Base de référence de sécurité Azure pour Azure Front Door Service

Cette base de référence de sécurité applique les conseils d’ version 2.0 à Azure Front Door. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par Azure Security Benchmark et les conseils associés applicables à Azure Front Door.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour Cloud. Azure Policy définitions seront répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour Cloud.

Lorsqu’une section a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Front Door, et ceux pour lesquels l’aide globale est recommandée textuellement, ont été exclus. Pour voir la correspondance complète entre Azure Front Door et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Azure Front Door.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-4 : Protégez les applications et les services contre les attaques réseau externes

Conseils : Utilisez Azure PowerShell pour créer une stratégie de géofiltrage et à l’associer à votre hôte front-end Azure Front Door existant. Cette stratégie de géofiltrage bloquera les requêtes provenant de réseaux extérieurs, comme celles provenant d’autres pays ou régions, à l’exception des États-Unis.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’ensemble du trafic Internet doit transiter par votre pare-feu Azure déployé Microsoft Defender pour le cloud a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
Azure DDoS Protection Standard doit être activé La protection DDoS standard doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle d’application avec une adresse IP publique. AuditIfNotExists, Désactivé 3.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.1
Web Application Firewall (WAF) doit être activé pour le service Azure Front Door Service Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.1

NS-6 : Simplifier les règles de sécurité réseau

Conseils : Utilisez des balises de service de réseau virtuel pour définir des contrôles d’accès réseau sur les groupes de sécurité réseau configurés pour vos ressources de l’offre Azure Front Door. Les étiquettes de service peuvent être utilisées à la place d’adresses IP spécifiques pendant la création de règles de sécurité. En spécifiant le nom de l’étiquette de service (AzureFrontDoor.Frontend, AzureFrontDoor.Backend ou AzureFrontDoor.FirstParty) dans le champ Source ou Destination approprié d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant.

Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

NS-7 : Système DNS (Domain Name System) sécurisé

Conseil : Non applicable. Azure Front Door n’expose pas ses configurations DNS sous-jacentes. Ces paramètres sont gérés par Microsoft.

Responsabilité : Microsoft

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique.

Utilisez des stations de travail utilisateur hautement sécurisées ou Azure Bastion pour les tâches d’administration. Choisissez Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (MDATP) et Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Les stations de travail sécurisées doivent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles et un accès réseau et logique restreint.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure Front Door est intégré au contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure par le biais d’attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs, regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels que Azure CLI, Azure PowerShell ou le Portail Azure.

Suivez le modèle de privilèges minimum pour les autorisations basées sur les rôles attribuées aux ressources avec Azure RBAC et assurez-vous qu’elles sont basées sur les besoins métier. Ils complètent l’approche juste-à-temps (JIT) d’Azure AD Privileged Identity Management (PIM) et doivent être révisés régulièrement.

Utilisez des rôles intégrés pour allouer les autorisations et créez des rôles personnalisés uniquement basés sur les besoins de l’entreprise.

Responsabilité : Partagé

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-4 : Chiffrement des informations sensibles en transit

Conseils : En complément des contrôles d’accès, les données en transit doivent être protégées contre les attaques « hors bande » (par exemple, la capture de trafic) à l’aide du chiffrement pour empêcher les attaquants de lire ou modifier facilement les données.

Front Door prend en charge les versions TLS 1.0, 1.1 et 1.2. TLS 1.3 n’est pas encore pris en charge. Tous les profils Front Door créés après septembre 2019 utilisent TLS 1.2 comme configuration minimale par défaut.

C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, vérifiez que les clients se connectant à vos ressources Azure peuvent négocier TLS v1.2 ou une version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Les versions et protocoles SSL, TLS et SSH rendus obsolètes et les chiffrements faibles doivent être désactivés.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseil : Azure assure par défaut le chiffrement des données au repos. Pour les données hautement sensibles, vous avez le choix entre plusieurs options pour implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut, mais met à votre disposition des options pour gérer vos propres clés (clés gérées par le client) pour certains services Azure.

Implémentez un outil tiers, tel qu’une solution automatisée de prévention contre la perte de données basée sur l’hôte, pour appliquer des contrôles d’accès aux données même lorsque des données sont copiées à partir d’un système.

Responsabilité : Microsoft

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseil : Assurez-vous que les équipes de sécurité disposent des autorisations de Lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cependant, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : des autorisations supplémentaires peuvent être nécessaires pour plus de visibilité sur les charges de travail et services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Appliquez des étiquettes aux ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque balise se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements.

Utilisez Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Azure Front Door ne fournit pas de fonctionnalités natives pour surveiller les menaces de sécurité liées à ses ressources. Les clients peuvent transférer les journaux d’Azure Front Door vers une solution SIEM, qui peut être utilisée pour la détection des menaces.

Veillez à surveiller les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données. Concentrez-vous sur les alertes de haute qualité pour réduire les détections de faux positifs.

Responsabilité : Microsoft

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseil : Azure Front Door n’est pas destiné à être déployé sur des réseaux virtuels, c’est pourquoi les clients ne peuvent pas activer la journalisation des flux de groupe de sécurité réseau, acheminer le trafic via un pare-feu ou effectuer des captures de paquets.

Azure Front Door consigne tout le trafic réseau qu’il traite pour l’accès client. Activez la fonctionnalité des journaux de workflow réseau et configurez ces journaux à envoyer à un compte de stockage pour la conservation à long terme et l’audit.

Responsabilité : Partagé

Supervision Microsoft Defender pour le cloud : le Benchmark de sécurité Azure est l’initiative de stratégie par défaut pour Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d’activité, disponibles automatiquement, contiennent toutes les opérations d’écriture (PUT, POST, DELETE) pour vos ressources Azure Front Door, à l’exception des opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Activez les journaux des ressources Azure pour Azure Front Door. Vous pouvez utiliser Microsoft Defender pour le Cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être essentiels pour l’examen ultérieur des incidents de sécurité et l’exécution d’exercices légaux.

Responsabilité : Partagé

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseil : Utilisez Microsoft Defender pour le cloud et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Partagé

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Conseil : Non applicable. Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Azure Front Door.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseils : Déployez rapidement des mises à jour logicielles pour corriger les vulnérabilités logicielles dans les systèmes d’exploitation et les applications.

Privilégiez l’utilisation d’un programme de score de risque commun (par exemple, le système de notation des vulnérabilités courantes) ou les niveaux de risque par défaut fournis par un outil d’analyse tiers que vous utilisez. et adapter à votre environnement à l’aide du contexte des applications qui présentent un risque de sécurité élevé et qui nécessitent un temps d’activité élevé.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes