Contrôle de sécurité v3 : sécurité réseau
La sécurité réseau recouvre les contrôles destinés à sécuriser et protéger les réseaux Azure, ce qui inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes, et la sécurisation de DNS.
NS-1 : Établir des limites de segmentation réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 13.4, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Assurez-vous que votre déploiement de réseau virtuel s’aligne sur votre stratégie de segmentation d’entreprise définie dans le contrôle de sécurité GS-2. Toute charge de travail susceptible d’entraîner un risque plus élevé pour l’organisation doit être dans des réseaux virtuels isolés. Exemples de charges de travail à haut risque :
- Une application stockant ou traitant des données extrêmement sensibles.
- Une application réseau externe accessible par le public ou les utilisateurs en dehors de votre organisation.
- Une application utilisant une architecture non sécurisée ou contenant des vulnérabilités qui ne peuvent pas facilement être corrigées.
Pour améliorer votre stratégie de segmentation d’entreprise, limitez ou surveillez le trafic entre les ressources internes à l’aide de contrôles réseau. Pour des applications spécifiques bien définies (par exemple, une application à 3 niveaux), il peut s’agir d’une approche « refuser par défaut, autoriser par une exception » hautement sécurisée en restreignant les ports, les protocoles, la source et les adresses IP de destination du trafic réseau. Si vous avez de nombreux points de terminaison et applications qui interagissent les uns avec les autres, le blocage du trafic peut ne pas être adapté et vous ne pourrez peut-être surveiller que le trafic.
Conseils Azure : Créez un réseau virtuel (VNet) comme approche de segmentation fondamentale dans votre réseau Azure afin que les ressources comme les machines virtuelles puissent être déployées dans le réseau virtuel au sein d’une limite réseau. Pour segmenter davantage le réseau, vous pouvez créer des sous-réseaux au sein du réseau virtuel pour des sous-réseaux plus petits.
Utilisez des groupes de sécurité réseau (NSG) comme contrôle de couche réseau pour restreindre ou surveiller le trafic par port, protocole, adresse IP source ou adresse IP de destination.
Vous pouvez également utiliser des groupes de sécurité d’application pour simplifier une configuration complexe. Au lieu de définir une stratégie en fonction d’adresses IP explicites dans des groupes de sécurité réseau, les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure d’une application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau en fonction de ces groupes.
Implémentation et contexte supplémentaire :
- Concepts et meilleures pratiques relatifs au Réseau virtuel Azure
- Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel
- Comment créer un groupe de sécurité réseau avec des règles de sécurité
- Présentation et utilisation des groupes de sécurité d’application
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-2 : Sécuriser les services cloud avec des contrôles réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 3.12, 4.4 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Sécurisez les services cloud en établissant un point d’accès privé pour les ressources. Vous devez également désactiver ou restreindre l’accès à partir du réseau public lorsque cela est possible.
Conseils Azure : Déployez des points de terminaison privés pour toutes les ressources Azure qui prennent en charge la fonctionnalité Private Link afin d’établir un point d’accès privé pour les ressources. Vous devez également désactiver ou restreindre l’accès au réseau public aux services lorsque cela est possible.
Pour certains services, vous avez également la possibilité de déployer l’intégration au réseau virtuel pour le service, où vous pouvez restreindre le réseau virtuel pour établir un point d’accès privé pour le service.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-3 : Déployer le pare-feu à la périphérie du réseau d’entreprise
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8, 13.10 | AC-4, SC-7, CM-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Déployez un pare-feu pour effectuer un filtrage avancé sur le trafic réseau vers et depuis des réseaux externes. Vous pouvez également utiliser des pare-feu entre les segments internes pour prendre en charge une stratégie de segmentation. Si nécessaire, utilisez des itinéraires personnalisés pour votre sous-réseau pour remplacer l’itinéraire du système lorsque vous devez forcer le trafic réseau à passer par une appliance réseau à des fins de contrôle de la sécurité.
Au minimum, bloquez les adresses IP incorrectes et les protocoles à haut risque connus, tels que la gestion à distance (par exemple, RDP et SSH) et les protocoles intranet (par exemple, SMB et Kerberos).
Conseils Azure : Utilisez le Pare-feu Azure pour fournir une restriction du trafic de la couche d’application avec état (par exemple, le filtrage d’URL) et/ou la gestion centrale sur un grand nombre de segments d’entreprise ou de spokes (dans une topologie hub/spoke).
Si vous disposez d’une topologie de réseau complexe, telle qu’une configuration hub/spoke, vous devrez peut-être créer des itinéraires définis par l’utilisateur (UDR) pour vous assurer que le trafic suit l’itinéraire souhaité. Par exemple, vous avez la possibilité d’utiliser un UDR pour rediriger le trafic Internet sortant à travers un pare-feu Azure spécifique ou une appliance virtuelle réseau.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-4 : Déployer des systèmes de détection et de prévention des intrusions (IDS/IPS)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.2, 13.3, 13.7, 13.8 | SC-7, SI-4 | 11,4 |
Principe de sécurité : Utilisez la détection d’intrusion réseau et les systèmes de prévention des intrusions (IDS/IPS) pour inspecter le trafic réseau et de charge utile vers ou à partir de votre charge de travail. Veillez à ce que ID/IPS soit toujours défini de manière à fournir des alertes de haute qualité à votre solution SIEM.
Pour obtenir des fonctionnalités de détection et de prévention des niveaux d’hôte plus approfondies, utilisez des IDS/IPS basés sur l’hôte ou une solution de protection évolutive des points de terminaison basée sur l’hôte (EDR) conjointement avec les IDS/IPS du réseau.
Conseils Azure : Utilisez la fonctionnalité IDPS du pare-feu Azure sur votre réseau pour alerter et/ou bloquer le trafic vers et à partir de domaines et d’adresses IP malveillantes connus.
Pour obtenir des fonctionnalités de détection et de prévention des niveaux d’hôte plus approfondies, déployez des IDS/IPS basés sur l’hôte ou une solution de protection évolutive des points de terminaison basée sur l’hôte (EDR), telle que Microsoft Defender pour point de terminaison, au niveau de la machine virtuelle conjointement avec les IDS/IPS du réseau.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-5 : Déployer la protection DDOS
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-5, SC-7 | 1.1, 1.2, 1.3, 6.6 |
Principe de sécurité : Déployez la protection par déni de service (DDoS) pour protéger votre réseau et vos applications contre les attaques.
Conseils Azure : Activez le plan de protection DDoS standard sur votre réseau virtuel pour protéger les ressources exposées aux réseaux publics.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-6 : Déployer le pare-feu d’applications web
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 13.10 | SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Déployez un pare-feu d’applications web (WAF) et configurez les règles appropriées pour protéger vos API et applications web contre les attaques spécifiques aux applications.
Conseils Azure : Utilisez les fonctionnalités du pare-feu d'applications web (WAF) dans Azure Application Gateway, Azure Front Door et Azure CDN pour protéger vos applications, services et API contre les attaques de la couche Application à la périphérie de votre réseau. Définissez votre WAF sur « détection » ou « mode de prévention », en fonction de vos besoins et du paysage des menaces. Choisissez un ensemble de règles intégré, tel que les 10 principales vulnérabilités OWASP, et ajustez-le à votre application.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-7 : Simplifier la configuration de la sécurité réseau
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | AC-4, SC-2, SC-7 | 1.1, 1.2, 1.3 |
Principe de sécurité : Lorsque vous gérez un environnement réseau complexe, utilisez des outils pour simplifier, centraliser et améliorer la gestion de la sécurité réseau.
Conseils Azure : Utilisez les fonctionnalités suivantes pour simplifier l’implémentation et la gestion des règles du NSG et du pare-feu Azure :
- Utilisez le renforcement du réseau adaptatif Microsoft Defender pour le cloud afin de recommander des règles de renforcement du NSG qui limitent davantage les ports, les protocoles et les adresses IP sources en fonction des renseignements sur les menaces et des résultats de l’analyse du trafic.
- Utilisez Azure Firewall Manager pour centraliser la stratégie de pare-feu et la gestion de routage du réseau virtuel. Pour simplifier les règles de pare-feu et l’implémentation des groupes de sécurité réseau, vous pouvez également utiliser le modèle ARM (Azure Resource Manager) Azure Firewall Manager.
Implémentation et contexte supplémentaire :
- Renforcement du réseau adaptatif dans Microsoft Defender pour le cloud
- Azure Firewall Manager
- Créer un pare-feu Azure et une stratégie de pare-feu - Modèle ARM
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-8 : Détecter et désactiver les services et protocoles non sécurisés
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.4, 4.8 | CM-2, CM-6, CM-7 | 4.1, A2.1, A2.2, A2.3 |
Principe de sécurité : Détectez et désactivez les services et protocoles non sécurisés au niveau du système d’exploitation, de l’application ou du package logiciel. Déployez des contrôles de compensation si la désactivation de services et de protocoles non sécurisés n’est pas possible.
Conseils Azure : Utilisez le classeur de protocole non sécurisé intégré à Azure Sentinel pour découvrir l’utilisation de services et de protocoles non sécurisés, tels que SSL/TLSv1, SSHv1, SMBv1, LM/NTLMv1, wDigest, les liaisons LDAP non signées et les chiffrements faibles dans Kerberos. Désactivez les services et protocoles non sécurisés qui ne répondent pas aux normes de sécurité.
Remarque : si la désactivation de services ou de protocoles non sécurisés n’est pas possible, utilisez des contrôles de compensation, tels que le blocage de l’accès aux ressources par le biais du NSG, du pare-feu Azure ou d’Azure Web Application Firewall pour réduire la surface d’attaque.
Implémentation et contexte supplémentaire :
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-9 : Connecter le réseau local ou cloud de manière privée
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 12.7 | CA-3, AC-17, AC-4 | N/A |
Principe de sécurité : Utilisez des connexions privées pour sécuriser les communications entre différents réseaux, tels que les centres de données du fournisseur de services cloud et l’infrastructure locale dans un environnement de colocation.
Conseils Azure : Utilisez des connexions privées pour sécuriser les communications entre différents réseaux, tels que les centres de données du fournisseur de services cloud et l’infrastructure locale dans un environnement de colocation.
Pour une connectivité légère entre une connexion de site à site ou de point à site, utilisez un réseau privé virtuel (VPN) Azure pour créer une connexion sécurisée entre votre site local ou un appareil d’utilisateur final sur le réseau virtuel Azure.
Pour une connexion haute performance de niveau entreprise, utilisez Azure ExpressRoute (ou le WAN virtuel) pour connecter des centres de données Azure et une infrastructure locale dans un environnement de colocation.
Lors de la connexion simultanée de deux réseaux virtuels Azure, utilisez l’appairage de réseaux virtuels. Le trafic réseau entre les réseaux virtuels appairés est privé et conservé sur le réseau principal Azure.
Implémentation et contexte supplémentaire :
- Vue d’ensemble des VPN Azure
- Quels sont les modèles de connectivité ExpressRoute ?
- Peering de réseau virtuel
Parties prenantes de la sécurité des clients (En savoir plus) :
NS-10 : Garantir la sécurité du DNS (Domain Name System)
| ID des contrôles CIS v8 | ID NIST SP 800-53 r4 | PCI-DSS ID(s) v3.2.1 |
|---|---|---|
| 4.9, 9.2 | SC-20, SC-21 | N/A |
Principe de sécurité : Assurez-vous que la configuration de la sécurité du DNS (Domain Name System) protège contre les risques connus :
- Utilisez des services DNS récursifs, fiables et faisant autorité, le tout dans votre environnement cloud pour vous assurer que le client (tel que les systèmes d’exploitation et les applications) reçoit le résultat de résolution approprié.
- Séparez la résolution DNS publique et privée pour que le processus de résolution DNS pour le réseau privé puisse être isolé du réseau public.
- Assurez-vous que votre stratégie de sécurité DNS comprend également des mesures d’atténuation des risques d’attaques courantes, telles que le DNS non résolu, les attaques d’amplification DNS, l’empoisonnement et l’usurpation d’identité DNS, etc.
Conseils Azure : Utilisez le DNS récursif Azure ou un serveur DNS externe approuvé dans votre configuration DNS récursive de charge de travail, comme dans le système d’exploitation de la machine virtuelle ou dans l’application.
Utilisez Azure DNS privé pour la configuration de zone DNS privée où le processus de résolution DNS ne quitte pas le réseau virtuel. Utilisez un DNS personnalisé pour limiter la résolution DNS qui autorise uniquement la résolution approuvée pour votre client.
Utilisez Azure Defender pour DNS pour une protection avancée contre les menaces de sécurité envers votre charge de travail ou votre service DNS, qui sont les suivantes :
- L’exfiltration de données depuis vos ressources Azure au moyen du tunneling DNS
- Communication de programmes malveillants avec le serveur de commande et de contrôle
- La communication avec des domaines malveillants, comme le hameçonnage et l’exploration de données de chiffrement
- Attaques DNS en communication avec des programmes de résolution DNS malveillants
Vous pouvez également utiliser Azure Defender pour App Service pour détecter les enregistrements DNS non résolus si vous désactivez un site web App Service sans supprimer son domaine personnalisé de votre registar DNS.
Implémentation et contexte supplémentaire :
- Vue d’ensemble d’Azure DNS
- Guide de déploiement dns (Secure Domain Name System) :
- DNS privé Azure
- Azure Defender pour DNS
- Empêchez les entrées DNS non résolues et évitez la prise de contrôle du sous-domaine :
Parties prenantes de la sécurité des clients (En savoir plus) :