Base de référence de sécurité Azure pour les adresses IP publiques Azure

Cette base de référence de sécurité applique les conseils d’ version 1.0 aux adresses IP publiques Azure. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé par les contrôles de sécurité définis par Azure Security Benchmark et les conseils associés applicables aux adresses IP publiques Azure.

Lorsqu’une fonctionnalité a des Azure Policy définitions pertinentes répertoriées dans cette base de référence, pour vous aider à mesurer la conformité aux contrôles et recommandations du benchmark de sécurité Azure. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Public IP, ou pour lesquels la responsabilité est celle de Microsoft, ont été exclus. Pour voir la correspondance complète entre Azure Public IP et le Benchmark de sécurité Azure, consultez le fichier de mise en correspondance complet de la base de référence de sécurité Azure Public IP.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

1.10 : Règles de configuration du trafic de documents

Conseils : Des étiquettes peuvent être attribuées aux adresses IP publiques Azure. Utilisez des étiquettes de ressource pour les groupes de sécurité réseau et d’autres ressources liées à la sécurité réseau. Utilisez l’une des définitions Azure Policy intégrées en lien avec l’étiquetage, comme « Exiger une étiquette et sa valeur », qui garantissent que toutes les ressources sont créées avec des étiquettes et qui vous informent de l’existence de ressources non étiquetées.

Vous pouvez utiliser Azure PowerShell ou Azure CLI pour rechercher des ressources ou effectuer des actions sur des ressources en fonction de leurs étiquettes.

Responsabilité : Customer

Journalisation et supervision

Pour plus d’informations, consultez Benchmark de sécurité Azure : journalisation et supervision.

2.2 : Configurer la gestion des journaux de sécurité centrale

Aide : Utilisez le journal d’activité Azure pour surveiller les configurations et détecter les changements apportés à vos instances d’adresses IP publiques. À part le plan de contrôle (par exemple, le portail Azure), une adresse IP publique ne génère pas elle-même de journaux liés au trafic réseau.

Une adresse IP publique fournit des outils permettant de surveiller, de diagnostiquer et d’afficher des métriques, ainsi que d’activer et de désactiver les journaux des ressources se trouvant dans un réseau virtuel Azure.

À la place, vous pouvez activer et intégrer les données dans Microsoft Sentinel ou une solution SIEM tierce.

Responsabilité : Customer

2.3 : Activer la journalisation d’audit pour les ressources Azure

Aide : Utilisez le journal d’activité Azure pour surveiller les configurations et détecter les changements apportés à vos instances d’adresses IP publiques. À part le plan de contrôle (par exemple, le portail Azure), une adresse IP publique ne génère pas elle-même de journaux d’audit. Une adresse IP publique fournit des outils permettant de surveiller, de diagnostiquer et d’afficher des métriques, ainsi que d’activer et de désactiver les journaux des ressources se trouvant dans un réseau virtuel Azure.

Responsabilité : Customer

2.5 : Configurer la conservation du stockage des journaux de sécurité

Aide : Utilisez Azure Monitor pour définir la période de conservation des journaux pour les espaces de travail Log Analytics associés à des instances d’adresses IP publiques, conformément aux obligations de conformité de votre organisation.

Responsabilité : Customer

2.6 : Superviser et examiner les journaux

Aide : Une adresse IP publique fournit des outils permettant de surveiller, de diagnostiquer et d’afficher des métriques, ainsi que d’activer et de désactiver les journaux des ressources se trouvant dans un réseau virtuel Azure.

Utilisez le journal d’activité Azure pour surveiller les configurations et détecter les changements apportés à vos instances d’adresses IP publiques.

Une adresse IP publique ne génère pas elle-même de journaux liés au trafic réseau, autres qu’au niveau du plan de contrôle (par exemple, le portail Azure).

Responsabilité : Customer

2.7 : Activer les alertes d’activité anormale

Aide : Configurez vos alertes en fonction des journaux d’activité liés à l’adresse IP publique. Utilisez Azure Monitor pour configurer une alerte afin d’envoyer un e-mail de notification, d’appeler un webhook ou d’appeler une application logique Azure.

Responsabilité : Customer

Contrôle des accès et des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : contrôle des accès et des identités.

3.1 : Tenir un inventaire des comptes d’administration

Aide : Utilisez le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer l’accès aux ressources Azure comme les instances d’adresses IP publiques par le biais d’attributions de rôles. Attribuez ces rôles aux utilisateurs, groupes, principaux de service et identités managées.

Des rôles intégrés Azure prédéfinis, inventoriés ou interrogés, existent pour certaines ressources par le biais d’outils tels qu’Azure CLI, Azure PowerShell ou le portail Azure.

Responsabilité : Customer

3.3 : Utiliser des comptes d’administration dédiés

Conseils : Créez des procédures standard autour de l’utilisation de comptes d’administration dédiés.

Accès juste-à-temps activé à l’aide d’Azure Active Directory (Azure AD) Privileged Identity Management (PIM) et d’Azure Resource Manager.

Responsabilité : Customer

3.5 : Utiliser l’authentification multifacteur pour tous les accès basés sur Azure Active Directory

Aide : Activez l’authentification multifacteur Azure Active Directory (Azure AD) et suivez les recommandations de gestion des identités et des accès de Microsoft Defender pour le cloud.

Responsabilité : Customer

3.6 : Utiliser des ordinateurs dédiés (stations de travail avec accès privilégié) pour toutes les tâches administratives

Conseil : Utilisez une station de travail à accès privilégié avec l’authentification multifacteur (MFA) Azure AD activée pour vous connecter à vos ressources Microsoft Sentinel et les configurer.

Responsabilité : Customer

3.7 : Journaliser et générer des alertes en cas d’activités suspectes sur des comptes d’administration

Aide : Utilisez Azure Active Directory (Azure AD) Privileged Identity Management (PIM) pour générer des journaux et des alertes quand des activités suspectes ou potentiellement dangereuses se produisent dans l’environnement.

Utilisez et passez en revue les détections de risque Azure AD pour bénéficier d’alertes et de rapports sur les comportements à risque des utilisateurs.

Responsabilité : Customer

3.8 : Gérer les ressources Azure uniquement à partir d’emplacements approuvés

Aide : Utilisez des emplacements nommés avec accès conditionnel pour autoriser l’accès au portail Azure uniquement à partir de regroupements logiques spécifiques de plages d’adresses IP ou de pays/régions.

Responsabilité : Customer

3.9 : Utiliser Azure Active Directory

Aide : Utiliser Azure Active Directory (Azure AD) comme système d’authentification et d’autorisation central. Azure AD protège les données en utilisant un chiffrement fort pour les données au repos et en transit. De plus, AAD sale, hache et stocke de manière sécurisée les informations d’identification utilisateur.

Responsabilité : Customer

3.10 : Examiner et rapprocher régulièrement l’accès utilisateur

Conseils : Découvrez les comptes obsolètes à l’aide des journaux dans Azure Active Directory (Azure AD).

Utilisez les révisions d’accès des identités Azure pour gérer efficacement les appartenances aux groupes, les accès aux applications d’entreprise et les attributions de rôles. L’accès utilisateur peut être vérifié régulièrement pour garantir que les utilisateurs bénéficient d’un accès approuvé et continu.

Responsabilité : Customer

3.11 : Superviser les tentatives d’accès à des informations d’identification désactivées

Aide : Implémentez l’intégration avec un outil SIEM/de supervision quelconque basé sur votre accès aux activités de connexion Azure Active Directory (Azure AD) et aux sources des journaux d’événements à risque et d’audit. Simplifiez ce processus en créant des paramètres de diagnostic pour les comptes d’utilisateur Azure AD et en envoyant les journaux d’audit et les journaux de connexion à un espace de travail Log Analytics. Configurez les alertes souhaitées dans un espace de travail Log Analytics.

Responsabilité : Customer

3.12 : Alerte en cas d’écart de comportement de connexion à un compte

Aide : Utilisez les fonctionnalités d’Azure Active Directory (Azure AD) Identity Protection pour configurer des réponses automatisées aux actions suspectes détectées, liées aux identités d’utilisateur. Ingérez les données dans Microsoft Sentinel pour approfondir vos investigations si vous le souhaitez et en fonction des besoins métier.

Responsabilité : Customer

Gestion des stocks et des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des stocks et des ressources.

6.1 : Utiliser la solution de détection automatisée des ressources

Conseils : Utilisez Azure Resource Graph pour interroger/découvrir toutes les ressources (telles que calcul, stockage, réseau, ports, protocoles, etc.) dans vos abonnements. Vérifiez les autorisations (lecture) appropriées dans votre locataire et répertoriez tous les abonnements Azure, ainsi que les ressources dans vos abonnements.

Bien que les ressources Azure classiques puissent être découvertes via Resource Graph, il est vivement recommandé de créer et d’utiliser des ressources Azure Resource Manager à l’avenir.

Responsabilité : Customer

6.2 : Gérer les métadonnées de ressources

Conseils : Appliquez des balises aux ressources Azure en fournissant des métadonnées pour les organiser de façon logique par catégories.

Responsabilité : Customer

6.3 : Supprimer des ressources Azure non autorisées

Aide : Utilisez des étiquettes, des groupes d’administration et des abonnements distincts, le cas échéant, pour organiser et suivre les ressources Azure. Rapprochez régulièrement l’inventaire et assurez-vous que les ressources non autorisées sont supprimées de l’abonnement en temps utile.

En outre, utilisez Azure Policy pour appliquer des restrictions quant au type de ressources pouvant être créées dans les abonnements clients à l’aide des définitions de stratégie intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

6.5 : Analyser les ressources Azure non approuvées

Aide : Utilisez Azure Policy pour appliquer des restrictions quant au type de ressources pouvant être créées dans vos abonnements.

Utilisez Azure Resource Graph pour interroger et découvrir des ressources dans leurs abonnements. Vérifiez que toutes les ressources Azure présentes dans l’environnement sont approuvées.

Responsabilité : Customer

6.9 : Utiliser des services Azure approuvés uniquement

Conseils : Utilisez Azure Policy pour appliquer des restrictions quant au type de ressources pouvant être créées dans les abonnements clients selon les définitions de stratégies intégrées suivantes :

  • Types de ressources non autorisés
  • Types de ressources autorisés

Pour plus d’informations, consultez les références suivantes :

Responsabilité : Customer

6.11 : Limiter la capacité des utilisateurs à interagir avec Azure Resource Manager

Aide : Configurez l’accès conditionnel Azure pour limiter la capacité des utilisateurs à interagir avec Azure Resource Manager en configurant « Bloquer l’accès » pour l’application « Gestion Microsoft Azure ».

Responsabilité : Customer

Configuration sécurisée

Pour plus d’informations, consultez Benchmark de sécurité Azure : Configuration sécurisée.

7.1 : Établir des configurations sécurisées pour toutes les ressources Azure

Aide : Définissez et implémentez des configurations de sécurité standard pour les adresses IP publiques Azure avec Azure Policy. Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des stratégies personnalisées afin d’auditer ou d’appliquer la configuration réseau de vos instances d’adresses IP publiques Azure. Vous pouvez également utiliser des définitions de stratégie intégrées.

Responsabilité : Customer

7.3 : Gérer les configurations de ressources Azure sécurisées

Aide : Utilisez les stratégies Azure Policy [refuser] et [déployer s’il n’existe pas] pour appliquer des paramètres sécurisés à vos ressources Azure.

Responsabilité : Customer

7.5 : Stocker en toute sécurité la configuration des ressources Azure

Aide : Si vous utilisez des définitions Azure Policy personnalisées, utilisez Azure DevOps ou Azure Repos pour stocker et gérer votre code en toute sécurité.

Responsabilité : Customer

7.7 : Déployer des outils de gestion de la configuration pour les ressources Azure

Conseils : Définissez et implémentez des configurations de sécurité standard pour les adresses IP publiques Azure avec Azure Policy. Utilisez des alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des stratégies personnalisées afin d’auditer ou d’appliquer la configuration réseau de vos instances d’adresses IP publiques Azure.

Responsabilité : Customer

7.9 : Mettre en place une supervision automatisée de la configuration pour les ressources Azure

Aide : Utilisez les définitions Azure Policy intégrées ainsi que les alias Azure Policy dans l’espace de noms « Microsoft.Network » pour créer des définitions Azure Policy personnalisées d’alerte, d’audit ou d’application de configurations système. Utilisez une stratégie Azure Policy [auditer], [refuser] et [déployer s’il n’existe pas] afin d’appliquer automatiquement des configurations pour vos ressources Azure.

Responsabilité : Customer

Réponse aux incidents

Pour plus d’informations, consultez Benchmark de sécurité Azure : réponse aux incidents.

10.1 : Créer un guide de réponse aux incidents

Conseils : Créez un guide de réponse aux incidents pour votre organisation. Assurez-vous qu’il existe des plans de réponse aux incidents écrits qui définissent tous les rôles du personnel, ainsi que les phases de gestion des incidents, depuis la détection jusqu’à la revue une fois l’incident terminé.

Responsabilité : Customer

10.2 : Créer une procédure de notation et de classement des incidents

Aide : Microsoft Defender pour le cloud attribue un niveau de gravité à chaque alerte afin de vous aider à les classer par ordre de priorité pour savoir lesquelles examiner en premier. La gravité dépend du niveau de confiance que Microsoft Defender pour le cloud accorde au résultat ou à l’analytique utilisés pour émettre l’alerte, ainsi que du niveau de confiance concernant le caractère malveillant de l’intention derrière l’activité à l’origine de l’alerte.

En outre, marquez clairement les abonnements (par ex. production, non-production) et créez un système de nommage pour identifier et classer les ressources Azure de façon claire.

Responsabilité : Customer

10.3 : Tester les procédures de réponse de sécurité

Conseils : Exécutez des exercices pour tester les fonctionnalités de réponse aux incidents de vos systèmes de façon régulière. Identifiez les points faibles et les lacunes, et révisez le plan en fonction des besoins.

Responsabilité : Customer

10.4 : Fournir des informations de contact pour les incidents de sécurité et configurer des notifications d’alerte pour les incidents de sécurité

Conseils : Les informations de contact d’incident de sécurité seront utilisées par Microsoft pour vous contacter si Microsoft Security Response Center (MSRC) découvre que les données du client ont été utilisées par un tiers illégal ou non autorisé. Examinez les incidents après les faits pour vous assurer que les problèmes sont résolus.

Responsabilité : Customer

10.5 : Intégrer des alertes de sécurité à votre système de réponse aux incidents

Conseils : Exportez les alertes et les recommandations de Microsoft Defender pour le cloud à l’aide de la fonctionnalité d’exportation continue. L’exportation continue vous permet d’exporter les alertes et les recommandations manuellement, ou automatiquement de manière continue. Vous pouvez utiliser le connecteur de données Microsoft Defender pour le cloud afin d’envoyer en streaming les alertes à Microsoft Sentinel.

Responsabilité : Customer

10.6 : Automatiser la réponse aux alertes de sécurité

Conseils : Utilisez la fonctionnalité d’automatisation des workflows dans Microsoft Defender pour le cloud pour déclencher automatiquement des réponses via « Logic Apps » sur les alertes et recommandations de sécurité.

Responsabilité : Customer

Tests d’intrusion et exercices Red Team

Pour plus d’informations, consultez Benchmark de sécurité Azure : tests d’intrusion et exercices Red Team.

11.1 : Procéder régulièrement à des tests d’intrusion des ressources Azure et veiller à corriger tous les problèmes de sécurité critiques détectés

Aide : Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Étapes suivantes