Ligne de base de sécurité Azure pour Azure Active Directory

Cette base de référence de sécurité applique les conseils du Benchmark de sécurité Azure version 2.0 à Azure Active Directory. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Active Directory.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Active Directory et ceux pour lesquels les directives globales sont recommandées textuellement ont été exclus. Pour voir la façon dont Azure Active Directory est entièrement mappé au Point de référence de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité pour Azure Active Directory.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-6 : Simplifier les règles de sécurité réseau

Conseil : Utilisez des étiquettes de service Réseau virtuel Azure pour définir des contrôles d’accès au réseau sur les groupes de sécurité réseau ou Pare-feu Azure qui sont configurés pour vos ressources Azure Active Directory. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service, comme « AzureActiveDirectory », dans le champ Source ou Destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseil : Azure Active Directory n’expose pas ses configurations DNS sous-jacentes. Ces paramètres sont gérés par Microsoft.

Responsabilité : Microsoft

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Utilisez Azure Active Directory (Azure AD) en tant que service de gestion des identités et des accès par défaut. Vous devez normaliser Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d'identité sécurisée pour vous aider à évaluer la sécurité des identités par rapport aux recommandations de Microsoft en matière de meilleures pratiques. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge l’identité externe, ce qui permet aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseil : Utilisez l’identité managée pour les ressources Azure pour les comptes non humains, tels que les services ou l’automatisation. Il est recommandé d’utiliser la fonctionnalité d’identité managée par Azure au lieu de créer un compte humain plus puissant pour accéder à vos ressources ou les exécuter. Vous pouvez vous authentifier en mode natif auprès des services ou des ressources Azure qui prennent en charge l’authentification Azure AD (Azure Active Directory) via une règle d’octroi d’accès prédéfinie sans utiliser d’informations d’identification codées en dur dans le code source ou les fichiers config. Vous ne pouvez pas attribuer d’identités managées Azure à des ressources Azure AD, mais Azure AD est le mécanisme permettant de s’authentifier avec des identités managées attribuées aux ressources d’autres services.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Utilisez Azure Active Directory pour la gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. Cela inclut les identités d’entreprise, comme les employés, ainsi que les identités externes, comme les partenaires et les fournisseurs. Cela permet à l’authentification unique de gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez l’ensemble de vos utilisateurs, applications et appareils à Azure AD pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseil : Les rôles intégrés les plus critiques dans Azure AD sont Administrateur général et Administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer des rôles Administrateur :

  • Administrateur général : Les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration d’Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.

  • Administrateur de rôle privilégié : Les utilisateurs avec ce rôle peuvent gérer les attributions de rôles dans Azure AD et Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.

Remarque : Vous pouvez avoir d’autres rôles critiques qui doivent être régis si vous utilisez des rôles personnalisés avec certaines autorisations attribuées. Vous pouvez également appliquer des contrôles similaires au compte Administrateur des ressources métier critiques.

Azure AD possède des comptes à privilèges élevés : les utilisateurs et les principaux de service qui sont affectés directement ou indirectement aux rôles administrateur général ou de rôle privilégié, ainsi que d’autres rôles à privilèges élevés dans Azure AD et Azure.

Limitez le nombre de comptes très privilégiés et protégez ces comptes à un niveau élevé, car les utilisateurs disposant de ces privilèges peuvent lire et modifier, directement ou non, toutes les ressources de votre environnement Azure.

Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et Azure AD en utilisant Azure AD Privileged Identity Management (PIM). JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Passez régulièrement en revue les attributions d’accès au compte d’utilisateur pour vous assurer que les comptes et leur accès sont valides, en particulier sur les rôles à privilèges élevés, notamment Administrateur général et Administrateur de rôle privilégié. Vous pouvez utiliser les révisions d’accès Azure Active Directory (Azure AD) pour examiner les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles, à la fois pour les rôles Azure AD et les rôles Azure. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

En outre, Azure Privileged Identity Management peut être configuré pour déclencher des alertes lorsqu'un nombre excessif de comptes d'administrateur est créé, et pour identifier les comptes d'administrateur obsolètes ou mal configurés.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour les tâches d’administration. Utilisez Azure Active Directory, Microsoft Defender Advanced Threat Protection (MDATP) et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles et un accès réseau et logique restreint.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseil : les clients peuvent configurer leur déploiement Azure Active Directory (Azure AD) pour des privilèges minimaux, en affectant des utilisateurs aux rôles avec les autorisations minimales requises pour que les utilisateurs puissent effectuer leurs tâches d’administration.

Responsabilité : Customer

PA-8 : Choisir le processus d’approbation pour le support Microsoft

Conseil : Azure Active Directory ne prend pas en charge Customer Lockbox. Microsoft peut travailler avec des clients via des méthodes hors Lockbox pour approuver l’accès aux données client.

Responsabilité : Partagé

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseil : Tenez compte des conseils suivants pour la mise en œuvre de la protection de vos données sensibles :

  • Isolation : Un annuaire est la limite de données par laquelle les services Azure Active Directory (Azure AD) stockent et traitent les données d’un client. Les clients doivent déterminer où ils souhaitent placer la majorité de données client Azure AD en définissant la propriété Pays dans leur annuaire.

  • Segmentation : Le rôle Administrateur général a le contrôle total de toutes les données de l’annuaire et des règles qui régissent les instructions d’accès et de traitement. Un annuaire peut être segmenté en unités administratives et configuré avec des utilisateurs et des groupes pour être gérés par les administrateurs de ces unités. Les administrateurs généraux peuvent déléguer la responsabilité aux autres principes de leur organisation en les affectant à des rôles prédéfinis ou à des rôles personnalisés qu’ils peuvent créer.

  • Accès : Les autorisations peuvent être appliquées à un utilisateur, un groupe, un rôle, une application ou un appareil. L’affectation peut être permanente ou temporelle selon la configuration de Privileged Identity Management.

  • Chiffrement : Azure AD chiffre toutes les données au repos ou en transit. L’offre ne permet pas aux clients de chiffrer les données d’annuaire avec leur propre clé de chiffrement.

Pour déterminer la façon dont le pays sélectionné est mappé à l’emplacement physique de son annuaire, consultez l’article « Où se trouvent vos données ».

À mesure que le client utilise différents outils, fonctionnalités et applications Azure AD qui interagissent avec son annuaire, utilisez l’article Azure Active Directory – Où se trouvent vos données ?

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseils : En complément des contrôles d’accès, les données en transit doivent être protégées contre les attaques « hors bande » (par exemple, la capture de trafic) à l’aide du chiffrement pour empêcher les attaquants de lire ou modifier facilement les données.

Azure AD prend en charge le chiffrement des données en transit avec TLS 1.2 ou version ultérieure.

C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, vérifiez que les clients se connectant à vos ressources Azure peuvent négocier TLS v1.2 ou une version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Les versions et protocoles SSL, TLS et SSH rendus obsolètes et les chiffrements faibles doivent être désactivés.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Customer

DP-5 : Chiffrement des données sensibles au repos

Conseil : Pour compléter les contrôles d’accès, Azure AD chiffre les données au repos afin de les protéger contre les attaques « hors bande » (comme l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela vise à empêcher que les attaquants puissent facilement lire ou modifier les données.

Responsabilité : Microsoft

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin qu’elles puissent surveiller les risques de sécurité à l’aide d’Azure Security Center.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Utilisez la fonctionnalité de détection des menaces intégrée à la protection d’identité Azure Active Directory (Azure AD) pour vos ressources Azure AD.

Azure AD produit des journaux d’activité qui sont souvent utilisés pour la détection des menaces et la recherche de menaces. Les journaux de connexion Azure AD fournissent un enregistrement de l’activité d’authentification et d’autorisation pour les utilisateurs, les services et les applications. Les journaux d’audit Azure AD suivent les modifications apportées à un locataire Azure AD, y compris les modifications qui améliorent ou limitent la posture de sécurité.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure Active Directory (Azure AD) fournit les journaux d’utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Azure Sentinel ou autres outils de surveillance/SIEM pour des cas d’usage plus sophistiqués de surveillance et d’analyse :

  • Connexions – le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
  • Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
  • Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs à risque - Un utilisateur à risque indique un compte d’utilisateur susceptible d’être compromis.

Les détections de risques de la protection des identités sont activées par défaut et ne nécessitent aucun processus d’intégration. Les données de granularité ou de risque sont déterminées par la référence SKU de la licence.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseil : Azure Active Directory (Azure AD) génère des journaux d’activité. Contrairement à certains services Azure, Azure AD ne fait pas de distinction entre les journaux d’activité et de ressources. Les journaux d’activité sont automatiquement disponibles dans la section Azure AD du portail Azure et peuvent être exportés vers Azure Monitor, Azure Event Hubs, le Stockage Azure, des SIEM et autres emplacements.

  • Connexions – le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.

Azure AD fournit également des journaux liés à la sécurité qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Azure Sentinel ou d’autres outils de surveillance/SIEM pour des cas d’usage plus sophistiqués de surveillance et d’analytique :

  • Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs à risque - Un utilisateur à risque indique un compte d’utilisateur susceptible d’être compromis.

Les détections de risques de la protection des identités sont activées par défaut et ne nécessitent aucun processus d’intégration. Les données de granularité ou de risque sont déterminées par la référence SKU de la licence.

Responsabilité : Customer

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseil : Nous vous recommandons de suivre les instructions ci-dessous lorsque les clients souhaitent centraliser leurs journaux de sécurité afin de faciliter la chasse aux menaces et l’analyse de la posture de sécurité :

  • Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal dans Azure AD, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences de conservation des données.

  • Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.

  • En outre, activez et intégrez les données dans Azure Sentinel ou une solution SIEM tierce.

De nombreuses organisations choisissent d’utiliser Azure Sentinel pour les données « chaudes » qui sont utilisées fréquemment et Stockage Azure pour les données « froides » qui sont utilisées moins fréquemment.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseil : Vérifiez que la période de rétention des journaux définie dans les comptes de stockage ou les espaces de travail Log Analytics utilisés pour le stockage des journaux de connexion, journaux d’audit et journaux de données sur les risques d’Azure Active Directory est conforme aux règles de conformité de votre organisation.

Dans Azure Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics en fonction des règles de conformité de votre organisation. Utilisez des comptes Stockage Azure, Data Lake ou d’espace de travail Log Analytics pour le stockage à long terme et l’archivage.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil : Azure Active Directory (Azure AD) ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Le service Azure AD s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseil : Les solutions de gestion des identités et des accès de Microsoft aident les services informatiques à protéger l’accès aux applications et aux ressources localement et dans le cloud. Il est important que les organisations suivent les meilleures pratiques de sécurité pour garantir que leur implémentation de la gestion des identités et des accès est sécurisée et plus résistante aux attaques.

En fonction de votre stratégie d’implémentation de la gestion des identités et des accès, votre organisation doit suivre les recommandations de Microsoft pour sécuriser votre infrastructure d’identité.

Les organisations qui collaborent avec des partenaires externes doivent également évaluer et mettre en œuvre des configurations de gouvernance, de sécurité et de conformité appropriées pour réduire les risques de sécurité et protéger les ressources sensibles.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseil : Le niveau de sécurité Microsoft fournit aux organisations une mesure de leur posture de sécurité et des recommandations qui peuvent aider à protéger les organisations contre les menaces. Il est recommandé que les organisations examinent régulièrement leur niveau de sécurité pour obtenir des actions d’amélioration suggérées afin d’améliorer leur posture de sécurité des identités.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes