Base de référence de sécurité Azure pour Azure Lighthouse

Cette base de référence de sécurité applique les conseils du Benchmark de sécurité Azure version 2.0 à Azure Lighthouse. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Lighthouse.

Lorsqu’une fonctionnalité a des Azure Policy définitions pertinentes répertoriées dans cette base de référence, pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Lighthouse et ceux pour lesquels l’aide globale est recommandée textuellement ont été exclus. Pour voir comment Azure Lighthouse est entièrement mappé au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Azure Lighthouse.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-7 : Système DNS (Domain Name System) sécurisé

Aide : non applicable. Azure Lighthouse n’expose pas ses configurations DNS sous-jacentes, ces paramètres sont gérés par Microsoft.

Responsabilité : Microsoft

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : Azure Lighthouse utilise Azure Active Directory (Azure AD) en tant que service de gestion des identités et des accès par défaut. Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.
  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

Avec Azure Lighthouse, les utilisateurs désignés d’un locataire gestionnaire disposent d’un rôle intégré Azure qui leur permet d’accéder à des abonnements délégués et/ou à des groupes de ressources dans le locataire d’un client. Tous les rôles intégrés sont actuellement pris en charge, à l’exception du propriétaire et des rôles intégrés avec l’autorisation DataActions. Le rôle Administrateur de l’accès utilisateur est pris en charge uniquement pour une utilisation limitée dans l’affectation de rôles à des identités gérées. Les rôles personnalisés et les Rôles Administrateur classique de l’abonnement ne sont pas pris en charge.

Responsabilité : Customer

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Aide : les identités managées Azure peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Azure Active Directory (Azure AD). L’authentification est activée à l’aide de règles d’octroi d’accès prédéfinies, évitant les informations d’identification codées en dur dans le code source ou les fichiers de configuration. Avec Azure Lighthouse, les utilisateurs dotés du rôle d’administrateur de l’accès utilisateur sur l’abonnement d’un client peuvent créer une identité managée dans le locataire de ce client. Bien que ce rôle ne soit généralement pas pris en charge avec Azure Lighthouse, il peut être utilisé dans ce scénario spécifique, ce qui permet aux utilisateurs disposant de cette autorisation d’affecter un ou plusieurs rôles intégrés spécifiques à des identités managées.

Pour les services qui ne prennent pas en charge les identités gérées, utilisez Azure AD pour créer un principal de service avec des autorisations restreintes au niveau de la ressource à la place. Azure Lighthouse permet aux principaux de service d’accéder aux ressources de client en fonction des rôles qu’ils ont accordés au cours du processus d’intégration. Il est recommandé de configurer des principaux de service avec des informations d’identification de certificat et de se replier sur les secrets des clients. Dans les deux cas, Azure Key Vault peut être utilisé conjointement avec des identités gérées par Azure, afin que l’environnement d’exécution (par exemple, une fonction Azure) puisse récupérer les informations d’identification du coffre de clés.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-1 : Protéger et limiter les utilisateurs disposant de privilèges élevés

Conseils : Limitez le nombre de comptes d’utilisateur dotés de privilèges élevés et protégez ces comptes à un niveau élevé. Un compte d’administrateur général n’est pas nécessaire pour activer et utiliser Azure Lighthouse.

Pour accéder aux données du journal d’activité au niveau du locataire, un compte doit se voir attribuer le rôle intégré Lecteur d’analyse Azure au niveau de l’étendue racine (/). S’agissant d’un niveau d’accès étendu, nous vous recommandons d’attribuer ce rôle à un compte de principal de service plutôt qu’à un utilisateur individuel ou à un groupe. Cette affectation doit être effectuée par un utilisateur qui a le rôle Administrateur général avec accès élevé supplémentaire. Cet accès élevé doit être ajouté immédiatement avant de procéder à l’attribution de rôle, puis supprimé au terme de celle-ci.

Responsabilité : Customer

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Azure Lighthouse utilise des comptes Azure Active Directory (Azure AD) pour gérer ses ressources, ainsi qu’examiner régulièrement les comptes utilisateur et l’attribution d’accès pour s’assurer que les comptes et leur accès sont valides. Vous pouvez utiliser les révisions d’accès Azure AD pour réviser les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un workflow de rapport de révision d’accès afin de faciliter le processus de révision.

Les clients peuvent examiner le niveau d’accès accordé aux utilisateurs dans le locataire gestionnaire via Azure Lighthouse dans le portail Azure. Ils peuvent supprimer cet accès à tout moment.

En outre, Azure Privileged Identity Management peut être configuré pour déclencher des alertes lorsqu'un nombre excessif de comptes d'administrateur est créé, et pour identifier les comptes d'administrateur obsolètes ou mal configurés.

Notez que certains services Azure prennent en charge des utilisateurs et rôles locaux non gérés par le biais d’Azure AD. Vous devrez gérer ces utilisateurs séparément.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique. En fonction de vos besoins, vous pouvez utiliser des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour effectuer des tâches de gestion administrative avec Azure Lighthouse dans des environnements de production. Utilisez Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (MDATP) et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles et un accès réseau et logique restreint.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure Lighthouse est intégré au contrôle d'accès en fonction du rôle Azure (Azure RBAC) pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez affecter ces rôles intégrés à des utilisateurs, à des groupes, à des principaux de service et à des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels que Azure CLI, Azure PowerShell ou le Portail Azure. Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Cette stratégie complète l’approche juste-à-temps (JIT, Just In Time) Azure Active Directory (Azure AD) Privileged Identity Management (PIM) et doit être passée en revue régulièrement. Utilisez les rôles intégrés pour allouer des autorisations et ne créez des rôles personnalisés que si nécessaire.

Azure Lighthouse permet d’accéder aux ressources de client déléguées à l’aide des rôles intégrés Azure. Dans la plupart des cas, vous attribuez ces rôles à un groupe ou à un principal de service, plutôt qu’à de nombreux comptes d’utilisateur individuels. Cela vous permet d’ajouter ou de supprimer l’accès d’utilisateurs individuels sans devoir mettre à jour et republier le plan lorsque vos conditions d’accès changent.

Pour déléguer des ressources de client à un locataire gestionnaire, un déploiement doit être effectué par un compte non invité du locataire du client qui dispose du rôle intégré Propriétaire pour l'abonnement en cours d'intégration (ou qui contient les groupes de ressources en cours d'intégration).

Responsabilité : Customer

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Remarque : Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Les équipes de sécurité des clients peuvent consulter les journaux d’activité pour voir les activités effectuées par les fournisseurs de services utilisant Azure Lighthouse.

Si un fournisseur de services souhaite autoriser son équipe de sécurité à passer en revue les ressources de client déléguées, les autorisations de l’équipe de sécurité doivent inclure le rôle intégré Lecteur.

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Azure Lighthouse vous permet de surveiller les ressources Azure de vos clients afin d’y détecter d’éventuelles menaces et anomalies. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que doivent trier les analystes. Les alertes peuvent provenir de données de journal, d’agents ou d’autres données.

Utilisez la capacité de détection des menaces intégrée à Microsoft Defender pour le cloud, qui se base sur la supervision de la télémétrie du service Azure et sur l’analyse des journaux de service. Les données sont collectées à l’aide de l’agent Log Analytics, qui lit divers journaux d’événements et configurations liées à la sécurité du système et copie les données dans votre espace de travail à des fins d’analyse.

En outre, utilisez Microsoft Sentinel pour créer des règles d’analytique, qui repèrent des menaces correspondant à des critères spécifiques dans l’environnement de votre client. Les règles génèrent des incidents lorsque les critères sont respectés, de sorte que vous pouvez enquêter sur chaque incident. Microsoft Sentinel peut également importer le renseignement sur les menaces provenant de tiers pour améliorer la capacité de détection des menaces.

Responsabilité : Customer

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Aide : Azure Lighthouse vous permet d’utiliser Microsoft Defender pour le cloud pour alerter en cas d’activités suspectes dans les locataires client que vous gérez, comme un nombre excessif de tentatives d’authentification ayant échoué et la présence de comptes dépréciés dans l’abonnement.

Azure Active Directory (Azure AD) fournit les journaux d’utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou d’autres outils de supervision/SIEM pour des cas d’usage plus sophistiqués de supervision et d’analytique :

  • Connexion : le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.
  • Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.
  • Connexion risquée : une connexion risquée indique une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
  • Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également alerter dans le cas de certaines activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué et la présence de comptes déconseillés dans l’abonnement. En plus de la supervision de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application), de ressources de données (base de données SQL et stockage) et de couches de service Azure. Cette capacité offre une bonne visibilité sur les anomalies des comptes à l’intérieur des différentes ressources.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Les journaux d'activité, disponibles automatiquement, contiennent toutes les opérations d'écriture (PUT, POST, DELETE) pour vos ressources Azure Lighthouse, à l'exception des opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

Azure Lighthouse vous permet d’utiliser les journaux Azure Monitor de manière évolutive sur les locataires client que vous gérez. Créez des espaces de travail Log Analytics directement dans les locataires client de sorte que les données client restent dans leurs locataires et ne soient pas exportés dans les vôtres. Cela permet également d’effectuer une supervision centralisée de l’ensemble des ressources ou services pris en charge par Log Analytics. Ainsi, vous disposez d’une plus grande flexibilité par rapport aux types de données que vous supervisez.

Les clients disposant d’abonnements délégués pour Azure Lighthouse peuvent consulter les données du journal d’activité Azure pour voir toutes les actions entreprises. Ils bénéficient ainsi d’une visibilité complète sur les opérations effectuées par les fournisseurs de services, ainsi que par les utilisateurs dans le locataire Azure Active Directory (Azure AD) du client.

Responsabilité : Partagé

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences de conservation des données.

Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.

En outre, activez et intégrez les données dans Microsoft Sentinel ou une solution SIEM tierce.

Azure Lighthouse vous permet d’utiliser les journaux Azure Monitor de manière évolutive sur les locataires client que vous gérez. Créez des espaces de travail Log Analytics directement dans les locataires client de sorte que les données client restent dans leurs locataires et ne soient pas exportés dans les vôtres. Cela permet également d’effectuer une supervision centralisée de l’ensemble des ressources ou services pris en charge par Log Analytics. Ainsi, vous disposez d’une plus grande flexibilité par rapport aux types de données que vous supervisez.

Les clients disposant d’abonnements délégués pour Azure Lighthouse peuvent consulter les données du journal d’activité Azure pour voir toutes les actions entreprises. Ils bénéficient ainsi d’une visibilité complète sur les opérations effectuées par les fournisseurs de services, ainsi que par les utilisateurs dans le locataire Azure Active Directory (Azure AD) du client.

De nombreuses organisations choisissent d’utiliser Microsoft Sentinel pour les données « chaudes » qui sont utilisées fréquemment et Stockage Azure pour les données « froides » qui sont utilisées moins fréquemment.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseils : Azure Lighthouse ne génère actuellement aucun journal lié à la sécurité. Les clients qui souhaitent afficher l’activité du fournisseur de services peuvent configurer la rétention des journaux en fonction des exigences de conformité, de réglementation et d’entreprise.

Dans Azure Monitor, vous pouvez définir la période de rétention de votre espace de travail Log Analytics en fonction des règles de conformité de votre organisation. Utilisez des comptes Stockage Azure, Data Lake ou d’espace de travail Log Analytics pour le stockage à long terme et l’archivage.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Aide : Azure Lighthouse ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Le service Azure Lighthouse s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Aide : Azure Lighthouse prend en charge les stratégies propres aux services ci-dessous, disponibles dans Microsoft Defender pour le cloud pour auditer et appliquer les configurations de vos ressources Azure. Ce paramètre peut être configuré dans les initiatives Microsoft Defender pour le cloud ou Azure Policy.

  • Autoriser l’intégration des ID de locataires gérants dans Azure Lighthouse

  • Auditer la délégation d’étendues sur un locataire gérant

Vous pouvez utiliser Azure Blueprints pour automatiser le déploiement et la configuration de services et d’environnements d’application, notamment des modèles Resource Manager, des contrôles Azure RBAC et des stratégies, dans une même définition de blueprint.

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Aide : Azure Lighthouse prend en charge les stratégies propres aux services ci-dessous, disponibles dans Microsoft Defender pour le cloud pour auditer et appliquer les configurations de vos ressources Azure. Ce paramètre peut être configuré dans les initiatives Microsoft Defender pour le cloud ou Azure Policy.

Responsabilité : Customer

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseil:  Utilisez Microsoft Defender pour le cloud et Azure Policy pour établir des configurations sécurisées sur toutes les ressources de calcul, notamment les machines virtuelles, les conteneurs, etc.

Responsabilité : Customer

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Aide : Microsoft assure la gestion des vulnérabilités sur les systèmes sous-jacents prenant en charge Azure Lighthouse.

Responsabilité : Microsoft

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)

Aide : Azure Lighthouse ne déploie pas de ressources de calcul à destination du client qui nécessitent la protection évolutive des points de terminaison (PEPT). L’infrastructure sous-jacente du service Azure Lighthouse est gérée par Microsoft.

Responsabilité : Microsoft

ES-2 : Utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Aide : Azure Lighthouse ne déploie pas de ressources de calcul à destination du client qui pourraient être configurées avec une solution anti-programme malveillant. L’infrastructure sous-jacente du service Azure Lighthouse est gérée par Microsoft, qui comprend la gestion des logiciels anti-programmes malveillants installés.

Responsabilité : Microsoft

ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Aide : Azure Lighthouse ne déploie pas de ressources de calcul à destination du client qui pourraient être configurées avec une solution anti-programme malveillant. L’infrastructure sous-jacente du service Azure Lighthouse est gérée par Microsoft, qui comprend la gestion des logiciels anti-programmes malveillants installés.

Responsabilité : Microsoft

Étapes suivantes