Base de référence de sécurité Azure pour Azure Stack Edge

Cette base de référence de sécurité applique les instructions du Benchmark de sécurité Azure version 2.0 à Microsoft Azure Stack Edge. Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous pouvez sécuriser vos solutions cloud sur Azure. Le contenu est regroupé selon les contrôles de sécurité définis par le benchmark de sécurité Azure et les instructions associées applicables à Azure Stack Edge.

Lorsqu’une fonctionnalité a des définitions Azure Policy pertinentes, elles sont répertoriées dans cette ligne de base, pour vous aider à mesurer la conformité aux contrôles et recommandations azure Security Benchmark. Certaines recommandations peuvent nécessiter un plan Microsoft Defender payant pour activer certains scénarios de sécurité.

Notes

Les contrôles non applicables à Azure Stack Edge, et ceux pour lesquels l’aide globale est recommandée textuellement, ont été exclus. Pour savoir comment s’effectue le mappage intégral d’Azure Stack Edge au benchmark de sécurité Azure, consultez le fichier de mappage complet de la base de référence de sécurité Azure Stack Edge.

Sécurité réseau

Pour plus d’informations, consultez Benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Conseils : Les clients déploient un appareil physique Azure Stack Edge fourni par Microsoft dans leur réseau privé pour l’accès interne et disposent d’options pour le sécuriser davantage. Par exemple, l’appareil Azure Stack Edge est accessible sur le réseau interne du client et nécessite une adresse IP configurée par ce dernier. En outre, un mot de passe d’accès est choisi par le client pour accéder à l’interface utilisateur de l’appareil.

Le trafic interne est davantage sécurisé par :

  • La version 1.2 du protocole TLS est nécessaire pour le Portail Azure et la gestion des kits de développement logiciel (SDK) de l’appareil Azure Stack Edge.

  • Tout accès client à l’appareil s’effectue via l’interface utilisateur Web locale à l’aide de la version 1.2 du protocole TLS par défaut.

  • Seul un appareil Azure Stack Edge Pro autorisé peut rejoindre le service Azure Stack Edge créé par le client lors de sa souscription à Azure.

Des informations supplémentaires sont disponibles sur les liens référencés.

Responsabilité : Customer

NS-2 : Interconnecter des réseaux privés

Conseils : Les clients peuvent choisir un réseau privé virtuel (VPN) de point à site pour connecter un appareil Azure Stack Edge de leur réseau privé local au réseau Azure. Le VPN fournit une deuxième couche de chiffrement pour les flux de données via le protocole TLS entre l’appareil du client et Azure.

Les clients peuvent configurer un VPN sur leur appareil Azure Stack Edge via le Portail Azure ou Azure PowerShell.

Responsabilité : Customer

NS-3 : Établir un accès réseau privé aux services Azure

Conseils : Les clients peuvent choisir un réseau privé virtuel (VPN) de point à site pour connecter un appareil Azure Stack Edge de leur réseau privé local au réseau Azure. Le VPN fournit une deuxième couche de chiffrement pour les flux de données via le protocole TLS entre l’appareil du client et Azure.

Responsabilité : Customer

NS-4 : Protégez les applications et les services contre les attaques réseau externes

Conseils : L’appareil Azure Stack Edge intègre les fonctionnalités standard de protection du réseau Windows Server qui ne peuvent pas être configurées par les clients.

Les clients peuvent choisir de sécuriser leur réseau privé connecté à l’appareil Azure Stack Edge pour lutter contre les attaques externes à l’aide d’une appliance virtuelle réseau, telle qu’un pare-feu avec des protections avancées contre le déni de service distribué (DDoS) .

Responsabilité : Partagé

Gestion des identités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des identités.

IM-1 : Normaliser Azure Active Directory comme système d’authentification et d’identité central

Conseils : l’authentification Azure Active Directory (Azure AD) est requise pour toutes les opérations de gestion effectuées sur des appareils Azure Stack Edge via le Portail Azure. Azure Stack Hub nécessite Azure AD ou Active Directory Federation Services (ADFS), ainsi qu’Azure AD, en tant que fournisseur d’identité.

Normalisez Azure AD pour régir la gestion des identités et des accès de votre organisation dans :

  • Les ressources cloud Microsoft, comme le portail Azure, Stockage Azure, les machines virtuelles Azure (Linux et Windows), Azure Key Vault, PaaS et les applications SaaS.

  • Les ressources de votre organisation, comme les applications sur Azure ou les ressources réseau de votre entreprise.

Notez qu’Azure AD est utilisé uniquement lors de l’accès à l’appareil via le Portail Azure. Toutes les opérations de gestion locale sur l’appareil Azure Stack Edge ne tireront pas parti d’Azure AD.

Responsabilité : Microsoft

IM-2 : Gérer les identités d’application de façon sécurisée et automatique

Conseils : Le système attribue automatiquement à tous les appareils Azure Stack Edge une identité managée dans Azure Active Directory (Azure AD). Actuellement, l’identité managée est utilisée pour la gestion Cloud des ordinateurs virtuels hébergés sur Azure Stack Edge.

Les appareils Azure Stack Edge démarrent en état verrouillé pour l’accès local. Pour le compte administrateur de l’appareil local, vous devez vous connecter à votre appareil via l’interface utilisateur Web locale ou l’interface PowerShell et définir un mot de passe fort. Stockez et gérez les informations d’identification administrateur de votre appareil dans un emplacement sécurisé, tel qu’Azure Key Vault et effectuez régulièrement la rotation du mot de passe administrateur en fonction des directives de votre organisation.

Responsabilité : Partagé

IM-3 : Utiliser l’authentification unique Azure AD pour l’accès aux applications

Conseils : L’authentification unique n’est pas prise en charge pour les appareils de point de terminaison Azure Stack Edge. Toutefois, vous pouvez choisir d’activer l’authentification unique basée sur Azure Active Directory standard (Azure AD) pour sécuriser l’accès à vos ressources cloud Azure.

Responsabilité : Customer

IM-7 : Éliminer l’exposition involontaire des informations d’identification

Conseils : Suivez les meilleures pratiques pour protéger les informations d’identification, telles que :

  • Clé d’activation utilisée pour activer l’appareil avec la ressource Azure Stack Edge dans Azure.
  • Informations d'identification de connexion pour accéder à l’appareil Azure Stack Edge.
  • Fichiers clés qui peuvent faciliter la récupération d’un appareil Azure Stack Edge.
  • Clé de chiffrement du canal

Faites tourner puis synchronisez vos clés de compte de stockage régulièrement pour mieux protéger votre compte de stockage des utilisateurs non autorisés.

Responsabilité : Customer

Accès privilégié

Pour plus d’informations, consultez Benchmark de sécurité Azure : Accès privilégié.

PA-3 : Examiner et rapprocher régulièrement les accès utilisateur

Conseils : Azure Stack Edge dispose d’un utilisateur nommé « EdgeUser » qui peut configurer l’appareil. Il dispose également d’un utilisateur Azure Resource Manager nommé « EdgeArmUser » pour les fonctionnalités locales d’Azure Resource Manager sur l’appareil.

Les meilleures pratiques doivent être suivies pour protéger les éléments suivants :

  • Les informations d’identification utilisées pour accéder localement à l’appareil

  • Les informations d’identification de partage SMB

  • L’accès aux systèmes clients configurés pour utiliser les partages NFS

  • Les clés de compte de stockage local utilisées pour accéder aux comptes de stockage locaux lors de l’utilisation de l’API REST du service BLOB.

Des informations supplémentaires sont disponibles dans le lien indiqué.

Responsabilité : Customer

PA-6 : Utiliser des stations de travail d’accès privilégié

Conseils : La sécurité et l’isolement des stations de travail sont très importants pour la sécurité des rôles sensibles, tels que les rôles d’administrateur, de développeur et d’opérateur de service critique. Utilisez des stations de travail utilisateur très sécurisées avec ou sans Azure Bastion, pour les tâches administratives. Utilisez Azure Active Directory (Azure AD), Microsoft Defender Advanced Threat Protection (MDATP) et Microsoft Intune pour déployer une station de travail utilisateur sécurisée pour les tâches administratives.

Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer une configuration sécurisée, notamment une authentification forte, des lignes de base logicielles et matérielles et un accès réseau et logique restreint.

Responsabilité : Customer

PA-7 : Suivre le principe Just Enough Administration (privilèges minimum)

Conseils : les utilisateurs Azure Stack Edge disposent l’accès JEA (Just Enough Administration) nécessaire pour effectuer leurs tâches. Il n’est pas nécessaire d’avoir un accès complet d’administrateur Windows.

Vous pouvez vous connecter à distance à l’interface PowerShell de l’appareil Azure Stack Edge. La gestion à distance est également configurée pour utiliser JEA (Just Enough Administration) afin de limiter ce que les utilisateurs peuvent faire. Vous pouvez ensuite fournir le mot de passe pour vous connecter à l’appareil.

Responsabilité : Microsoft

Protection des données

Pour plus d’informations, consultez Benchmark de sécurité Azure : protection des données.

DP-2 : Protection des données sensibles

Conseils : Azure Stack Edge considère toutes les données d’interaction comme des données sensibles ; seuls les utilisateurs autorisés peuvent accéder à ces données. Vous devez suivre les meilleures pratiques pour protéger les informations d’identification utilisées pour accéder au service Azure Stack Edge.

Responsabilité : Partagé

DP-4 : Chiffrement des informations sensibles en transit

Conseils : Azure Stack Edge utilise des canaux sécurisés pour les flux de données. Ces règles sont les suivantes :

  • La version 1.2 du protocole TLS standard est utilisée pour les données qui transitent entre l’appareil et Azure Cloud. Il n’existe aucun protocole de secours pour TLS 1.1 et versions antérieures. Les communications de l’agent seront bloquées si TLS 1.2 n’est pas pris en charge. La version 1.2 du protocole TLS est également requise pour la gestion du Portail Azure et du kit de développement logiciel (SDK).

  • Lorsque les clients accèdent à votre appareil via l’interface utilisateur Web locale d’un navigateur, la version 1.2 du protocole TLS standard est utilisée comme protocole de sécurité par défaut.

La meilleure pratique consiste à configurer votre navigateur pour utiliser TLS 1.2. Utilisez SMB 3.0 avec chiffrement pour protéger les données lorsque vous les copiez depuis vos serveurs de données.

Responsabilité : Partagé

DP-5 : Chiffrement des données sensibles au repos

Conseils : toutes les données au repos sur l’appareil Azure Stack Edge sont chiffrées à l’aide du chiffrement AES 256 bits. L’accès aux données au repos, comme les partages de fichiers, est limité aux opérations suivantes :

  • Les clients SMB qui accèdent aux données partagées ont besoin des informations d’identification utilisateur associées au partage. Ces informations d’identification sont définies lorsque le partage est créé.

  • Les adresses IP des clients NFS qui accèdent à un partage doivent être ajoutées lorsque le partage est créé.

  • Le chiffrement BitLocker XTS-AES de 256 bits est utilisé pour protéger les données locales.

Consultez les informations supplémentaires disponibles dans les liens référencés.

Responsabilité : Microsoft

Gestion des ressources

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion des ressources.

AM-1 : S’assurer que l’équipe de sécurité a une visibilité sur les risques pour les ressources

Conseils : Assurez-vous que les équipes de sécurité reçoivent des autorisations de lecteur de sécurité dans votre locataire et vos abonnements Azure afin de pouvoir superviser les risques de sécurité à l’aide de Microsoft Defender pour le cloud.

Selon la façon dont les responsabilités de l’équipe de sécurité sont structurées, la surveillance des risques de sécurité peut incomber à une équipe de sécurité centrale ou une équipe locale. Cela dit, les insights et les risques liés à la sécurité doivent toujours être agrégés de manière centralisée au sein d’une organisation.

Les autorisations de lecteur de sécurité peuvent être appliquées globalement à un locataire entier (groupe d’administration racine) ou étendues à des groupes d’administration ou à des abonnements spécifiques.

Notez que des autorisations supplémentaires peuvent être nécessaires pour obtenir une visibilité sur les charges de travail et les services.

Responsabilité : Customer

AM-6 : Utiliser uniquement des applications approuvées dans les ressources de calcul

Conseils : Vous pouvez installer vos propres applications pour qu’elles s’exécutent sur n’importe quel ordinateur virtuel créé localement. Utilisez des scripts PowerShell pour créer des ordinateurs virtuels de calcul locaux sur votre appareil Stack Edge. Nous vous recommandons vivement de n’installer que des applications approuvées à exécuter sur les ordinateurs virtuels locaux.

Responsabilité : Customer

Journalisation et détection des menaces

Pour plus d’informations, consultez Benchmark de sécurité Azure : Journalisation et détection des menaces.

LT-1 : Activer la détection des menaces pour les ressources Azure

Conseils : Azure Stack Edge n’offre pas de fonctionnalités de détection des menaces. Toutefois, les clients peuvent collecter des journaux d’audit dans un package de journaux pour la détection et l’analyse hors connexion des menaces.

Responsabilité : Customer

LT-3 : Activer la journalisation pour les activités réseau Azure

Conseils : Azure Stack Edge dispose de journaux d’audit réseau activés dans le cadre du package de journaux téléchargeable. Ces journaux peuvent être analysés pour mettre en œuvre une surveillance en temps presque réel pour vos appareils Azure Stack Edge.

Responsabilité : Customer

LT-4 : Activer la journalisation pour les ressources Azure

Conseils : La surveillance en temps réel avec les journaux n’est actuellement pas prise en charge pour Azure Stack Edge. Il existe une fonctionnalité de collecte d’un package de journaux qui vous permet d’analyser les différents journaux qu’il contient, tels que le pare-feu, les logiciels, les intrusions matérielles et les journaux des événements système de votre appareil Azure Stack Edge Pro. Notez que l’intrusion logicielle ou les journaux de pare-feu par défaut sont collectés pour le trafic entrant et sortant.

Responsabilité : Customer

LT-5 : Centraliser la gestion et l’analyse des journaux de sécurité

Conseils : La surveillance en temps réel avec les journaux n’est actuellement pas prise en charge pour Azure Stack Edge. Toutefois, vous pouvez collecter un package de journaux qui vous permet d’analyser les différents journaux qui s’y trouvent. Le package de journaux est compressé et peut être téléchargé à partir du chemin d’accès de votre choix. Vous pouvez décompresser le package et afficher les fichiers journaux système qu’il contient. Vous pouvez également envoyer ces journaux dans un outil de gestion des événements d’informations de sécurité ou dans un autre emplacement de stockage centralisé à des fins d’analyse.

Responsabilité : Customer

LT-6 : Configurer la rétention du stockage des journaux

Conseils : La période de rétention du stockage des journaux ne peut pas être modifiée au niveau de l’appareil Azure Stack Edge. Les anciens journaux sont supprimés définitivement si nécessaire. Vous pouvez collecter des packages de journaux à partir de l’appareil à intervalles réguliers pour tout besoin de conservation des journaux pendant une période plus longue.

Responsabilité : Customer

LT-7 : Utiliser des sources de synchronisation date/heure approuvées

Conseils : Azure Stack Edge utilise time.windows.com, un serveur de fournisseur de temps réseau de Microsoft. Azure Stack Edge permet également au client de configurer le serveur de protocole de temps réseau (NTP) de son choix.

Responsabilité : Customer

Gestion de la posture et des vulnérabilités

Pour plus d’informations, consultez Benchmark de sécurité Azure : Gestion de la posture et des vulnérabilités.

PV-1 : Établir des configurations sécurisées pour les services Azure

Conseils : Microsoft définit la configuration sécurisée pour l’appareil Azure Stack Edge et gère ces paramètres tout au long de la durée de vie de l’appareil.

Responsabilité : Microsoft

PV-2 : Supporter des configurations sécurisées pour les services Azure

Conseils : les configurations de sécurité définies par l’utilisateur sont limitées dans l’appareil Azure Stack Edge. La plupart des paramètres de sécurité des appareils ne sont pas configurables et restent à jour lors de l’installation des dernières mises à jour.

Responsabilité : Microsoft

PV-3 : Établir des configurations sécurisées pour des ressources de calcul

Conseils : Azure Stack Edge offre la prise en charge de la création de configurations sécurisées pour les ordinateurs virtuels locaux créés par les clients. Il est fortement recommandé de suivre les instructions de Microsoft pour établir les bases de référence de sécurité lors de la création d’ordinateurs virtuels locaux.

Responsabilité : Customer

PV-4 : Supporter des configurations sécurisées pour des ressources de calcul

Conseils : Azure Stack Edge ne propose aucune prise en charge de maintien des configurations sécurisées pour les ordinateurs virtuels locaux créés par les clients. Il est vivement recommandé aux clients d’utiliser les boîtes à outils de la conformité de la sécurité pour garantir la sécurité des configurations de leurs ressources informatiques.

Le système d’exploitation hôte et les ordinateurs virtuels gérés par Azure Stack Edge gèrent leurs configurations de sécurité.

Responsabilité : Partagé

PV-5 : Stocker de manière sécurisée des images de système d’exploitation et des images conteneur personnalisées

Conseils : Les systèmes d’exploitation hôtes et les ordinateurs virtuels gérés par Azure Stack Edge sont stockés de manière sécurisée.

Les clients peuvent importer leurs propres ordinateurs virtuels et images conteneurs et sont responsables de leur sécurité.

Responsabilité : Customer

PV-6 : Effectuez des évaluations des vulnérabilités logicielles

Conseils : les évaluations de vulnérabilité logicielle sont effectuées sur toutes les versions Azure Stack Edge, notamment les révisions de cycle de vie de développement logiciel effectuées pour elles. Tous les problèmes détectés sont corrigés en fonction de leur gravité et de leur priorité.

Responsabilité : Microsoft

PV-7 : Corriger rapidement et automatiquement des vulnérabilités logicielles

Conseils : Azure Stack Edge propose régulièrement des mises à jour de patchs et avertit les clients lorsque ces mises à jour sont disponibles pour corriger les vulnérabilités. Il incombe au client de maintenir à jour leurs appareils et leurs ordinateurs virtuels (qu’ils ont créés) avec les patchs les plus récents.

Responsabilité : Customer

PV-8 : Effectuer une simulation d’attaque régulière

Conseils : Selon les besoins, effectuez un test d’intrusion ou des activités Red Team sur vos ressources Azure et résolvez tous les problèmes de sécurité critiques détectés. Suivez les règles d’engagement de pénétration du cloud Microsoft pour vous assurer que vos tests d’intrusion sont conformes aux stratégies de Microsoft. Utilisez la stratégie et l’exécution de Red Teaming de Microsoft ainsi que les tests d’intrusion de site actif sur l’infrastructure cloud, les services et les applications gérés par Microsoft.

Responsabilité : Partagé

Sécurité des points de terminaison

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sécurité des points de terminaison.

ES-1 : Utiliser la détection de point de terminaison et réponse (EDR)

Conseils : Azure Stack Edge ne prend pas en charge directement la protection évolutive des points de terminaison (PEPT). Toutefois, vous pouvez collecter un package de journaux et récupérer les journaux d’audit. Ces journaux peuvent ensuite être analysés pour vérifier les activités anormales.

Responsabilité : Customer

ES-2 : Utiliser un logiciel anti-programme malveillant moderne géré de manière centralisée

Conseils : Azure Stack Edge utilise le contrôle d’application Windows Defender avec une stratégie stricte d’intégrité du code qui n’autorise l’exécution que d’applications et de scripts prédéterminés. Le logiciel anti-programmes malveillants de protection en temps réel Windows Defender est également activé. Le client peut choisir d’exécuter des logiciels anti-programmes malveillants dans les ordinateurs virtuels de calcul qu’il crée pour s’exécuter localement sur l’appareil Azure Stack Edge.

Responsabilité : Customer

ES-3 : Vérifier que les logiciels et signatures anti-programme malveillant sont mis à jour

Conseils : Azure Stack Edge permet de mettre à jour la stratégie d’intégrité du code et de mettre à jour les fichiers de signature Windows Defender.

Responsabilité : Microsoft

Sauvegarde et récupération

Pour plus d’informations, consultez Benchmark de sécurité Azure : Sauvegarde et récupération.

BR-1 : Garantir des sauvegardes automatiques régulières

Conseils : Il est recommandé d’effectuer régulièrement des sauvegardes de votre appareil Azure Stack Edge avec Sauvegarde Azure et d’autres solutions tierces de protection des données pour protéger les données des ordinateurs virtuels déployés sur l’appareil. Les solutions tierces de protection des données telles que Cohesity, CommVault et Veritas peuvent être également utilisées pour sauvegarder les données dans les partages SMB ou NFS locaux.

Des informations supplémentaires sont disponibles sur les liens référencés.

Responsabilité : Customer

BR-2 : Chiffrer les données de sauvegarde

Conseils : Assurez-vous que vos sauvegardes sont protégées contre les attaques. Cela doit inclure le chiffrement des sauvegardes afin de vous protéger contre la perte de confidentialité. Pour plus d’informations, reportez-vous à la solution de sauvegarde de votre choix.

Responsabilité : Customer

BR-3 : Valider toutes les sauvegardes, y compris les clés gérées par le client

Conseils : Effectuez régulièrement une restauration des données de vos sauvegardes.

Responsabilité : Customer

BR-4 : Atténuer les risques liés aux clés perdues

Conseils : Assurez-vous que toutes les sauvegardes d’Azure Stack Edge, y compris les clés gérées par le client, sont protégées conformément aux meilleures pratiques de l’organisation. Votre appareil Azure Stack Edge est associé à un compte de stockage Azure, utilisé comme référentiel de destination pour vos données Azure.

L’accès au compte de stockage Azure est contrôlé par les abonnements Azure et par deux clés d’accès au stockage de 512 bits associées à ce compte de stockage. L’une des clés d’accès est utilisée à des fins d’authentification lorsque l’appareil Azure Stack Edge accède au compte de stockage. L’autre clé est réservée à la rotation périodique des clés. Assurez-vous que les meilleures pratiques en matière de sécurité sont utilisées pour la rotation des clés.

Responsabilité : Customer

Étapes suivantes