Base de référence de sécurité Azure pour Network Watcher

Cette base de référence de sécurité applique les instructions d’aide du Benchmark de sécurité Azure version 2.0 au service Network Watcher. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le Benchmark de sécurité Azure et les conseils associés, applicables au service Network Watcher.

Vous pouvez surveiller cette base de référence de sécurité et ses recommandations à l’aide de Microsoft Defender pour cloud. Azure Policy définitions sont répertoriées dans la section Conformité réglementaire du tableau de bord Microsoft Defender pour cloud.

Lorsqu’une section contient des définitions Azure Policy pertinentes, elles sont répertoriées dans cette base de référence pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Network Watcher et ceux pour lesquels les directives globales sont recommandées textuellement ont été exclus. Pour voir comment le service Network Watcher est entièrement mappé au Benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité de Network Watcher.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-7 : Système DNS (Domain Name System) sécurisé

Conseils : Network Watcher n’expose pas ses configurations DNS sous-jacentes. Ces paramètres sont gérés par Microsoft.

Responsabilité : Microsoft

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : Network Watcher est intégré à Azure RBAC pour gérer l’accès à ses ressources. Le contrôle RBAC Azure vous permet de gérer l’accès aux ressources Azure avec des attributions de rôles. Attribuez ces rôles à différentes entités :

  • Utilisateurs
  • Groupes
  • Principaux de service
  • Identités managées

Des rôles intégrés sont prédéfinis pour certaines ressources. Vous pouvez inventorier et interroger ces rôles à l’aide de différents outils :

  • Azure CLI
  • Azure PowerShell
  • Portail Azure

Limitez toujours les privilèges que vous attribuez aux ressources par le biais du contrôle RBAC Azure à ce dont les rôles ont besoin. Cette pratique complète l’approche juste-à-temps (JIT) d’Azure AD Privileged Identity Management (PIM). Et elle doit être révisée régulièrement.

Utilisez les rôles intégrés pour accorder des autorisations. Ne créez des rôles personnalisés que si nécessaire.

Pour utiliser des fonctionnalités Network Watcher, attribuez le compte avec lequel vous vous connectez à Azure à l’un de ces rôles intégrés :

  • Propriétaire
  • Contributeur
  • Contributeur de réseau

Ou utilisez un rôle personnalisé auquel sont affectés les actions listées pour des fonctionnalités de Network Watcher spécifiques.

Responsabilité : Customer

PA-8 : Choisir le processus d’approbation pour le support Microsoft

Conseils : Azure Network Watcher ne prend pas en charge le Customer Lockbox. Microsoft peut travailler avec les clients via une méthode hors Lockbox pour approuver l’accès aux données client.

Responsabilité : Customer

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-3 : Détection des transferts non autorisés de données sensibles

Conseils : Microsoft gère l’infrastructure sous-jacente pour Azure Network Watcher et les ressources associées. Il implémente des contrôles stricts pour empêcher la perte ou l’exposition des données client.

Responsabilité : Microsoft

DP-4 : Chiffrement des informations sensibles en transit

Conseils : Azure Network Watcher prend en charge le chiffrement des données en transit avec TLS v 1.2 ou version ultérieure. Par défaut, Azure assure le chiffrement des données en transit entre les centres de données Azure.

Responsabilité : Microsoft

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-2 : octroi à l’équipe de sécurité de l’accès à l’inventaire des ressources et aux métadonnées

Conseils : Assurez-vous que les équipes de sécurité peuvent accéder à un inventaire continuellement mis à jour des ressources sur Azure, notamment Network Watcher. Elles ont souvent besoin de cet inventaire pour évaluer l’exposition potentielle de leur organisation à des risques émergents. L’inventaire est également une source d’informations pour l’amélioration continue de la sécurité. Créez un groupe Azure AD pour contenir l’équipe de sécurité autorisée de votre organisation. Accordez l’accès en lecture à l’équipe de sécurité pour toutes les ressources Network Watcher. Vous pouvez simplifier ce processus en attribuant un seul rôle de niveau supérieur dans votre abonnement.

Pour les organiser logiquement en une taxonomie, appliquez des balises aux éléments suivants :

  • Ressources Azure
  • Groupes de ressources
  • Abonnements

Chaque étiquette se compose d’une paire nom-valeur. Par exemple, vous pouvez appliquer le nom « Environnement » et la valeur « Production » à toutes les ressources en production.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Network Watcher ne fournit pas de fonctionnalités natives pour surveiller les menaces de sécurité liées à ses ressources.

Transférez tous les journaux liés à Azure Network Watcher à votre SIEM. Vous pouvez utiliser votre système SIEM pour configurer des détections de menaces personnalisées. Monitorez les différents types de ressources Azure pour identifier les menaces et anomalies potentielles. Concentrez-vous sur l’obtention d’alertes de haute qualité afin de réduire les faux positifs que les analystes doivent trier. Vous pouvez sourcer les alertes à partir de données de journal, d’agents ou d’autres données.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils : activer et collecter les journaux de ressources de groupe de sécurité réseau et les journaux de workflow et du groupe de sécurité réseau. Utilisez ces journaux pour l’analyse de sécurité afin de prendre en charge :

  • Des enquêtes sur l’incident
  • Chasse des menaces
  • Génération d’alertes de sécurité

Envoyez les journaux de flux à un espace de travail Log Analytics sur Azure Monitor. Utilisez ensuite Traffic Analytics pour fournir des insights. Network Watcher ne produit pas et ne traite pas les journaux de requêtes DNS.

Responsabilité : Partagé

Supervision Microsoft Defender pour le cloud : le Benchmark de sécurité Azure est l’initiative de stratégie par défaut pour Microsoft Defender pour le cloud et constitue la base des recommandations de Microsoft Defender pour le cloud. Les définitions Azure Policy associées à ce contrôle sont activées automatiquement par Microsoft Defender pour le cloud. Les alertes liées à ce contrôle peuvent nécessiter un plan Microsoft Defender pour les services associés.

Définitions Azure Policy intégrées – Microsoft.Network :

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : À l’aide du journal d’activité Azure, effectuez le monitoring des configurations et détectez les changements apportés à instances Azure Network Watcher. À part le plan de contrôle (par exemple, le portail Azure), Network Watcher lui-même ne génère pas de journaux d’audit. Pour les ressources d’un réseau virtuel Azure, Network Watcher fournit des outils permettant d’effectuer les opérations suivantes :

  • Superviser
  • Diagnose
  • Afficher les mesures
  • Activer ou désactiver les journaux

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Customer

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : pour activer la corrélation des données de journaux Azure Network Watcher, centralisez le stockage et l’analyse de la journalisation. Pour chaque source de journal, attribuez les éléments suivants :

  • Un propriétaire des données
  • Une aide à l’accès
  • Emplacement de stockage
  • Des outils permettant de traiter les données et d’y accéder
  • Exigences de conservation des données

Intégrez les journaux d’activité Azure dans votre journalisation centralisée. Ingérez les journaux par le biais d’Azure Monitor pour agréger les données de sécurité générées par les éléments suivants :

  • Appareils de point de terminaison
  • Ressources réseau
  • Autres systèmes de sécurité

Dans Azure Monitor, utilisez des espaces de travail Log Analytics pour effectuer des requêtes et des opérations d’analytique. Utilisez les comptes de stockage Azure pour le stockage à long terme et l’archivage.

Par ailleurs, activez les données et intégrez-les à Microsoft Sentinel ou à une solution SIEM tierce. De nombreuses organisations choisissent Microsoft Sentinel pour les données « chaudes » souvent utilisées. Celles-ci utilisent ensuite le Stockage Azure pour les données « froides » qui sont consultées moins fréquemment.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : le service Network Watcher s’appuie sur les sources de synchronisation de l’heure de Microsoft et n’est pas exposé aux clients pour la configuration.

Responsabilité : Microsoft

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseils : avec Azure Policy, définissez et implémentez des configurations de sécurité standard pour Network Watcher. Avec des alias Azure Policy dans l’espace de noms « Microsoft.Network », créez des stratégies personnalisées pour auditer ou appliquer la configuration réseau de vos instances Network Watcher. Veillez également à utiliser des définitions de stratégie intégrée, par exemple :

Responsabilité : Customer

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseils : pour appliquer des paramètres sécurisés pour Azure Network Watcher dans vos ressources Azure, utilisez les définitions de stratégie Deny et DeployIfNotExists dans Azure Policy.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : le cas échéant, procédez à des tests d’intrusion ou à des activités Red Team sur vos ressources Azure. Assurez-vous de corriger tous les résultats critiques en matière de sécurité.

Vous craignez que vos tests de pénétration enfreignent les stratégies Microsoft ? Suivez ensuite les règles d’engagement des tests d’intrusion du cloud Microsoft Utilisez la stratégie et l’exécution de Red Teaming de Microsoft et des tests d’intrusion de site actif sur les ressources gérées par Microsoft :

  • Infrastructure cloud
  • Services
  • Applications

Pour plus d’informations, consultez les articles suivants :

Responsabilité : Partagé

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-2 : utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Conseils : Azure Network Watcher ne déploie pas de ressources de calcul à destination du client nécessitant que les clients configurent la protection contre les programmes malveillants. Microsoft gère l’infrastructure sous-jacente pour Azure Network Watcher. Cette infrastructure comprend la gestion du logiciel anti-programme malveillant.

Responsabilité : Microsoft

ES-3 : vérification de l’actualisation des logiciels anti-programme malveillant et des signatures

Conseils : Azure Network Watcher ne déploie pas de ressources de calcul à destination du client nécessitant que les clients configurent la protection contre les programmes malveillants. Microsoft gère l’infrastructure sous-jacente pour Azure Network Watcher. Cette infrastructure comprend la gestion du logiciel anti-programme malveillant.

Responsabilité : Microsoft

Étapes suivantes