Base de référence de sécurité Azure pour Azure IoT Hub

Cette base de référence de sécurité applique les recommandations d’Azure Security Benchmark version 2.0 à Microsoft Azure IoT Hub. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Azure et les instructions d’aide associées applicables à Azure IoT Hub.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure IoT Hub et ceux pour lesquels l’aide globale est recommandée textuellement ont été exclus. Pour voir la correspondance complète entre Azure IoT Hub et le Benchmark de sécurité Azure, consultez le fichier complet de mise en correspondance de la base de référence de sécurité Azure IoT Hub.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseil : IoT Hub ne permet pas d’effectuer un déploiement directement sur un réseau virtuel. Vous ne pouvez pas utiliser certaines fonctionnalités réseau avec les ressources de l’offre. Parmi ces fonctionnalités, citons notamment : les groupes de sécurité réseau, les tables de routage et d’autres appliances dépendant du réseau comme le Pare-feu Azure.

IoT Hub ne prend pas en charge l’injection de réseau virtuel. Pour sécuriser IoT Hub dans un environnement de réseau privé, utilisez Azure Private Link.

Utilisez Microsoft Sentinel pour découvrir l’utilisation des protocoles hérités non sécurisés comme :

  • SSL/TLSv1

  • SMBv1, LM/NTLMv1

  • wDigest, liaisons LDAP non signées

  • Chiffrements faibles dans Kerberos

Nous recommandons à tous les clients d’utiliser uniquement le protocole TLS 1.2. IoT Hub prend en charge TLS 1.0 et TLS 1.1. Toutefois, leur utilisation n’est pas recommandée.

Selon le protocole utilisé (MQTT, AMQP, HTTPS, WebSocket), IoT Hub nécessite que certains ports soient ouverts sur le réseau du client.

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Conseils : Azure ExpressRoute ou le réseau privé virtuel (VPN) Azure permettent de créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocation. Les connexions ExpressRoute ne se trouvent pas dans l’Internet public. Elles offrent davantage de fiabilité, des vitesses supérieures et des latences inférieures par rapport aux connexions Internet classiques. Pour un VPN point à site et un VPN site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de la combinaison d’une de ces options VPN et d’Azure ExpressRoute.

Pour connecter deux réseaux virtuels ou plus dans Azure, utilisez l’appairage de réseaux virtuels. Le trafic réseau entre les réseaux virtuels homologués est privé. Il reste sur le réseau principal Azure.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Conseil : Un hub IoT peut exposer une adresse IP privée ou publique que le client utilise avec une chaîne de connexion et une clé. Ce hub IoT peut également être représenté sous la forme d’une ressource Azure, et les clients peuvent accéder publiquement à la ressource Azure via le portail Azure et le plan de contrôle Azure. L’adresse IP des ressources de l’offre et les points de terminaison du portail Azure qui sont accessibles publiquement sont considérés comme des points de terminaison réseau.

Utilisez Azure Private Link pour activer l’accès privé à IoT Hub à partir de vos réseaux virtuels, sans passer par Internet.

L’accès privé est une autre mesure de défense renforcée qui vient s’ajouter à la sécurité de l’authentification et du trafic proposée par les services Azure.

Pour une sécurité renforcée concernant l’exposition à l’Internet public, configurez IoT Hub avec Private Link.

IoT Hub ne permet pas de configurer des points de terminaison de service de réseau virtuel.

Responsabilité : Customer

NS-4 : Protégez les applications et les services contre les attaques réseau externes

Conseil : Protégez vos ressources IoT Hub contre les attaques de réseaux externes comme :

  • Attaques par déni de service distribué (DDoS)
  • Attaques propres à l’application
  • Trafic Internet non sollicité et potentiellement malveillant

Utilisez le Pare-feu Azure pour protéger les applications et les services contre le trafic potentiellement malveillant provenant d’Internet et d’autres emplacements externes. Protégez vos ressources contre les attaques DDoS en activant la protection DDoS Standard sur vos réseaux virtuels Azure. Utilisez Microsoft Defender pour le cloud pour déceler les risques de configuration incorrecte dans les ressources liées au réseau.

IoT Hub n’est pas destiné à exécuter des applications web. Il n’est pas nécessaire de configurer des paramètres supplémentaires ni de déployer d’autres services réseau pour le protéger contre les attaques de réseau externe qui le visent.

Responsabilité : Customer

NS-6 : Simplifier les règles de sécurité réseau

Conseil : Utilisez les étiquettes de service réseau virtuel Azure pour définir les contrôles d’accès réseau sur :

  • Groupes de sécurité réseau
  • Pare-feu Azure configuré pour vos ressources IoT Hub

Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. Spécifiez le nom de l’étiquette de service dans le champ source ou de destination d’une règle. De cette façon, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.

Responsabilité : Customer

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : IoT Hub utilise Azure Active Directory (Azure AD) en tant que service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, le Stockage Azure, les Machines virtuelles Azure (Linux et Windows), Azure Key Vault, ainsi que les applications PaaS et SaaS.

  • Les ressources de votre organisation, comme les applications Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d’identité sécurisée pour vous aider à évaluer votre posture de sécurité des identités par rapport aux recommandations Microsoft. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge les identités externes qui permettent aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

IoT Hub prend en charge l’authentification Azure AD pour ses API de service comme :

  • Créer un appareil
  • Envoi de messages cloud vers appareil
  • Mise à jour des propriétés souhaitées du jumeau d’appareil

Pour une sécurité accrue, nous vous recommandons d’utiliser l’authentification Azure AD dans la mesure du possible.

IoT Hub fournit des rôles intégrés pour aider Azure AD et le contrôle d’accès en fonction du rôle (RBAC) Azure.

IoT Hub prend également en charge la signature d’accès partagé et l’authentification X.509 pour les services et les appareils.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseil : IoT Hub prend en charge les identités managées pour ses ressources Azure. Pour accéder à d’autres ressources, servez-vous des identités managées avec IoT Hub plutôt que de créer des principaux de service. IoT Hub peut s’authentifier en mode natif auprès des services et ressources Azure qui prennent en charge l’authentification Azure AD. Il le fait par le biais d’une règle d’octroi d’accès prédéfinie. Il n’utilise pas les informations d’identification codées en dur dans le code source ou les fichiers de configuration.

IoT Hub prend en charge l’utilisation des identités managées affectées par le système et affectées par l’utilisateur avec ses fonctionnalités de sortie de données (routage, exportation d’appareil).

Nous recommandons d’utiliser Azure AD pour créer un principal de service avec des autorisations restreintes au niveau des ressources en vue de configurer des principaux de service avec des informations d’identification de certificat et revenir aux secrets clients. Dans les deux cas, utilisez Azure Key Vault avec des identités managées par Azure, afin que l’environnement d’exécution (par exemple, une fonction Azure) puisse récupérer les informations d’identification du coffre de clés.

Pour utiliser la fonctionnalité de clés gérées par le client de IoT Hub, contactez le Support Microsoft.

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Connectez vos utilisateurs, applications et appareils à Azure AD. Azure AD offre un accès sécurisé, ainsi qu’une visibilité et un contrôle accrus. IoT Hub utilise Azure AD afin de fournir la gestion des identités et des accès pour les ressources Azure, les applications cloud et les applications locales. Les identités incluent des identités d’entreprise, telles que des employés, et des identités externes, telles que des partenaires, des fabricants et des fournisseurs. La gestion des identités et des accès Azure AD fournit une authentification unique (SSO) pour gérer et sécuriser l’accès aux données et aux ressources locales et cloud de votre organisation.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseil : Les rôles intégrés les plus critiques dans Azure AD sont l’administrateur général et l’administrateur de rôle privilégié. Les utilisateurs assignés à ces deux rôles peuvent déléguer des rôles Administrateur :

  • Administrateur général/Administrateur d’entreprise : Les utilisateurs dotés de ce rôle ont accès à toutes les fonctionnalités administratives d’Azure AD, ainsi qu’aux services qui utilisent les identités Azure AD.

  • Administrateur de rôle privilégié : Les utilisateurs dotés de ce rôle peuvent gérer les attributions de rôle dans Azure AD et au sein d’Azure AD Privileged Identity Management (PIM). De plus, ce rôle permet de gérer tous les aspects de PIM et des unités administratives.

Remarque : Il est possible que vous disposiez d’autres rôles critiques devant être régis si vous utilisez des rôles personnalisés auxquels sont attribuées certaines autorisations privilégiées. Vous pouvez également choisir d’appliquer des contrôles similaires au compte Administrateur des ressources métier critiques.

Limitez le nombre de comptes ou de rôles à privilèges élevés, et protégez ces comptes à un haut niveau. Les utilisateurs disposant de ce privilège peuvent lire et modifier directement ou indirectement chaque ressource de votre environnement Azure.

Vous pouvez activer l’accès privilégié juste-à-temps (JAT) aux ressources Azure et à Azure AD en utilisant Azure AD PIM. L’accès JAT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.

Le rôle de propriétaire des données IoT Hub est hautement privilégié.

Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés.

Les utilisateurs et les services ayant accès à la stratégie d’accès partagé intégrée iothubowner sont également hautement privilégiés. Le client doit créer un processus permettant d’utiliser et de gérer l’accès à cette stratégie d’accès partagé.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseil : IoT Hub utilise des comptes Azure AD pour gérer ses ressources et examiner les comptes d’utilisateur. Accédez régulièrement aux affectations pour vérifier que les comptes et leurs accès sont valides. Vous pouvez utiliser les révisions d’accès Azure AD pour réviser les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également créer des workflows de rapport de révision d’accès dans Azure AD PIM pour faciliter le processus de révision.

Vous pouvez également configurer Azure AD PIM pour vous avertir lorsqu’il y a trop de comptes d’administrateur. PIM peut identifier les comptes Administrateur obsolètes ou mal configurés.

Remarque : Certains services Azure prennent en charge des utilisateurs et rôles locaux qui ne sont pas gérés par le biais d’Azure AD. Vous devez gérer ces utilisateurs séparément.

IoT Hub fournit des rôles intégrés pour gérer ses ressources cloud.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, les développeurs et les opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour les tâches d’administration. Utilisez Azure AD, Microsoft Defender Advanced Threat Protection (MDATP) et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et managée pour les tâches d’administration. Les stations de travail sécurisées peuvent être gérées de manière centralisée afin d’appliquer une configuration sécurisée, notamment :

  • Authentification renforcée
  • Bases de référence logicielles et matérielles
  • Un accès logique et réseau restreints.

Pour plus d'informations, consultez les pages suivantes :

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseil : IoT Hub s’intègre à Azure RBAC pour gérer ses ressources. Utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez attribuer des rôles aux utilisateurs, groupes, principaux de service et identités managées. Certaines ressources ont des rôles prédéfinis et intégrés. Vous pouvez inventorier ou demander ces rôles à l’aide d’outils, tels qu’Azure CLI, Azure PowerShell ou le portail Azure. Limitez aux rôles requis les privilèges que vous attribuez aux ressources par le biais d’Azure RBAC. Cette pratique complète l’approche JAT d’Azure AD PIM. Passez régulièrement en revue les rôles et les attributions.

Utilisez les rôles intégrés pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.

Pour faciliter la configuration de moindre privilège, IoT Hub fournit des rôles intégrés dans Azure RBAC. Par exemple, le rôle de lecteur de données IoT Hub accorde à l’identité un accès en lecture seule aux ressources IoT Hub.

Vous pouvez également configurer l’accès à IoT Hub à l’aide de stratégies d’accès partagé. Le principe de moindre privilège s’applique toujours lors de l’utilisation de stratégies d’accès partagé. Par exemple, si un service doit lire le registre de l’appareil mais qu’il n’a pas besoin de le mettre à jour, attribuez-lui uniquement la stratégie registryRead. Si vous souhaitez une plus grande précision, utilisez Azure RBAC dans la mesure du possible.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseil : Protégez les données sensibles en limitant l’accès à l’aide du RBAC Azure, des contrôles d’accès réseau et de contrôles spécifiques dans les services Azure comme le chiffrement.

Dans un souci de cohérence, faites correspondre tous les types de contrôles d’accès à la stratégie de segmentation de votre entreprise. Informez la stratégie de segmentation de l’emplacement des données et systèmes sensibles et critiques pour l’entreprise.

En ce qui concerne la plateforme sous-jacente (gérée par Microsoft), Microsoft considère tout le contenu des clients comme sensible et le protège contre la perte et l’exposition des données des clients. Pour assurer la sécurité des données des clients dans Azure, Microsoft a implémenté certains contrôles et fonctionnalités de protection des données par défaut.

Responsabilité : Partagé

DP-4 : Chiffrement des informations sensibles en transit

Conseil : En complément des contrôles d’accès, protégez les données en transit qui doivent être protégées contre les attaques « hors bande » (par exemple, la capture de trafic) à l’aide du chiffrement pour empêcher les attaquants de lire ou modifier facilement les données.

IoT Hub prend en charge le chiffrement des données en transit avec TLS 1.2 ou version ultérieure.

Même si le chiffrement des donnés est facultatif pour le trafic sur les réseaux privés, il est essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, vérifiez que les clients se connectant à vos ressources Azure peuvent négocier TLS v1.2 ou une version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Désactivez les versions et les protocoles SSL, TLS et SSH obsolètes, ainsi que les chiffrements faibles.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseil : En complément des contrôles d’accès, IoT Hub chiffre les données au repos afin de les protéger contre les attaques « hors-bande » (comme l’accès au stockage sous-jacent) à l’aide du chiffrement. Cela vise à empêcher les attaquants de facilement lire ou modifier les données.

Par défaut, Azure assure un chiffrement des données au repos. Pour les données hautement sensibles, vous avez le choix entre plusieurs options pour implémenter un chiffrement supplémentaire au repos sur toutes les ressources Azure, le cas échéant. Azure gère vos clés de chiffrement par défaut, mais il met également à votre disposition des options permettant de gérer vos propres clés (clés gérées par le client) pour certains services Azure dans le but de répondre aux exigences réglementaires.

Responsabilité : Partagé

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseil : Veillez à ce que les équipes de sécurité reçoivent des autorisations Lecteur de sécurité dans votre locataire et vos abonnements Azure, afin qu’elles puissent surveiller les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la structuration des responsabilités, le monitoring des risques de sécurité peut incomber à une équipe de sécurité centrale ou à une équipe locale. Regroupez toujours les insights et les risques de sécurité de manière centralisée au sein d’une organisation.

Vous pouvez appliquer des autorisations Lecteur de sécurité de manière générale au groupe d’administration racine d’un locataire entier ou étendre les autorisations à des groupes d’administration ou des abonnements spécifiques.

Remarque : La visibilité des charges de travail et des services peut nécessiter davantage d’autorisations.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseil : Assurez-vous que les équipes de sécurité ont accès à un inventaire des ressources continuellement mis à jour sur Azure, comme IoT Hub. Les équipes de sécurité ont souvent besoin de cet inventaire comme moyen d’évaluer l’exposition potentielle de leur organisation à des risques émergents, et comme source d’informations pour des améliorations de sécurité continues. Créez un groupe Azure AD pour qu’il contienne l’équipe de sécurité autorisée de votre organisation et attribuez-lui un accès en lecture à toutes les ressources IoT Hub. Vous pouvez simplifier le processus avec une seule attribution de rôle de niveau supérieur dans votre abonnement.

Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque balise se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

IoT Hub prend également en charge les déploiements de ressources basés sur Azure Resource Manager et les requêtes Azure Resource Graph.

IoT Hub ne permet pas d’exécuter une application ni d’installer un logiciel sur ses ressources. Décrivez toutes les autres fonctionnalités de votre offre qui autorisent ou prennent en charge cette fonctionnalité, le cas échéant.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseil : Utilisez la fonctionnalité de détection des menaces intégrée à Microsoft Defender pour le cloud, et activez Microsoft Defender pour vos ressources IoT Hub. Microsoft Defender pour IoT Hub fournit une couche d’intelligence supplémentaire pour la sécurité. Il détecte les tentatives anormales et potentiellement dangereuses d’accès ou d’exploitation des ressources IoT Hub.

Transférez tous les journaux d’IoT Hub vers votre solution SIEM, qui peut être utilisée pour configurer des détections de menaces personnalisées. Veillez à monitorer les différents types de ressources Azure afin d’identifier les anomalies et menaces potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure AD fournit les journaux utilisateur suivants. Vous pouvez consulter les journaux dans les rapports Azure AD. Vous pouvez intégrer Azure Monitor, Microsoft Sentinel ou d’autres outils SIEM et de monitoring pour des cas d’usage d’analytique et de monitoring sophistiqués.

  • Connexions – Le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

  • Journaux d’audit : Traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités Azure AD. Les journaux d’audit incluent les modifications apportées à n’importe quelle ressource dans Azure AD. Les modifications incluent l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles et de stratégies.

  • Connexions risquées : Un indicateur pour les tentatives de connexion effectuées par une personne qui n’est peut-être pas le propriétaire légitime d’un compte d’utilisateur.

  • Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également vous alerter sur certaines activités suspectes comme un nombre excessif d’échecs d’authentification. ou la présence de comptes dépréciés dans l’abonnement.

Microsoft Defender pour le cloud peut également vous envoyer des alertes en cas d’activités suspectes, par exemple un nombre excessif d’échecs de tentatives d’authentification ou la présence de comptes dépréciés dans l’abonnement.

Outre le monitoring de base de l’hygiène de sécurité, le module de protection contre les menaces de Microsoft Defender pour le cloud peut collecter des alertes de sécurité plus approfondies auprès des entités suivantes :

  • Ressources de calcul Azure individuelles (machines virtuelles, conteneurs et services d’application)

  • Ressources de données (Azure SQL Database et Stockage Azure)

  • Couches de service Azure

Cette capacité vous offre une visibilité sur les anomalies des comptes dans différentes ressources.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseil : Activez ces journaux :

  • Journaux de ressources des groupes de sécurité réseau (NSG)
  • Journaux de flux NSG
  • Journaux d’activité de Pare-feu Azure
  • Journaux du pare-feu d’application web (WAF)

Collectez les journaux pour l’analyse de la sécurité. Utilisez-les pour prendre en charge les investigations d’incident, la chasse aux menaces et la génération d’alertes de sécurité. Vous pouvez envoyer les journaux de flux à un espace de travail Log Analytics sur Azure Monitor, puis utiliser Traffic Analytics pour obtenir des insights.

IoT Hub ne produit pas et ne traite pas les journaux de requêtes DNS.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : les journaux d’activité sont disponibles automatiquement. Les journaux contiennent toutes les opérations PUT, POST et DELETE, mais pas GET, pour les ressources de passerelle VPN. Vous pouvez utiliser les journaux d’activité pour rechercher des erreurs lors de la résolution des problèmes ou pour surveiller la manière dont les utilisateurs ont modifié les ressources.

Activez les journaux de ressources Azure pour la passerelle VPN. Vous pouvez utiliser Microsoft Defender pour le Cloud et Azure Policy pour activer la collecte des journaux de ressources et des données de journaux. Ces journaux peuvent être critiques pour l’investigation des incidents de sécurité et pour les investigations légales.

Responsabilité : Customer

Monitoring de Microsoft Defender pour le cloud : le benchmark de sécurité Azure est l’initiative de stratégie par défaut de Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions intégrées à Azure Policy - Microsoft.Devices :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les journaux de ressources dans IoT Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 3.0.1

LT-6 : Configurer la rétention du stockage des journaux

Conseil : Pour les comptes de stockage ou les espaces de travail Log Analytics qui stockent des journaux IoT Hub, définissez une période de conservation des journaux conforme aux réglementations de votre organisation.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Aide : Non applicable. IoT Hub ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure.

IoT Hub s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseil : Vous pouvez utiliser Azure Blueprints pour automatiser le déploiement et la configuration des services et des environnements d’application dans une seule définition de blueprint. Environnements pour :

  • Modèles Azure Resource Manager
  • Contrôles et stratégies RBAC Azure

Microsoft Defender pour IoT est une solution de sécurité unifiée pour l’identification des appareils, des vulnérabilités et des menaces de l’IoT/OT. Elle vous permet de sécuriser l’ensemble de votre environnement IoT/OT, que vous ayez besoin de protéger des appareils IoT/OT existants ou de renforcer la sécurité de nouvelles innovations IoT.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseil : Utilisez Microsoft Defender pour le cloud pour surveiller votre base de référence de configuration. Utilisez les règles [deny] et [deploy if not exist] d’Azure Policy pour appliquer une configuration sécurisée à toutes les ressources de calcul Azure, comme les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseil:  Utilisez Microsoft Defender pour le cloud et Azure Policy afin d’établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Aide : Non applicable. Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge IoT Hub.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Aide : Non applicable. Pour les logiciels partenaires, utilisez une solution partenaire de gestion des correctifs ou un éditeur SCUP pour Configuration Manager.

IoT Hub n’utilise pas et ne nécessite aucun logiciel tiers.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseil : Le cas échéant, procédez à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure. Veillez à corriger tous les problèmes de sécurité critiques détectés.

Suivez les règles d’engagement relatives aux tests d’intrusion de Microsoft Cloud pour vous assurer que vos tests d’intrusion ne violent pas les stratégies de Microsoft. Utilisez la stratégie et l’exécution Red Teaming de Microsoft. Effectuez des tests d’intrusion de sites en temps réel sur l’infrastructure, les services et les applications cloud gérés par Microsoft.

Responsabilité : Partagé

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Vérifiez régulièrement que vous pouvez restaurer les clés gérées par le client qui sont sauvegardées.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseil : Veillez à prendre les mesures nécessaires pour empêcher la perte de clés et récupérer d’une telle perte. Activez la suppression réversible et la protection contre la purge dans Azure Key Vault pour protéger les clés contre une suppression accidentelle ou malveillante.

Responsabilité : Partagé

Étapes suivantes