (telles que les systèmes d’exploitation, les réseaux, les bases de données) qui les hébergent.

Implémentation et contexte supplémentaire :

• Qu’est-ce que le degré de sécurisation Identity Secure Score dans Azure AD
• Meilleures pratiques pour la sécurisation d’Active Directory

Parties prenantes de la sécurité des clients (En savoir plus) :

• Gestion des identités et des clés
• Architecture de la sécurité
• Sécurité des applications et DevSecOps
• Gestion de la posture

IM-3 : gérer les identités d’application de façon sécurisée et automatique

ID des contrôles CIS v8	ID NIST SP 800-53 r4	PCI-DSS ID(s) v3.2.1
N/A	AC-2, AC-3, IA-4, IA-5, IA-9	N/A

Principe de sécurité : utilisez des identités d’application managées au lieu de créer des comptes humains pour que les applications accèdent aux ressources et exécutent le code. Les identités des applications managées offrent des avantages tels que la réduction de l’exposition des informations d’identification. Automatisez la rotation des informations d’identification pour garantir la sécurité des identités.

Conseils Azure :  utilisez les identités managées Azure permettant l’authentification auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

Pour les services qui ne prennent pas en charge les identités managées, utilisez Azure AD pour créer un principal de service avec des autorisations restreintes au niveau de la ressource. Il est recommandé de configurer des principaux de service avec des informations d’identification de certificat et de se replier sur les secrets des clients pour l’authentification.

Implémentation et contexte supplémentaire :

• Identités managées Azure
• Services prenant en charge les identités managées pour les ressources Azure
• Principal de service Azure
• Créer un principal du service avec un certificat

Parties prenantes de la sécurité des clients (En savoir plus) :

• Gestion des identités et des clés
• Sécurité des applications et DevSecOps

IM-4 : authentifier le serveur et les services

ID des contrôles CIS v8	ID NIST SP 800-53 r4	PCI-DSS ID(s) v3.2.1
N/A	IA-9	N/A

Principe de sécurité : authentifiez les serveurs et les services de votre client à distance pour vous assurer que vous vous connectez à un serveur et à des services de confiance. Le protocole d’authentification de serveur le plus courant est le protocole TLS (Transport Layer Security), où le côté client (souvent un navigateur ou un périphérique client) vérifie le serveur en par une vérification de l’émission par une autorité de certification approuvée du certificat du serveur.

Remarque : l’authentification mutuelle peut être utilisée lorsque le serveur et le client s’authentifient l’un l’autre.

Conseils Azure : de nombreux services Azure prennent en charge l’authentification TLS par défaut. Pour les services prenant en charge l’activation ou la désactivation du protocole TLS par l’utilisateur, assurez-vous qu’il est toujours activé pour prendre en charge l’authentification du serveur ou du service. Votre application cliente doit également être conçue pour vérifier l’identité du serveur ou du service (en vérifiant le certificat du serveur émis par une autorité de certification approuvée) lors de l’étape de négociation.

Implémentation et contexte supplémentaire :

• Appliquer le protocole TLS (Transport Layer Security) pour un compte de stockage

Parties prenantes de la sécurité des clients (En savoir plus) :

• Gestion des identités et des clés
• Sécurité des applications et DevSecOps

IM-5 : utiliser l’authentification unique (SSO) pour l’accès aux applications

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
12.5	IA-4, IA-2, IA-8	N/A

Principe de sécurité : utilisez l’authentification unique (SSO) pour simplifier l’expérience utilisateur lors de l’authentification auprès des ressources, notamment les applications et les données dans les services cloud et environnements locaux.

Conseils Azure : utilisez Azure AD pour l’accès aux applications de charge de travail via l’authentification unique (SSO) Azure AD , cela évite le besoin d’avoir plusieurs comptes. Azure AD fournit la gestion des identités et des accès aux ressources Azure (plan de gestion incluant l’interface CLI, PowerShell, le portail), aux applications cloud et aux applications locales.

Azure AD prend en charge l’authentification unique SSO pour les identités d’entreprise telles que les identités des utilisateurs en entreprise, ainsi que les identités d’utilisateurs externes provenant de tiers et d’utilisateurs publics fiables.

Implémentation et contexte supplémentaire :

• Comprendre l’authentification unique d’application avec Azure AD

Parties prenantes de la sécurité des clients (En savoir plus) :

• Architecture de la sécurité
• Gestion des identités et des clés
• Sécurité des applications et DevSecOps

IM-6 : Utiliser des contrôles d’authentification renforcés

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
6.3, 6.4	AC-2, AC-3, IA-2, IA-5, IA-8	7.2, 8.2, 8.3, 8.4

Principe de sécurité : appliquez des contrôles d’authentification renforcés (authentification renforcée sans mot de passe ou authentification multifacteur) à votre système centralisé de gestion d’identité et d’authentification pour tous les accès aux ressources. La seule authentification basée sur les informations d’identification de mot de passe est considérée comme héritée, car elle n’est pas sécurisée et ne résiste pas aux méthodes d’attaque populaires.

Lors du déploiement d’une authentification forte, configurez d’abord les administrateurs et les utilisateurs privilégiés, afin de garantir le niveau le plus élevé de méthode d’authentification forte, et ensuite, déployez la stratégie d’authentification forte appropriée pour tous les utilisateurs.

Remarque : si l’authentification par mot de passe héritée est requise pour les applications et les scénarios hérités, assurez-vous que les bonnes pratiques en matière de sécurité de mot de passe, telles que les exigences de complexité, sont respectées.

Conseils Azure : Azure AD prend en charge des contrôles d’authentification renforcés via des méthodes sans mot de passe et l’authentification multifacteur (MFA).

• Authentification par mot de passe : utilisez l’authentification par mot de passe comme méthode d’authentification par défaut. Trois options sont disponibles pour l’authentification sans mot de passe : Windows Hello Entreprise, la connexion par téléphone via l’application Microsoft Authenticator et FIDO 2Keys. En outre, les clients peuvent utiliser des méthodes d’authentification locales telles que les cartes à puce.
• L’authentification multifacteur : Azure MFA peut être appliquée à tous les utilisateurs, à certains d’entre eux ou au niveau de chaque utilisateur en fonction des conditions de connexion et des facteurs de risque. Activez Azure MFA et suivez les recommandations d’Azure Defender pour le cloud liées à la gestion des accès et des identités pour votre configuration MFA.

Si l’authentification par mot de passe héritée est toujours utilisée pour l’authentification Azure AD, soyez conscient que les comptes cloud uniquement (comptes d’utilisateur créés directement dans Azure) ont une stratégie de mot de passe de base par défaut. Et les comptes hybrides (comptes d’utilisateur provenant d’Active Directory locaux) suivent les stratégies de mot de passe locales.

Pour les applications tierces et les services qui peuvent avoir des mots de passe et ID par défaut, désactivez-les ou modifiez-les lors de la configuration initiale du service.

Implémentation et contexte supplémentaire :

• Guide pratique pour activer l’authentification MFA dans Azure
• Introduction aux options d’authentification sans mot de passe pour Azure Active Directory
• Stratégie de mot de passe par défaut d’Azure AD
• Éliminer les mauvais mots de passe à l’aide de Protection de mots de passe d’Azure AD
• Bloquer l’authentification héritée

Parties prenantes de la sécurité des clients (En savoir plus) :

• Architecture de la sécurité
• Gestion des identités et des clés
• Sécurité des applications et DevSecOps

IM-7 : restreindre l’accès aux ressources en fonction des conditions

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
3.3, 6.4, 13.5	AC-2, AC-3, AC-6	7.2

Principe de sécurité : validez explicitement les signaux approuvés pour autoriser ou refuser l’accès des utilisateurs aux ressources, dans le cadre d’un modèle d’accès Confiance Zéro. Les signaux à valider doivent inclure une forte authentification du compte d’utilisateur, l’analyse comportementale du compte d’utilisateur, la fiabilité de l’appareil, l’appartenance à un utilisateur ou un groupe, des emplacements, etc.

Conseils Azure : utilisez l’accès conditionnel Azure AD pour un contrôle d’accès plus précis en fonction des conditions définies par l’utilisateur, comme la demande de connexions utilisateur à partir de certaines plages d’adresses IP (ou appareils) pour utiliser l’authentification multifacteur. L’accès conditionnel Azure AD vous permet d’appliquer des contrôles d’accès aux applications de votre organisation en fonction de certaines conditions.

Définissez les conditions et les critères applicables à l’accès conditionnel Azure AD dans la charge de travail. Examinez les scénarios courants suivants :

• Demande d’authentification multifacteur pour les utilisateurs disposant de rôles d’administration
• Demande d’authentification multifacteur pour les tâches de gestion Azure
• Blocage des connexions pour les utilisateurs tentant d’utiliser des protocoles d’authentification hérités
• Demande d’emplacements approuvés pour l’inscription à l’authentification multifacteur Azure AD
• Blocage ou octroi de l’accès à partir d’emplacements spécifiques
• Blocage des comportements de connexion à risque
• Demande d’appareils gérés par l’organisation pour des applications spécifiques

Remarque : une gestion précise des sessions d’authentification peut également être utilisée pour la stratégie d’accès conditionnel Azure AD pour les contrôles tels que la fréquence de connexion et la session de navigation permanente.

Implémentation et contexte supplémentaire :

• Présentation de l’accès conditionnel Azure
• Stratégies d’accès conditionnel courantes
• Insights et rapports sur l’accès conditionnel
• Configurer la gestion de session d’authentification avec l’accès conditionnel

Parties prenantes de la sécurité des clients (En savoir plus) :

• Gestion des identités et des clés
• Sécurité des applications et DevSecOps
• Gestion de la posture
• Renseignement sur les menaces

IM-8 : restreindre l’exposition des informations d’identification et des secrets

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
16.9, 16.12	IA-5	3.5, 6.3, 8.2

Principe de sécurité : assurez-vous que les développeurs d’applications gèrent en toute sécurité les informations d’identification et les secrets :

• Évitez d’incorporer les informations d’identification et les secrets dans les fichiers de code et de configuration
• Utilisez le coffre de clés ou un service de magasin de clés sécurisé pour stocker les informations d’identification et les secrets
• Recherchez les informations d’identification dans le code source.

Remarque : cette opération est souvent régie et appliquée par un cycle de vie du développement logiciel sécurisé et un processus de sécurité DevOps .

Conseils Azure : assurez-vous que les secrets et informations d’identification sont stockées dans des emplacements sécurisés tels qu’Azure Key Vault, plutôt que de les incorporer dans les fichiers de code et de configuration.

• Implémenter le moteur d’analyse des informations d’identification Azure DevOps pour identifier les informations d’identification dans le code.
• Pour GitHub, vous pouvez utiliser la fonctionnalité d’analyse de secret en mode natif pour identifier les informations d’identification ou d’autres formes de secrets dans le code.

Les clients tels qu’Azure Functions, les services Azure Apps et les machines virtuelles peuvent utiliser des identités managées pour accéder à Azure Key Vault en toute sécurité. Consultez les contrôles de protection des données liés à l’utilisation d’Azure Key Vault pour la gestion des secrets.

Implémentation et contexte supplémentaire :

• Configurer Credential Scanner
• Analyse du secret GitHub

Parties prenantes de la sécurité des clients (En savoir plus) :

• Sécurité des applications et DevSecOps
• Gestion de la posture

IM-9 : sécuriser l’accès utilisateur aux applications existantes

ID des contrôles CIS v8	ID NIST SP 800-53 r4	ID du PCI-DSS v3.2.1
6.7, 12.5	AC-2, AC-3, SC-11	N/A

Principe de sécurité : dans un environnement hybride, où vous avez des applications locales ou des applications cloud en mode non natif utilisant l’authentification héritée, envisagez des solutions telles que le service CASB (Cloud Access Security Broker), le proxy d’application, l’authentification unique (SSO) pour régir l’accès à ces applications afin d’accéder aux avantages suivants :

• Appliquer une authentification centralisée renforcée
• Surveiller et contrôler les activités à risque pour les utilisateurs finaux
• Surveiller et corriger les activités risquées des applications héritées
• Détecter et empêcher la transmission de données sensibles

Conseils Azure : protégez vos applications cloud locales et non natives utilisant l’authentification héritée en les connectant à :

• Le proxy d’application Azure AD conjointement avec authentification basée sur l’en-tête pour publier d’applications locales héritées pour les utilisateurs distants avec authentification unique (SSO) tout en validant de manière explicite la fiabilité des utilisateurs et des appareils distants avec l’accès conditionnel Azure AD. Si nécessaire, utilisez une solution tierce de périmètre défini par logiciel qui peut offrir des fonctionnalités similaires.
• Vos contrôleurs et réseaux de remise d’application tiers existants
• Microsoft Defender for Cloud Apps, en l’utilisant en tant que service CASB (Cloud Access Security Broker) pour fournir des contrôles pour la surveillance des sessions d’application d’un utilisateur et les actions de blocage (à la fois pour les applications locales héritées et les applications SaaS (Software as a Service) cloud).

Remarque : les VPN sont couramment utilisés pour accéder aux applications héritées, mais n’ont souvent qu’un contrôle d’accès de base et une surveillance limitée des sessions.

Implémentation et contexte supplémentaire :

• Proxy d’application Azure AD
• Meilleures pratiques de Defender for Cloud Apps
• Accès hybride sécurisé Azure AD

Parties prenantes de la sécurité des clients (En savoir plus) :

• Architecture de la sécurité
• Sécurité d’infrastructure et de point de terminaison
• Sécurité des applications et DevSecOps