Base de référence de sécurité Azure pour Application Gateway

Cette base de référence de sécurité applique les conseils du benchmark de sécurité Azure version 1.0 à Application Gateway. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le benchmark de sécurité Azure et les conseils associés applicables à Application Gateway.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une section a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Application Gateway, ou dont la responsabilité incombe à Microsoft, ont été exclus. Pour voir la correspondance complète entre Application Gateway et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Application Gateway.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.1 : Protéger les ressources Azure au sein des réseaux virtuels

Aide : Assurez-vous qu'un groupe de sécurité réseau (NSG) a été appliqué à tous les déploiements de sous-réseaux du réseau virtuel Azure Application Gateway avec des contrôles d'accès réseau spécifiques aux ports et sources approuvés de votre application. Bien que les groupes de sécurité réseau soient pris en charge par Azure Application Gateway, certaines restrictions et exigences doivent être respectées pour que votre NSG et votre Azure Application Gateway fonctionnent comme prévu.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’ensemble du trafic Internet doit transiter par votre pare-feu Azure déployé Microsoft Defender pour le cloud a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0
Les réseaux virtuels doivent utiliser la passerelle de réseau virtuel spécifiée Cette stratégie audite les réseaux virtuels si la route par défaut ne pointe pas vers la passerelle de réseau virtuel spécifiée. AuditIfNotExists, Désactivé 1.0.0

1.2 : Superviser et journaliser la configuration et le trafic des réseaux virtuels, des sous-réseaux et des interfaces réseau

Conseils : Pour les groupes de sécurité réseau (NSG) associés à vos sous-réseaux Azure Application Gateway, activez les journaux de flux des groupes de sécurité réseau et envoyez les journaux dans un compte de stockage pour l’audit du trafic. Vous pouvez aussi envoyer ces journaux dans un espace de travail Log Analytics et utiliser Traffic Analytics pour obtenir des insights sur le flux de trafic dans votre cloud Azure. Parmi les avantages de Traffic Analytics figure la possibilité de visualiser l’activité réseau et d’identifier les zones réactives, d’identifier les menaces de sécurité, de comprendre les modèles de flux de trafic et de repérer les mauvaises configurations du réseau.

Remarque : Dans certains cas, les journaux de flux du NSG associés à vos sous-réseaux Azure Application Gateway n’affichent pas le trafic autorisé. Si votre configuration correspond au scénario suivant, vous ne verrez pas le trafic autorisé dans vos journaux de flux NSG :

  • Vous avez déployé Application Gateway v2
  • Vous avez un NSG sur le sous-réseau Application Gateway
  • Vous avez activé les journaux de flux NSG sur ce groupe de sécurité réseau

Pour plus d’informations, consultez les références ci-dessous.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

1.3 : Protéger les applications web critiques

Aide : Déployez un pare-feu d'applications web (WAF) Azure devant les applications web critiques pour bénéficier d'un contrôle supplémentaire du trafic entrant. Le pare-feu d’applications web (WAF) est un service (fonctionnalité d’Azure Application Gateway) qui protège vos applications web de manière centralisée contre les vulnérabilités et les attaques courantes. Azure WAF permet de sécuriser vos applications web Azure App Service en inspectant le trafic web entrant afin de bloquer les attaques, telles que les injections de code SQL, le script de site à site, le chargement de programmes malveillants et les attaques DDoS. WAF suit des ensembles de règles de base OWASP (Open Web Application Security Project) 3.1 (WAF_v2 uniquement), 3.0 et 2.2.9.

Responsabilité : Customer

1.4 : Refuser les communications avec des adresses IP connues comme étant malveillantes

Aide : Activez la protection standard DDoS sur vos réseaux virtuels Azure associés à vos instances de production d’Azure Application Gateway pour vous protéger des attaques DDoS. Utilisez le renseignement sur les menaces intégré à Microsoft Defender pour le cloud afin de refuser les communications avec des adresses IP connues comme étant malveillantes.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’ensemble du trafic Internet doit transiter par votre pare-feu Azure déployé Microsoft Defender pour le cloud a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
Azure DDoS Protection Standard doit être activé La protection DDoS standard doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle d’application avec une adresse IP publique. AuditIfNotExists, Désactivé 3.0.0

1.5 : Enregistrer les paquets réseau

Conseils : Pour les groupes de sécurité réseau (NSG) associés à vos sous-réseaux Azure Application Gateway, activez les journaux de flux des groupes de sécurité réseau et envoyez les journaux dans un compte de stockage pour l’audit du trafic. Vous pouvez aussi envoyer ces journaux dans un espace de travail Log Analytics et utiliser Traffic Analytics pour obtenir des insights sur le flux de trafic dans votre cloud Azure. Parmi les avantages de Traffic Analytics figure la possibilité de visualiser l’activité réseau et d’identifier les zones réactives, d’identifier les menaces de sécurité, de comprendre les modèles de flux de trafic et de repérer les mauvaises configurations du réseau.

Remarque : Dans certains cas, les journaux de flux du NSG associés à vos sous-réseaux Azure Application Gateway n’affichent pas le trafic autorisé. Si votre configuration correspond au scénario suivant, vous ne verrez pas le trafic autorisé dans vos journaux de flux NSG :

  • Vous avez déployé Application Gateway v2
  • Vous avez un NSG sur le sous-réseau Application Gateway
  • Vous avez activé les journaux de flux NSG sur ce groupe de sécurité réseau

Pour plus d’informations, consultez les références ci-dessous.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Un plan Microsoft Defender pour les services associés peut être nécessaire pour les alertes liées à ce contrôle.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

1.6 : Déployer des systèmes de détection et de prévention des intrusions (IDS/IPS) basés sur le réseau

Aide : Déployez un pare-feu d'applications web (WAF) Azure devant les applications web critiques pour bénéficier d'un contrôle supplémentaire du trafic entrant. Le pare-feu d’applications web (WAF) est un service (fonctionnalité d’Azure Application Gateway) qui protège vos applications web de manière centralisée contre les vulnérabilités et les attaques courantes. Azure WAF permet de sécuriser vos applications web Azure App Service en inspectant le trafic web entrant afin de bloquer les attaques, telles que les injections de code SQL, le script de site à site, le chargement de programmes malveillants et les attaques DDoS. WAF suit des ensembles de règles de base OWASP (Open Web Application Security Project) 3.1 (WAF_v2 uniquement), 3.0 et 2.2.9.

Il existe également plusieurs options de place de marché, par exemple le WAF Barracuda pour Azure, disponibles sur la Place de Marché Azure, qui incluent des fonctionnalités IDS/IPS.

Responsabilité : Customer

1.7 : Gérer le trafic à destination des applications web

Aide : Déployez Azure Application Gateway pour les applications web en activant le protocole HTTPS/SSL pour les certificats approuvés.

Responsabilité : Customer

1.8 : Réduire la complexité et les frais administratifs liés aux règles de sécurité réseau

Aide : Utilisez des balises de service de réseau virtuel pour définir des contrôles d’accès réseau sur les groupes de sécurité réseau ou le Pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de la balise de service (par exemple, GatewayManager) dans le champ Source ou Destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Pour les groupes de sécurité réseau (NSG) associés à vos sous-réseaux Azure Application Gateway, vous devez autoriser le trafic Internet entrant sur les ports TCP 65503-65534 pour la référence (SKU) Application Gateway v1 et sur les ports TCP 65200-65535 pour la référence (SKU) v2 avec le sous-réseau de destination en tant que Any et la source en tant qu’étiquette de service GatewayManager. Cette plage de ports est nécessaire pour la communication avec l’infrastructure Azure. Ces ports sont protégés (verrouillés) par des certificats Azure. Les entités externes, y compris les clients de ces passerelles, ne peuvent pas communiquer avec ces points de terminaison.

Responsabilité : Customer

1.9 : Gérer les configurations de sécurité standard pour les périphériques réseau

Conseils : Définissez et implémentez des configurations de sécurité standard pour les paramètres réseau relatifs à vos déploiements d’Azure Application Gateway. Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des stratégies personnalisées d’audit ou d’application de la configuration réseau de vos passerelles Azure Application Gateway, de vos réseaux virtuels Azure et de vos groupes de sécurité réseau. Vous pouvez également utiliser une définition de stratégie intégrée.

Vous pouvez également utiliser Azure Blueprints pour simplifier les déploiements Azure à grande échelle en regroupant les artefacts d’environnement clés, tels que les modèles Azure Resource Manager, le contrôle d’accès en fonction du rôle Azure (Azure RBAC) et les stratégies au sein d’une seule définition de blueprint. Vous pouvez facilement appliquer le blueprint aux nouveaux abonnements et environnements, et ajuster le contrôle et la gestion par le biais du contrôle de version.

Responsabilité : Customer

1.10 : Règles de configuration du trafic de documents

Aide : Utilisez des étiquettes pour les groupes de sécurité réseau (NSG) associés à vos sous-réseaux Azure Application Gateway et autres ressources liées à la sécurité réseau et au flux de trafic. Concernant les règles NSG individuelles, utilisez le champ « Description » afin de spécifier le besoin métier et/ou la durée (etc.) pour toutes les règles qui autorisent le trafic vers/depuis un réseau.

Utilisez l’une des définitions de stratégie Azure intégrées en lien avec l’étiquetage, comme « Exiger une étiquette et sa valeur », pour garantir que toutes les ressources créées sont étiquetées et être informé de l’existence de ressources non étiquetées.

Vous pouvez utiliser Azure PowerShell ou Azure CLI pour rechercher des ressources ou effectuer des actions sur des ressources en fonction de leurs étiquettes.

Responsabilité : Customer

1.11 : Utiliser des outils automatisés pour superviser les configurations des ressources réseau et détecter les modifications

Aide : Utilisez le journal d’activité Azure pour superviser les configurations des ressources réseau et détecter les changements apportés aux paramètres et ressources réseau liés à vos déploiements d’Azure Application Gateway. Créez des alertes dans Azure Monitor qui se déclenchent lorsque des modifications sont apportées à des paramètres ou ressources réseau critiques.

Responsabilité : Customer

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.2 : Configurer la gestion des journaux de sécurité centrale

Aide : Pour la journalisation d’audit du plan de contrôle, activez les paramètres de diagnostic des journaux d’activité Azure et envoyez les journaux vers un espace de travail Log Analytics, Azure Event Hub ou un compte de stockage Azure. À l’aide des données du journal d’activité Azure, il vous est possible de déterminer « quoi, qui et quand » pour toutes les opérations d’écriture (PUT, POST, DELETE) effectuées au niveau du plan de contrôle pour votre passerelle Azure Application Gateway et les ressources associées, telles que les groupes de sécurité réseau (NSG), utilisées pour protéger les sous-réseaux Azure Application Gateway.

En plus de vos journaux d’activité, vous pouvez configurer les paramètres de diagnostic pour vos déploiements d’Azure Application Gateway. Les paramètres de diagnostic permettent de configurer l’exportation en continu des journaux et des métriques de la plateforme pour une ressource vers la destination de votre choix (Compte de stockage, Event Hubs et Log Analytics).

Azure Application Gateway est également intégré à Azure Application Insights. Application Insights collecte des données de journal, de performances et d’erreur. Application Insights détecte automatiquement les anomalies de performance et intègre de puissants outils d’analyse conçus pour aider à diagnostiquer les problèmes et à comprendre la manière dont vos applications web sont utilisées. Vous pouvez peut-être activer l’exportation continue pour exporter la télémétrie d’Application Insights vers un emplacement centralisé afin de garder les données plus longtemps que la période de rétention standard.

Responsabilité : Customer

2.3 : Activer la journalisation d’audit pour les ressources Azure

Aide : Pour la journalisation d’audit du plan de contrôle, activez les paramètres de diagnostic des journaux d’activité Azure et envoyez les journaux vers un espace de travail Log Analytics, Azure Event Hub ou un compte de stockage Azure. À l’aide des données du journal d’activité Azure, il vous est possible de déterminer « quoi, qui et quand » pour toutes les opérations d’écriture (PUT, POST, DELETE) effectuées au niveau du plan de contrôle pour votre passerelle Azure Application Gateway et les ressources associées, telles que les groupes de sécurité réseau (NSG), utilisées pour protéger les sous-réseaux Azure Application Gateway.

En plus de vos journaux d’activité, vous pouvez configurer les paramètres de diagnostic pour vos déploiements d’Azure Application Gateway. Les paramètres de diagnostic permettent de configurer l’exportation en continu des journaux et des métriques de la plateforme pour une ressource vers la destination de votre choix (Compte de stockage, Event Hubs et Log Analytics).

Azure Application Gateway est également intégré à Azure Application Insights. Application Insights collecte des données de journal, de performances et d’erreur. Application Insights détecte automatiquement les anomalies de performance et intègre de puissants outils d’analyse conçus pour aider à diagnostiquer les problèmes et à comprendre la manière dont vos applications web sont utilisées. Vous pouvez peut-être activer l’exportation continue pour exporter la télémétrie d’Application Insights vers un emplacement centralisé afin de garder les données plus longtemps que la période de rétention standard.

Responsabilité : Customer

2.5 : Configurer la conservation du stockage des journaux de sécurité

Aide : Dans Azure Monitor, définissez la période de conservation de votre espace de travail Log Analytics en fonction des obligations réglementaires de votre organisation. Utilisez les comptes de stockage Azure pour le stockage à long terme/d’archivage.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Aide : Activez les paramètres de diagnostic du journal d’activité Azure, ainsi que les paramètres de diagnostic de votre passerelle Azure Application Gateway, puis envoyez les journaux dans un espace de travail Log Analytics. Effectuez des requêtes dans Log Analytics pour rechercher des termes, identifier des tendances, analyser des modèles et fournir de nombreux autres insights basés sur les données collectées.

Utilisez Azure Monitor pour réseaux pour obtenir une vue complète de l’intégrité et des métriques pour toutes les ressources réseau déployées, y compris vos passerelles Azure Application Gateway.

Vous pouvez éventuellement activer et intégrer les données dans Microsoft Sentinel ou une solution SIEM tierce.

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Aide : Déployez un pare-feu d'applications web (WAF) v2 SKU Azure devant les applications web critiques pour bénéficier d'un contrôle supplémentaire du trafic entrant. Le pare-feu d’applications web (WAF) est un service (fonctionnalité d’Azure Application Gateway) qui protège vos applications web de manière centralisée contre les vulnérabilités et les attaques courantes. Azure WAF permet de sécuriser vos applications web Azure App Service en inspectant le trafic web entrant afin de bloquer les attaques, telles que les injections de code SQL, le script de site à site, le chargement de programmes malveillants et les attaques DDoS. WAF suit des ensembles de règles de base OWASP (Open Web Application Security Project) 3.1 (WAF_v2 uniquement), 3.0 et 2.2.9.

Activez les paramètres de diagnostic du journal d’activité Azure pour votre Azure WAF et envoyez les journaux dans un espace de travail Log Analytics. Effectuez des requêtes dans Log Analytics pour rechercher des termes, identifier des tendances, analyser des modèles et fournir de nombreux autres insights basés sur les données collectées. Vous pouvez créer des alertes en fonction de vos requêtes d’espace de travail Log Analytics.

Utilisez Azure Monitor pour réseaux pour obtenir une vue complète de l’intégrité et des métriques pour toutes les ressources réseau déployées, notamment vos passerelles Azure Application Gateway. Dans la console Azure Monitor pour réseaux, vous pouvez afficher et créer des alertes pour Azure Application Gateway.

Responsabilité : Customer

2.8 : Centraliser la journalisation anti-programme malveillant

Conseils : Déployez un pare-feu d'applications web (WAF) v2 Azure devant les applications web critiques pour bénéficier d'un contrôle supplémentaire du trafic entrant. Le pare-feu d’applications web (WAF) est un service (fonctionnalité d’Azure Application Gateway) qui protège vos applications web de manière centralisée contre les vulnérabilités et les attaques courantes. Azure WAF permet de sécuriser vos applications web Azure App Service en inspectant le trafic web entrant afin de bloquer les attaques, telles que les injections de code SQL, le script de site à site, le chargement de programmes malveillants et les attaques DDoS.

Configurez les paramètres de diagnostic pour votre déploiement d’Azure Application Gateway. Les paramètres de diagnostic permettent de configurer l’exportation en continu des journaux et des métriques de la plateforme pour une ressource vers la destination de votre choix (Compte de stockage, Event Hubs et Log Analytics).

Responsabilité : Customer

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Aide : Azure Active Directory (Azure AD) comporte des rôles intégrés qui doivent être explicitement attribués et qui peuvent être interrogés. Utilisez le module Azure AD PowerShell pour effectuer des requêtes ad hoc afin de découvrir les comptes membres de groupes d’administration.

Responsabilité : Customer

3.2 : Modifier les mots de passe par défaut lorsque cela est possible

Conseils : L’accès au plan de contrôle par Azure Application Gateway est contrôlé via Azure Active Directory (Azure AD). Azure AD n’intègre pas le concept des mots de passe par défaut.

Responsabilité : Customer

3.3 : Utiliser des comptes d’administration dédiés

Conseils : Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés. Utilisez la gestion des identités et des accès de Microsoft Defender pour le cloud pour superviser le nombre de comptes d’administration.

En outre, pour vous aider à suivre les comptes d’administration dédiés, vous pouvez utiliser des recommandations de Microsoft Defender pour le cloud ou des stratégies Azure intégrées, comme :

  • Plusieurs propriétaires doivent être affectés à votre abonnement
  • Les comptes dépréciés disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement
  • Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement

Pour plus d’informations, consultez les références ci-dessous.

Responsabilité : Customer

3.4 : Utiliser l’authentification unique (SSO) Azure Active Directory

Aide : Utilisez une inscription d’application Azure (principal du service) afin de récupérer un jeton qui peut être utilisé pour interagir avec vos passerelles Azure Application Gateway via des appels d’API.

Responsabilité : Customer

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Conseils : Activez l’authentification multifacteur Azure Active Directory (Azure AD) et suivez les recommandations relatives à la gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.6 : Utiliser des stations de travail sécurisées et gérées par Azure pour les tâches administratives

Conseil : utilisez des stations de travail disposant d’un accès privilégié (PAW) avec l’authentification multifacteur configurée pour vous connecter aux ressources Azure et les configurer.

Responsabilité : Customer

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Aide : Utilisez les rapports de sécurité Azure Active Directory (Azure AD) pour générer des journaux et des alertes quand une activité suspecte ou potentiellement dangereuse se produit dans l’environnement. Utilisez Microsoft Defender pour le cloud afin de monitorer l’activité des identités et des accès.

Responsabilité : Customer

3.8 : Gérer les ressources Azure à partir des emplacements approuvés uniquement

Aide : Utilisez des emplacements nommés à accès conditionnel pour autoriser l’accès uniquement à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

Responsabilité : Customer

3.9 : Utiliser Azure Active Directory

Aide : Utiliser Azure Active Directory (Azure AD) comme système d’authentification et d’autorisation central. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur.

Responsabilité : Customer

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Aide : Azure Active Directory (Azure AD) fournit des journaux pour vous aider à découvrir les comptes obsolètes. De plus, utilisez les révisions d’accès des identités Azure pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès des utilisateurs peut être passé en revue régulièrement pour vérifier que seules les utilisateurs appropriés continuent de bénéficier d’un accès.

Responsabilité : Customer

3.11 : Superviser les tentatives d’accès à des informations d’identification désactivées

Conseils : Vous avez accès aux sources des journaux Activité de connexion, Audit et Événement à risque Azure Active Directory (Azure AD), qui permettent l’intégration à n’importe quel outil SIEM/de supervision.

Vous pouvez simplifier ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure AD et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Vous pouvez configurer les alertes souhaitées dans un espace de travail Log Analytics.

Responsabilité : Customer

3.12 : Alerter en cas d’écart de comportement de connexion à un compte

Aide : Utilisez les fonctionnalités de détection de risque et de protection des identités d’Azure Active Directory (Azure AD) pour configurer des réponses automatiques aux actions suspectes détectées liées aux identités d’utilisateur. Vous pouvez également ingérer des données dans Microsoft Sentinel pour approfondir vos recherches.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

4.1 : Conserver un inventaire des informations sensibles

Aide : Utilisez des balises pour faciliter le suivi des ressources Azure qui stockent ou traitent des informations sensibles.

Responsabilité : Customer

4.2 : Isoler les systèmes qui stockent ou traitent les informations sensibles

Conseils : Implémentez des abonnements et/ou des groupes d’administration distincts pour le développement, les tests et la production. Assurez-vous qu'un groupe de sécurité réseau (NSG) a été appliqué à tous les déploiements de sous-réseaux du réseau virtuel Azure Application Gateway avec des contrôles d'accès réseau spécifiques aux ports et sources approuvés de votre application. Bien que les groupes de sécurité réseau soient pris en charge par Azure Application Gateway, certaines restrictions et exigences doivent être respectées pour que votre NSG et votre Azure Application Gateway fonctionnent comme prévu.

Responsabilité : Customer

4.3. : Surveiller et bloquer le transfert non autorisé d’informations sensibles

Aide : Assurez-vous qu'un groupe de sécurité réseau (NSG) a été appliqué à tous les déploiements de sous-réseaux du réseau virtuel Azure Application Gateway avec des contrôles d'accès réseau spécifiques aux ports et sources approuvés de votre application. Limitez le trafic sortant aux seuls emplacements approuvés afin d’atténuer la menace d’exfiltration de données. Bien que les groupes de sécurité réseau soient pris en charge par Azure Application Gateway, certaines restrictions et exigences doivent être respectées pour que votre NSG et votre Azure Application Gateway fonctionnent comme prévu.

Responsabilité : Partagé

4.4 : Chiffrer toutes les informations sensibles en transit

Aide : Configurez le chiffrement de bout en bout avec TLS pour vos passerelles Azure Application Gateway.

Responsabilité : Partagé

4.6 : Utiliser le contrôle d’accès en fonction du rôle pour contrôler l’accès aux ressources

Aide : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour contrôler l’accès au plan de contrôle Azure Application Gateway (portail Azure).

Responsabilité : Customer

4.9 : Consigner et alerter les modifications apportées aux ressources Azure critiques

Aide : Utilisez Azure Monitor avec le journal d’activité Azure pour créer des alertes en cas de changements apportés à des instances Azure Application Gateway de production, ainsi qu’à d’autres ressources critiques ou connexes.

Responsabilité : Customer

Gestion des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des vulnérabilités.

5.1 : Exécuter les outils d’analyse des vulnérabilités automatisés

Conseil : Actuellement non disponible. L’évaluation des vulnérabilités dans Microsoft Defender pour le cloud n’est pas encore disponible pour Azure Application Gateway.

La plateforme sous-jacente est analysée et corrigée par Microsoft. Examinez les contrôles de sécurité disponibles pour Azure Application Gateway afin de réduire les vulnérabilités liées à la configuration.

Responsabilité : Customer

5.4 : Comparer les analyses de vulnérabilités dos à dos

Conseil : Pas encore disponible. L’évaluation des vulnérabilités dans Microsoft Defender pour le cloud n’est pas encore disponible pour Azure Application Gateway.

La plateforme sous-jacente est analysée et corrigée par Microsoft. Examinez les contrôles de sécurité disponibles pour Azure Application Gateway afin de réduire les vulnérabilités liées à la configuration.

Responsabilité : Customer

5.5 : Utilisez un processus de classement des risques pour classer par ordre de priorité la correction des vulnérabilités découvertes.

Conseil : Pas encore disponible. L’évaluation des vulnérabilités dans Microsoft Defender pour le cloud n’est pas encore disponible pour Azure Application Gateway.

La plateforme sous-jacente est analysée et corrigée par Microsoft. Examinez les contrôles de sécurité disponibles pour Azure Application Gateway afin de réduire les vulnérabilités liées à la configuration.

Responsabilité : Customer

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Aide : Utilisez Azure Resource Graph pour interroger/découvrir toutes les ressources (telles que calcul, stockage, réseau, ports et protocoles) dans vos abonnements. Vérifiez les autorisations (lecture) appropriées dans votre locataire et répertoriez tous les abonnements Azure, ainsi que les ressources dans vos abonnements.

Bien que les ressources Azure classiques puissent être découvertes via Resource Graph, il est vivement recommandé de créer et d’utiliser des ressources Azure Resource Manager à l’avenir.

Responsabilité : Customer

6.2 : Gérer les métadonnées de ressources

Conseils : Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Aide : Utilisez des étiquettes, des groupes d’administration et des abonnements distincts, le cas échéant, pour organiser et suivre les ressources Azure. Rapprochez régulièrement l’inventaire et assurez-vous que les ressources non autorisées sont supprimées de l’abonnement en temps utile.

Appliquez également des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant la stratégie Azure avec les définitions intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Pour plus d’informations, consultez les références ci-dessous.

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Aide : Utilisez Azure Policy pour appliquer des restrictions quant au type de ressources pouvant être créées dans vos abonnements.

Utilisez Azure Resource Graph pour interroger/découvrir des ressources dans leurs abonnements. Vérifiez que toutes les ressources Azure présentes dans l’environnement sont approuvées.

Responsabilité : Customer

6.9 : Utiliser des services Azure approuvés uniquement

Conseils : Appliquez des restrictions quant au type de ressources pouvant être créées dans les abonnements clients, en utilisant Azure Policy avec les définitions intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Pour plus d’informations, consultez les références ci-dessous.

Responsabilité : Customer

6.11 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Aide : Configurez l’accès conditionnel Azure pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

6.13 : Séparer physiquement ou logiquement des applications à risque élevé

Aide : Implémentez des abonnements et/ou des groupes d’administration distincts pour le développement, les tests et la production. Assurez-vous qu'un groupe de sécurité réseau (NSG) a été appliqué à tous les déploiements de sous-réseaux du réseau virtuel Azure Application Gateway avec des contrôles d'accès réseau spécifiques aux ports et sources approuvés de votre application. Bien que les groupes de sécurité réseau soient pris en charge par Azure Application Gateway, certaines restrictions et exigences doivent être respectées pour que votre NSG et votre Azure Application Gateway fonctionnent comme prévu.

Responsabilité : Customer

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Aide : Définissez et implémentez des configurations de sécurité standard pour les paramètres réseau relatifs à vos déploiements d’Azure Application Gateway. Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des stratégies personnalisées d’audit ou d’application de la configuration réseau de vos passerelles Azure Application Gateway, de vos réseaux virtuels Azure et de vos groupes de sécurité réseau. Vous pouvez également utiliser une définition de stratégie intégrée.

Responsabilité : Customer

7.3 : Gérer les configurations de ressources Azure sécurisées

Conseils : Utilisez Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer des paramètres sécurisés à vos ressources Azure.

Responsabilité : Customer

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Conseils : Si vous utilisez des définitions de stratégie Azure personnalisées, utilisez Azure DevOps ou Azure Repos pour stocker et gérer votre code en toute sécurité.

Responsabilité : Customer

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Aide : Utilisez les définitions Azure Policy intégrées ainsi que les alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des stratégies personnalisées d’alerte, d’audit ou d’application de configurations système. En outre, développez un processus et un pipeline pour la gestion des exceptions de stratégie.

Responsabilité : Customer

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Aide : Utilisez les définitions Azure Policy intégrées ainsi que les alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des stratégies personnalisées d’alerte, d’audit ou d’application de configurations système. Utilisez une stratégie Azure [auditer], [refuser] et [déployer si elle n’existe pas] pour appliquer automatiquement des configurations pour vos ressources Azure.

Responsabilité : Customer

7.11 : Gérer les secrets Azure en toute sécurité

Conseils : Utilisez des identités managées pour fournir à Azure Application Gateway une identité gérée automatiquement dans Azure Active Directory (Azure AD). Les identités managées vous permettent de vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, y compris Key Vault, sans informations d’identification dans votre code.

Utilisez Azure Key Vault pour stocker des certificats en toute sécurité. Azure Key Vault est un magasin de secrets managé par une plateforme, que vous pouvez utiliser pour protéger des secrets, des clés et des certificats SSL. Azure Application Gateway prend en charge l’intégration dans Key Vault des certificats de serveur associés à des écouteurs HTTPS. Cette prise en charge se limite à la référence SKU v2 d’Application Gateway.

Responsabilité : Customer

7.12 : Gérer les identités de façon sécurisée et automatique

Conseils : Utilisez des identités managées pour fournir à Azure Application Gateway une identité gérée automatiquement dans Azure Active Directory (Azure AD). Les identités managées vous permettent de vous authentifier auprès d’un service qui prend en charge l’authentification Azure AD, y compris Key Vault, sans informations d’identification dans votre code.

Utilisez Azure Key Vault pour stocker des certificats en toute sécurité. Azure Key Vault est un magasin de secrets managé par une plateforme, que vous pouvez utiliser pour protéger des secrets, des clés et des certificats SSL. Azure Application Gateway prend en charge l’intégration dans Key Vault des certificats de serveur associés à des écouteurs HTTPS. Cette prise en charge se limite à la référence SKU v2 d’Application Gateway.

Responsabilité : Customer

7.13 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Exécuter le moteur d’analyse des informations d’identification pour identifier les informations d’identification dans le code. Le moteur d’analyse des informations d’identification encourage également le déplacement des informations d’identification découvertes vers des emplacements plus sécurisés, tels qu’Azure Key Vault.

Responsabilité : Customer

Défense contre les programmes malveillants

Pour plus d’informations, consultez Benchmark de sécurité Azure : Défense contre les programmes malveillants.

8.1 : Utiliser un logiciel anti-programme malveillant géré de manière centralisée

Aide : Déployez un pare-feu d'applications web (WAF) Azure v2 devant les applications web critiques pour bénéficier d'un contrôle supplémentaire du trafic entrant. Le pare-feu d’applications web (WAF) est un service (fonctionnalité d’Azure Application Gateway) qui protège vos applications web de manière centralisée contre les vulnérabilités et les attaques courantes. Azure WAF permet de sécuriser vos applications web Azure App Service en inspectant le trafic web entrant afin de bloquer les attaques, telles que les injections de code SQL, le script de site à site, le chargement de programmes malveillants et les attaques DDoS.

Configurez les paramètres de diagnostic pour votre déploiement d’Azure Application Gateway. Les paramètres de diagnostic permettent de configurer l’exportation en continu des journaux et des métriques de la plateforme pour une ressource vers la destination de votre choix (Compte de stockage, Event Hubs et Log Analytics).

Responsabilité : Customer

8.3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Aide : Lorsque vous utilisez le pare-feu d’applications web (WAF) Azure, vous pouvez configurer des stratégies WAF. Une stratégie WAF comporte deux types de règles de sécurité : des règles personnalisées, créées par le client, et des ensembles de règles managées, qui sont une collection d’ensembles de règles préconfigurées et managées par Azure. Les ensembles de règles managées par Azure fournissent un moyen simple de déployer une solution de protection contre diverses menaces de sécurité courantes. Dans la mesure où ces ensembles de règles sont managées par Azure, les règles sont mises à jour comme il convient pour vous protéger contre les nouvelles signatures d’attaque.

Responsabilité : Partagé

Récupération des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : récupération de données.

9.1 : Garantir des sauvegardes automatiques régulières

Aide : Azure Application Gateway ne stocke pas de données client. Toutefois, si vous utilisez des définitions de stratégie Azure personnalisées, utilisez Azure DevOps ou Azure Repos pour stocker et gérer votre code en toute sécurité.

Azure DevOps Services tire profit de nombreuses fonctionnalités du stockage Azure pour garantir la disponibilité des données en cas de défaillance matérielle, d’interruption de service ou de sinistre régional. De plus, l’équipe Azure DevOps suit des procédures pour protéger les données contre toute suppression accidentelle ou malveillante.

Responsabilité : Customer

9.2 : Effectuer des sauvegardes complètes du système et sauvegarder les clés managées par le client

Conseils : Certificats de sauvegarde gérés par le client dans Azure Key Vault.

Responsabilité : Customer

9.3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Testez la restauration des certificats gérés par le client sauvegardés.

Responsabilité : Customer

9.4 : Garantir la protection des sauvegardes et des clés managées par le client

Conseils : Assurez-vous que la suppression réversible est activée pour Azure Key Vault. La suppression réversible permet de récupérer des coffres de clés et des objets de coffre supprimés, tels que des clés, secrets et autres certificats.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Conseils : Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Aide : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

En outre, marquez clairement les abonnements (par exemple production, hors production) et créez un système de nommage pour identifier et catégoriser les ressources Azure de façon claire.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Exécutez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes de façon régulière. Identifiez les points faibles et les lacunes, et révisez le plan en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Conseils : Les informations de contact d’incident de sécurité seront utilisées par Microsoft pour vous contacter si Microsoft Security Response Center (MSRC) découvre que les données du client ont été utilisées par un tiers illégal ou non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Conseils : Exportez les alertes et les recommandations de Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation continue. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud pour diffuser les alertes vers Microsoft Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Conseils : Utilisez la fonctionnalité d’automatisation des workflows dans Microsoft Defender pour le cloud pour déclencher automatiquement des réponses via « Logic Apps » sur les alertes et recommandations de sécurité.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes