Base de référence de sécurité Azure pour Azure Data Box

Cette base de référence de sécurité applique le Point de référence de sécurité Azure version 2.0 à Azure Data Box. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé en fonction des contrôles de sécurité définis par le Benchmark de sécurité Azure et des instructions associées applicables à Azure Data Box.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Data Box et ceux pour lesquels les directives globales sont recommandées textuellement ont été exclus. Pour voir la façon dont Azure Data Box est entièrement mappé au Point de référence de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité pour Azure Data Box.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseil : Azure Data Box ne prend pas en charge le déploiement direct sur un réseau virtuel. Certaines fonctionnalités de mise en réseau ne sont pas applicables aux ressources de l’offre, notamment :

  • Groupes de sécurité réseau (NSG)
  • Tables de routage
  • Autres appliances dépendantes du réseau, par exemple un pare-feu Azure

Par défaut, Data Box utilise le protocole TLS 1.2. Si l’un de vos systèmes n’a pas activé le protocole TLS 1.2, Data Box vous permet d’activer le protocole TLS 1.1/1.0 par le biais de l’interface utilisateur locale.

Les comptes de stockage avec des réseaux virtuels sont pris en charge. Si vous voulez autoriser Data Box à utiliser des comptes de stockage sécurisés, activez les services approuvés dans les paramètres du pare-feu du réseau du compte de stockage.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseil : Suivez les meilleures pratiques en matière de sécurité DNS. Ces pratiques atténuent les attaques courantes, telles que :

  • Entrées DNS non résolues
  • Attaques d’amplifications DNS
  • Empoisonnement et usurpation de DNS

Lorsque vous utilisez Azure DNS comme service DNS faisant autorité, assurez-vous que les zones et les enregistrements DNS sont protégés contre toute modification accidentelle ou malveillante. Utilisez le contrôle d’accès en fonction du rôle (RBAC) d’Azure et des verrous de ressources.

Data Box vous recommande d’apporter vos propres certificats. Si vous choisissez d’utiliser les certificats générés par l’appareil par défaut, vous devez suivre les instructions décrites dans ce document.

Ajoutez une référence à propos des configurations DNS que les clients peuvent gérer.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Data Box utilise l’authentification locale pour :

  • Contrôler l’accès à l’appareil par le biais d’une clé d’accès de déverrouillage de l’appareil.

  • Les informations d’identification SMB pour copier des données vers et depuis l’appareil.

  • Les clés de compte Stockage Azure pour accéder à Data Box via les API REST.

  • La configuration de l’adresse IP pour l’accès NFS.

Pour plus d’informations, lisez ces articles :

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseil : Azure Data Box vous recommande d’utiliser Azure Active Directory (Azure AD) pour créer un principal de service avec des autorisations restreintes au niveau de la ressource. Configurez les principaux de service avec les informations d’identification de certificat, et les secrets client en deuxième recours. Dans les deux cas, vous pouvez utiliser Azure Key Vault avec des identités managées par Azure, ce qui permet à l’environnement d’exécution (par exemple, une fonction Azure) de récupérer les informations d’identification du coffre de clés.

Data Box vous permet d’utiliser vos propres clés de chiffrement. Il vous permet également d’utiliser vos propres mots de passe pour l’appareil et les partages.

Responsabilité : Partagé

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Azure Data Box utilise Azure AD pour fournir une gestion des identités et des accès aux éléments suivants :

  • Ressources Azure
  • Applications cloud
  • Applications locales

Cette gestion comprend les éléments suivants :

  • Identités de l’entreprise (telles que les employés).
  • Identités externes (telles que les partenaires, les vendeurs et les fournisseurs).

Grâce à cette gestion des identités et des accès, l’authentification unique (SSO) peut gérer et sécuriser l’accès aux données et aux ressources de votre organisation. L’accès s’applique à la fois localement et dans le cloud. Connectez tous vos utilisateurs, applications et appareils à Azure AD. Azure AD offre un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

Pour créer la ressource Data Box, Data Box utilise Azure AD pour authentifier l’abonnement.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseil : Par défaut, aucun utilisateur ne dispose de privilèges élevés. Dans de rares cas, vous pouvez avoir besoin d’ouvrir une session de support (avec des privilèges élevés). Cette session de support nécessite une coordination avec le personnel de support de Microsoft.

Les clients n’auront pas besoin d’utiliser ni de gérer de comptes Azure AD hautement privilégiés, tels que les comptes Administrateur de niveau local pour Data Box.

Responsabilité : Partagé

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : Pour créer et gérer une ressource Data Box, un client doit se connecter en utilisant un abonnement basé sur Azure AD.

Vous pouvez utiliser ces rôles intégrés :

  • Lecteur Data Box. Ce rôle dispose d’un accès en lecture seule aux commandes, tel que défini par l’étendue. Le rôle peut uniquement afficher les détails d’une commande. Il ne peut pas accéder aux autres détails liés aux comptes de stockage. Il ne peut pas non plus modifier les détails de la commande, tels que l’adresse.

  • Contributeur Data Box. Si le client a déjà un accès en écriture à un compte de stockage, ce rôle peut créer une commande pour transférer des données vers ce compte. Si le client n’a pas accès à un compte de stockage, il ne peut pas créer de commande Data Box pour copier des données sur ce compte. Ce rôle ne définit aucune autorisation liée aux comptes de stockage. Il n’accorde pas l’accès aux comptes de stockage.

  • Création et gestion des ressources Data Box

  • Rôles RBAC intégrés pour Data Box

Responsabilité : Partagé

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseil : Azure Data Box s’intègre au RBAC Azure pour gérer ses ressources.

Vous pouvez contrôler qui peut accéder à votre commande Data Box lors de sa création. Pour contrôler l’accès à la commande Data Box, vous pouvez configurer des rôles Azure d’étendues différentes.

Les deux rôles intégrés qui peuvent être définis pour le service Azure Data Box sont les suivants :

  • Lecteur Data Box. Ce rôle dispose d’un accès en lecture seule aux commandes, tel que défini par l’étendue. Le rôle peut uniquement afficher les détails d’une commande. Il ne peut pas accéder à d’autres détails liés aux comptes de stockage. Il ne peut pas non plus modifier les détails de la commande, tels que l’adresse.

  • Contributeur Data Box. Si le client a déjà un accès en écriture à un compte de stockage, ce rôle peut créer une commande pour transférer des données vers ce compte. Si le client n’a pas accès à un compte de stockage, il ne peut pas créer de commande Data Box pour copier des données sur ce compte. Ce rôle ne définit aucune autorisation liée aux comptes de stockage. Il n’accorde pas non plus l’accès aux comptes de stockage.

  • Rôles RBAC intégrés pour une ressource Data Box

Responsabilité : Partagé

PA-8 : Choisir le processus d’approbation pour le support Microsoft

Conseil : Dans les scénarios d’assistance où Microsoft a besoin d’accéder aux données du client, Azure Data Box prend en charge Customer Lockbox. Dans l’interface de Customer Lockbox, vous pouvez examiner les demandes d’accès aux données du client, puis les approuver ou les rejeter.

Responsabilité : Partagé

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseils : Protégez les données sensibles en limitant leur accès grâce aux contrôles suivants :

  • RBAC Azure.
  • Contrôles d’accès réseau.
  • Contrôles spécifiques dans les services Azure (par exemple, le chiffrement).

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès à la stratégie de segmentation de votre entreprise. Informez la stratégie de segmentation de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

En ce qui concerne la plateforme sous-jacente gérée par Microsoft, Microsoft considère tout le contenu des clients comme sensible. Il le protège contre la perte et l’exposition des données client. Pour assurer la sécurité des données client dans Azure, Microsoft utilise quelques contrôles et capacités de protection des données par défaut.

Data Box chiffre toutes les données au repos ainsi que toutes les données en transit.

Responsabilité : Partagé

DP-4 : Chiffrement des informations sensibles en transit

Conseil : Data Box prend en charge le chiffrement SMB. Le protocole NFS est également pris en charge, mais les clients doivent préchiffrer leurs données lors de l’utilisation de ce protocole.

Pour compléter les contrôles d’accès, protégez les données en transit contre les attaques « hors bande » (par exemple, la capture du trafic) à l’aide du chiffrement. Cette action garantit que les attaquants ne peuvent pas facilement lire ou modifier les données.

Azure Data Box prend en charge le chiffrement des données en transit avec le protocole TLS v1.2 ou une version ultérieure.

Cette capacité est certes facultative pour le trafic sur les réseaux privés, mais essentielle pour le trafic sur les réseaux externes et publics. Dans le cas du trafic HTTP, vérifiez que les clients qui se connectent à vos ressources Azure peuvent négocier la version 1.2 ou ultérieure du protocole TLS. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Désactivez les chiffrements faibles et les versions obsolètes des protocoles suivants :

  • SSL
  • TLS
  • SSH

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseil : Pour compléter les contrôles d’accès, Azure Data Box chiffre les données au repos afin de les protéger contre les attaques « hors bande » (comme l’accès au stockage sous-jacent) à l’aide du chiffrement. Cette action vise à empêcher les attaquants de lire ou modifier facilement les données.

Par défaut, Azure assure un chiffrement des données au repos. Pour les données très sensibles, vous pouvez implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut. En outre, il vous permet de gérer vos propres clés (clés gérées par le client) pour certains services Azure afin de répondre aux exigences réglementaires.

Responsabilité : Partagé

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseil : Accordez des autorisations Lecteur de sécurité aux équipes de sécurité de votre locataire Azure et de vos abonnements. Les équipes de sécurité peuvent ainsi surveiller les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la structuration des responsabilités, le monitoring des risques de sécurité peut incomber à une équipe de sécurité centrale ou à une équipe locale. Regroupez toujours les informations et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez appliquer les autorisations Lecteur de sécurité de manière générale à l’ensemble d’un locataire (groupe d’administration racine). Vous avez également la possibilité d’étendre ces autorisations à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent se révéler nécessaires pour avoir de la visibilité sur les charges de travail et les services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseil : Veillez à ce que les équipes de sécurité aient accès à un inventaire continuellement mis à jour des ressources sur Azure, comme Azure Data Box. Les équipes de sécurité ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation aux risques émergents. Ces équipes ont également besoin de l’inventaire comme source d’informations pour l’amélioration continue de la sécurité.

Créez un groupe Azure AD pour qu’il contienne les membres de l’équipe de sécurité autorisée de votre organisation. Attribuez à ce groupe un accès en lecture à toutes les ressources Azure Data Box. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur au sein de votre abonnement.

Azure Data Box n’utilise pas d’étiquettes. Les clients ne peuvent pas appliquer ni utiliser d’étiquettes pour les métadonnées des ressources dans le but de les organiser logiquement dans une taxonomie.

À l’aide de l’inventaire des machines virtuelles Azure, automatisez la collecte d’informations relatives aux logiciels présents sur les machines virtuelles. Les champs d’informations suivants sont disponibles sur le portail Azure :

  • Nom du logiciel
  • Version
  • Serveur de publication
  • Heure d’actualisation

Pour accéder aux dates d’installation et à d’autres informations, activez les diagnostics au niveau de l’invité. Importez ensuite les journaux des événements Windows dans un espace de travail Log Analytics.

Azure Data Box ne permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseil : À l’aide d’Azure Policy, auditez et limitez les services que les utilisateurs peuvent approvisionner dans votre environnement. Grâce à Azure Resource Graph, interrogez et découvrez des ressources dans leurs abonnements. Utilisez également Azure Monitor pour créer des règles qui déclenchent des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Azure Data Box produit des journaux de ressources orientés client qu’ils peuvent utiliser pour la détection des menaces.

Azure Data Box ne produit pas de journaux que vous pouvez utiliser pour la détection des menaces. Ces journaux ne peuvent pas être transférés à un outil SIEM à des fins de surveillance et d’alerte.

Responsabilité : Partagé

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseil : Azure AD fournit les journaux utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD. Pour des cas d’usage plus sophistiqués en matière de surveillance et d’analyse, vous pouvez les intégrer à Azure Monitor, Microsoft Sentinel ou d’autres outils SIEM et de monitoring.

  • Connexions. Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit. Les journaux d’audit assurent la traçabilité de toutes les modifications apportées par diverses fonctionnalités dans Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources au sein d’Azure AD, telles que l’ajout ou la suppression des éléments suivants :

    • Utilisateurs
    • Applications
    • Groupes
    • Rôles
    • Stratégies
  • Connexions risquées. Une connexion risquée indique une tentative de connexion qui a pu être effectuée par une personne qui n’est pas le propriétaire légitime du compte d’utilisateur.

  • Utilisateurs associés à un indicateur de risque. Un utilisateur à risque est un compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également déclencher des alertes lors de certaines activités suspectes. Ces activités peuvent inclure un nombre excessif d’échecs d’authentification ou la présence de comptes dépréciés dans l’abonnement. Outre la surveillance de base de l’hygiène de la sécurité, le module de protection contre les menaces de Microsoft Defender pour le cloud peut collecter des alertes de sécurité plus approfondies à partir :

  • Des ressources de calcul Azure individuelles (machines virtuelles, conteneurs et service d’applications).
  • Des ressources de données (base de données SQL et stockage).
  • Des couches de services Azure.

Cette capacité vous donne de la visibilité sur les anomalies du compte au niveau de chaque ressource.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseil : Azure Data Box n’est pas destiné à être déployé dans des réseaux virtuels.

Vous ne pouvez pas utiliser de groupe de sécurité réseau pour filtrer le trafic vers et depuis les ressources Azure Data Box ni faire passer ce trafic par un groupe de sécurité réseau. Pour cette raison, vous ne pouvez pas configurer la journalisation des flux NSG pour Azure Data Box.

Azure Data Box consigne tout le trafic qu’il traite pour l’accès client.

Azure Data Box ne vous autorise pas à configurer ni à exposer la journalisation DNS au client.

Responsabilité : Partagé

LT-4 : Activer la journalisation pour les ressources Azure

Conseil : Les journaux d’activité contiennent toutes les opérations d’écriture (PUT, POST et DELETE) pour vos ressources Azure Data Box. Ces journaux sont disponibles automatiquement. Cependant, ils ne contiennent pas d’opérations de lecture (GET). Vous pouvez les utiliser pour rechercher une erreur lors de la résolution des problèmes. Vous pouvez également utiliser ces journaux pour superviser la manière dont un utilisateur de votre organisation a modifié une ressource.

Data Box génère les journaux de ressources suivants :

  • Journaux de copie
  • Journaux d’audit
  • Fichiers BOM dans l’ordre d’importation
  • Journaux détaillés dans l’ordre d’exportation

Azure Data Box produit également des journaux d’audit de sécurité pour les comptes d’administration locaux.

Responsabilité : Partagé

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil : Data Box utilise le serveur NTP par défaut de Microsoft. Connectez Azure Data Box au réseau qui peut accéder au serveur NTP par défaut. Sinon, l’heure d’Azure Data Box pourrait dériver en cas de déconnexion.

Responsabilité : Partagé

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseil : Azure Data Box ne prend pas en charge des stratégies spécifiques dans Microsoft Defender pour le cloud.

Vous pouvez configurer une stratégie Azure afin d’activer le chiffrement double pour Azure Data Box. Ou bien, lorsque vous passez une commande pour Data Box, demandez à activer le chiffrement double pour les données au repos sur l’appareil.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseil : Data Box configure et verrouille tous les paramètres de sécurité de l’appareil pendant toute la durée de vie de la commande.

Responsabilité : Microsoft

PV-6 : Effectuer des évaluations des vulnérabilités logicielles

Conseil : Sans objet. Azure Data Box ne prend pas en charge les évaluations des vulnérabilités.

Microsoft effectue une analyse interne des vulnérabilités sur Azure Data Box.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseil : Microsoft gère toutes les mises à jour des logiciels tiers.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseil : Le cas échéant, procédez à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure. Corrigez tous les problèmes de sécurité critiques détectés.

Pour vous assurer que vos tests d’intrusion ne violent pas les stratégies de Microsoft, suivez les règles d’engagement relatives aux tests d’intrusion de Microsoft Cloud. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft et des tests d’intrusion de site actif sur les ressources gérées par Microsoft :

  • Infrastructure cloud
  • Services
  • Applications

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-2 : Utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Conseil : Windows Defender est activé pour Azure Data Box.

Responsabilité : Microsoft

ES-3 : Assurer la mise à jour des logiciels et des signatures anti-programme malveillant

Conseil : Microsoft active Windows Defender et gère les mises à jour sur Azure Data Box.

Responsabilité : Microsoft

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseil : Vérifiez régulièrement que vous pouvez restaurer les clés gérées par le client qui ont été sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseil : Mettez en place les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la suppression définitive dans Azure Key Vault. Cette action protège les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Customer

Étapes suivantes