Base de référence de sécurité Azure pour Azure Migrate

Cette base de référence de sécurité applique les conseils du Benchmark de sécurité Azure version 2.0 à Azure Migrate. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés applicables à Azure Migrate.

Lorsqu’une fonctionnalité a des Azure Policy définitions pertinentes répertoriées dans cette base de référence, pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Migrate, et ceux pour lesquels l’aide globale est recommandée textuellement, ont été exclus. Pour voir la correspondance complète entre Azure Migrate et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Azure Migrate.

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseil : Azure Migrate utilise Azure Active Directory (Azure AD) comme service de gestion des identités et des accès par défaut. Vous devez normaliser Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

• Les ressources cloud Microsoft, comme le portail Azure, le stockage Azure, les machines virtuelles Azure (Linux et Windows), les applications Azure Key Vault, PaaS et SaaS.
• Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

La sécurisation d’Azure AD doit être d’une priorité élevée dans les pratiques de sécurité cloud de votre organisation. Azure AD fournit un score d'identité sécurisée pour vous aider à évaluer la sécurité des identités par rapport aux recommandations de Microsoft en matière de meilleures pratiques. Utilisez le score pour évaluer avec précision votre configuration par rapport aux meilleures pratiques recommandées et apporter des améliorations à votre posture de sécurité.

Remarque : Azure AD prend en charge l’identité externe, ce qui permet aux utilisateurs sans compte Microsoft de se connecter à leurs applications et ressources avec leur identité externe.

• Location dans Azure AD

• Création et configuration d’une instance Azure AD

• Utilisez des fournisseurs d'identité externes pour l’application

• Qu’est-ce que le degré de sécurisation Identity Secure Score dans Azure AD

Responsabilité : Customer

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseil : Azure Migrate utilise Azure Active Directory (Azure AD) pour fournir la gestion des identités et des accès aux ressources Azure, aux applications cloud et aux applications locales. Cela inclut les identités d’entreprise, comme les employés, ainsi que les identités externes, comme les partenaires et les fournisseurs. Cela permet à l’authentification unique de gérer et sécuriser l’accès aux données et ressources de votre organisation localement et dans le cloud. Connectez l’ensemble de vos utilisateurs, applications et appareils à Azure AD pour un accès transparent et sécurisé, ainsi qu’une visibilité et un contrôle accrus.

• Comprendre l’authentification unique des applications avec Azure AD

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Azure Migrate utilise des comptes Azure Active Directory pour gérer ses ressources, ainsi que pour examiner régulièrement les comptes d'utilisateur et l'attribution des accès afin de s'assurer que les comptes et leur accès sont valides. Vous pouvez utiliser les révisions d’accès Azure AD pour réviser les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un workflow de rapport de révision d’accès visant à faciliter le processus de révision. De plus, Azure Privileged Identity Management peut également être configuré pour alerter en cas de création d’un nombre excessif de comptes d’administrateur et pour identifier les comptes d’administrateur obsolètes ou mal configurés. Certains services Azure prennent en charge les utilisateurs et les rôles locaux qui ne sont pas gérés par Azure AD. Vous devrez gérer ces utilisateurs séparément.

• Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management (PIM)
• Utilisation des révisions d’accès et des identités Azure AD

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles comme les administrateurs, développeurs et opérateurs de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour les tâches d’administration. Utilisez Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (MDATP) et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches d’administration. Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles et un accès réseau et logique restreint.

• Comprendre les stations de travail d’accès privilégié

• Déployer une station de travail d’accès privilégié

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Azure Migrate est intégré au contrôle d'accès en fonction du rôle Azure (Azure RBAC) pour gérer ses ressources. Azure RBAC vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez affecter ces rôles à des utilisateurs, regrouper des principaux de service et des identités managées. Les rôles intégrés prédéfinis pour certaines ressources peuvent être inventoriés ou interrogés par le biais d’outils tels que Azure CLI, Azure PowerShell ou le Portail Azure. Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Ils complètent l’approche juste-à-temps (JAT) d’Azure Active Directory (Azure AD) Privileged Identity Management (PIM) et doivent être révisés régulièrement.

Utilisez des rôles intégrés pour allouer les autorisations et créez un rôle personnalisé uniquement lorsque cela est nécessaire.

• Présentation du contrôle d’accès en fonction du rôle Azure (Azure RBAC)

• Comment configurer Azure RBAC

• Utilisation des révisions d’accès et des identités Azure AD

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseils : L'outil Server Migration d'Azure Migrate réplique les données des disques des serveurs en cours de migration sur les comptes de stockage et disques managés de votre abonnement Azure. La gestion des données est temporaire, jusqu'à ce qu'elles soient écrites sur des comptes de stockage ou des disques managés de l'abonnement, et elle n'est pas persistante dans Azure Migrate.

Protégez les données sensibles stockées sur les comptes de stockage et sur les disques managés en limitant l’accès à l’aide du contrôle d’accès en fonction du rôle Azure (Azure RBAC), des contrôles d’accès basés sur le réseau et des contrôles spécifiques des services Azure (comme Storage Service Encryption pour Disques managés).

Pour la plateforme sous-jacente gérée par Microsoft, Microsoft traite tout le contenu client en tant que contenu sensible, et assure une protection contre la perte et l’exposition des données client. Pour assurer la sécurité des données des clients dans Azure, Microsoft a implémenté certains contrôles et fonctionnalités de protection des données par défaut.

• Contrôle d’accès en fonction du rôle (RBAC) Azure

• Présentation de la protection des données client dans Azure

Responsabilité : Customer

DP-4 : Chiffrement des informations sensibles en transit

Conseils : En complément des contrôles d’accès, les données en transit doivent être protégées contre les attaques « hors bande » (par exemple, la capture de trafic) à l’aide du chiffrement pour empêcher les attaquants de lire ou modifier facilement les données.

Azure Migrate prend en charge le chiffrement des données en transit avec TLS 1.2 ou version ultérieure.

C’est certes facultatif pour le trafic sur les réseaux privés, mais essentiel pour le trafic sur les réseaux externes et publics. Pour le trafic HTTP, assurez-vous que tous les clients (y compris l'appliance Azure Migrate et les autres ordinateurs sur lesquels vous avez installé le logiciel Azure Migrate) qui se connectent à vos ressources Azure sont en mesure de négocier TLS 1.2 ou version ultérieure. Pour la gestion à distance, utilisez SSH (pour Linux) ou RDP/TLS (pour Windows) plutôt qu’un protocole non chiffré. Les versions et protocoles SSL, TLS et SSH rendus obsolètes et les chiffrements faibles doivent être désactivés.

Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

• Présentation du chiffrement en transit avec Azure

• Informations sur la sécurité TLS

• Double chiffrement pour les données Azure en transit

Responsabilité : Microsoft

DP-5 : Chiffrement des données sensibles au repos

Conseils : Azure Migrate ne conserve aucune donnée sensible. Toutes les données conservées dans Azure Migrate sont chiffrées au repos à l'aide de clés gérées par Microsoft.

L'outil Server Migration d'Azure Migrate réplique les données des disques des serveurs en cours de migration sur les comptes de stockage et disques managés de votre abonnement Azure. Les disques peuvent contenir ou non des données sensibles. La gestion des données est temporaire, jusqu'à ce qu'elles soient écrites sur des comptes de stockage ou des disques managés de l'abonnement, et elle n'est pas persistante dans Azure Migrate. Les données répliquées sur le compte de stockage et sur les disques managés sont chiffrées au repos à l'aide de clés gérées par Microsoft. Pour les données hautement sensibles, vous avez la possibilité d'implémenter un chiffrement supplémentaire au repos à l'aide de clés gérées par le client sur le compte de stockage et sur les disques managés.

• Migrer des machines virtuelles VMware vers Azure avec le chiffrement côté serveur (SSE) et des clés gérées par le client (CMK)

• Configurer le chiffrement d'un compte de stockage avec des clés gérées par le client

Responsabilité : Partagé

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et services.

• Vue d’ensemble du rôle lecteur de sécurité

• Vue d'ensemble des groupes d'administration Azure

Responsabilité : Customer

AM-2 : S’assurer que l’équipe de sécurité a accès à l’inventaire des ressources et aux métadonnées

Conseils : Appliquez des étiquettes à vos ressources Azure, groupes de ressources et abonnements pour les organiser de façon logique dans une taxonomie. Chaque balise se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Azure Migrate ne permet pas d'exécuter une application ou d'installer un logiciel sur ses ressources.

• Procédure pour créer des requêtes avec l’Explorateur Azure Resource Graph

• Gestion de l’inventaire des ressources de Microsoft Defender pour le cloud

• Guides de décision concernant le nommage et l’étiquetage des ressources

Responsabilité : Customer

AM-3 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour auditer et limiter les services que les utilisateurs peuvent approvisionner dans votre environnement. Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vous pouvez également utiliser Azure Monitor pour créer des règles afin de déclencher des alertes lorsqu’un service non approuvé est détecté.

• Guide pratique pour configurer et gérer Azure Policy

• Guide pratique pour refuser un type de ressource spécifique avec Azure Policy

• Procédure pour créer des requêtes avec l’Explorateur Azure Resource Graph

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-2 : Activer la détection des menaces pour la gestion des identités et des accès Azure

Conseils : Azure Active Directory (Azure AD) fournit les journaux d’utilisateur suivants, qui peuvent être consultés dans les rapports Azure AD ou intégrés à Azure Monitor, Microsoft Sentinel ou autres outils de supervision/SIEM pour des cas d’usage plus sophistiqués de supervision et d’analytique :

• Connexions – le rapport de connexions fournit des informations sur l’utilisation des applications managées et les activités de connexion des utilisateurs.

Journaux d’audit : traçabilité proposée via des journaux d’activité pour toutes les modifications effectuées par diverses fonctionnalités au sein d’Azure AD. Par exemple, les journaux d’audit peuvent inclure les modifications apportées à des ressources dans Azure AD comme l’ajout ou la suppression d’utilisateurs, d’applications, de groupes, de rôles, de stratégies, etc.

• Connexions risquées : une connexion risquée est une tentative de connexion susceptible de provenir d’un utilisateur autre que le propriétaire légitime d’un compte d’utilisateur.
• Utilisateurs avec indicateur de risque : un utilisateur à risque correspond à un indicateur de compte d’utilisateur susceptible d’être compromis.

Microsoft Defender pour le cloud peut également alerter dans le cas de certaines activités suspectes, comme un nombre excessif de tentatives d’authentification ayant échoué et la présence de comptes déconseillés dans l’abonnement. En plus de la supervision de base de l’hygiène de sécurité, le module Protection contre les menaces de Microsoft Defender pour le cloud peut également collecter des alertes de sécurité plus approfondies à partir de ressources de calcul Azure individuelles (machines virtuelles, conteneurs ou service d’application), de ressources de données (base de données SQL et stockage) et de couches de service Azure. Cette capacité vous permet d’avoir une visibilité sur les anomalies de compte à l’intérieur des ressources individuelles.

• Rapports d’activité d’audit dans Azure AD

• Activer Azure AD Identity Protection

• Protection contre les menaces avec Microsoft Defender pour le cloud

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : Azure Migrate ne produit actuellement pas de journaux de ressources Azure.

Les journaux d'activité, disponibles automatiquement, contiennent toutes les opérations d'écriture (PUT, POST, DELETE) pour vos ressources Azure Migrate, à l'exception des opérations de lecture (GET). Les journaux d’activité peuvent être utilisés pour rechercher une erreur lors de la résolution de problèmes ou pour surveiller la manière dont un utilisateur de votre organisation a modifié une ressource.

• Guide pratique pour collecter des journaux et des métriques de plateforme avec Azure Monitor

• Présentation de la journalisation et des différents types de journaux dans Azure

Responsabilité : Customer

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : Centralisez le stockage et l’analyse de la journalisation pour activer la corrélation. Pour chaque source de journal, assurez-vous d’avoir attribué un propriétaire de données, des conseils d’accès, un emplacement de stockage, les outils utilisés pour traiter les données et y accéder, ainsi que les exigences de conservation des données.

Veillez à intégrer les journaux d’activité Azure dans votre journalisation centralisée. Ingérez des journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les appareils de point de terminaison, les ressources réseau et d’autres systèmes de sécurité. Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour interroger et effectuer l’analytique, et utilisez des comptes Stockage Azure pour le stockage à long terme et l’archivage.

En outre, activez et intégrez les données dans Microsoft Sentinel ou une solution SIEM tierce.

De nombreuses organisations choisissent d’utiliser Microsoft Sentinel pour les données « à chaud » qui sont utilisées fréquemment et le Stockage Azure pour les données « à froid » qui sont utilisées moins fréquemment.

• Guide pratique pour collecter des journaux et des métriques de plateforme avec Azure Monitor

• Guide pratique pour intégrer Microsoft Sentinel

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseil : Azure Migrate ne prend pas en charge la configuration de vos propres sources de synchronisation de l’heure. Le service Azure Migrate s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

• Test d’intrusion dans Azure

• Règles d’engagement des tests d’intrusion

• Microsoft Cloud Red Teaming

Responsabilité : Partagé

Étapes suivantes

• Consultez Vue d’ensemble d’Azure Security Benchmark V2
• En savoir plus sur les bases de référence de la sécurité Azure