Sécuriser l’infrastructure avec Confiance nulle

L’infrastructure représente un vecteur de menace critique. L’infrastructure informatique, qu’elle soit locale ou multicloud, est définie comme étant tout le matériel (physique, virtuel, conteneurisé), les logiciels (open source, premier et tiers, PaaS, SaaS), les micro-services (fonctions, API), l’infrastructure réseau, les installations, etc. qui sont nécessaires pour développer, tester, fournir, surveiller, contrôler ou prendre en charge les services informatiques. Il s’agit d’un domaine dans lequel Microsoft a investi d’énormes ressources pour développer un ensemble complet de fonctionnalités pour sécuriser votre infrastructure cloud et locale future.

La sécurité moderne avec une stratégie de Confiance nulle de bout en bout facilite les opérations suivantes :

  • Évaluer la version.
  • Effectuez la gestion de la configuration.
  • Utilisez des privilèges d’administration juste-à-temps et juste-à-accès (JIT/JEA) pour renforcer les défenses.
  • Utilisez la télémétrie pour détecter les attaques et les anomalies.
  • Bloquez et signalez automatiquement le comportement à risque et prenez des mesures de protection.

Tout aussi important, Microsoft Azure blueprints et les fonctionnalités associées garantissent que les ressources sont conçues, implémentées et soutenues de manière conforme aux stratégies, aux normes et aux exigences d’une organisation.

Azure Blueprints, Azure Policies, Microsoft Defender pour le cloud, Microsoft Sentinel et Azure Sphere peuvent largement contribuer à améliorer la sécurité de votre infrastructure déployée et permettre une approche différente pour définir, concevoir, approvisionner, déployer et surveiller votre infrastructure.

A repeating circular diagram of 5 elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

Objectifs de déploiement de Confiance nulle d’infrastructure

Pointe

Avant que la plupart des organisations ne commencent le parcours Confiance nulle, leur approche de la sécurité de l’infrastructure se caractérise par les éléments suivants :

  • Les autorisations sont gérées manuellement entre les environnements.
  • Gestion de la configuration des machines virtuelles et des serveurs sur lesquels les charges de travail sont en cours d’exécution.

Lors de l’implémentation d’une infrastructure de Confiance nulle de bout en bout pour la gestion et la supervision de votre infrastructure, nous vous recommandons de vous concentrer d’abord sur ces objectifs de déploiement initiaux :

List icon with one checkmark.

Les charges de travail I.Workloadsont surveillées et alertées en cas de comportement anormal.

II.Une identité d’application est affectée à chaque charge de travail et configurée et déployée de manière cohérente.

III.L’accès humain aux ressources nécessite un accès juste-à-temps.

Une fois ces opérations terminées, concentrez-vous sur ces objectifs de déploiement supplémentaires :

List icon with two checkmarks.

IV.Les déploiements non autorisés sont bloqués et une alerte est déclenchée.

Lavisibilité et le contrôle d’accès V.Granular sont disponibles entre les charges de travail.

VI.Accès aux utilisateurs et aux ressources segmentés pour chaque charge de travail.

Guide de déploiement de Confiance nulle d’infrastructure

Ce guide vous guide tout au long des étapes nécessaires pour sécuriser votre infrastructure en suivant les principes d’une infrastructure de sécurité Confiance nulle.

Avant de commencer, vérifiez que vous avez atteint ces objectifs de déploiement d’infrastructure de base.

Définition de la base de référence du locataire Microsoft

Une base de référence hiérarchisée doit être définie pour la façon dont votre infrastructure est gérée. En tirant parti des conseils du secteur tels que NIST 800-53, vous pouvez dériver un ensemble d’exigences pour la gestion de votre infrastructure. Chez Microsoft, nous avons défini une base de référence minimale à la liste des exigences suivantes :

  • L’accès aux données, réseaux, services, utilitaires, outils et applications doit être contrôlé par des mécanismes d’authentification et d’autorisation.

  • Les données doivent être chiffrées en transit et au repos.

  • Restreindre les flux de trafic réseau.

  • Visibilité de l’équipe de sécurité sur toutes les ressources.

  • La surveillance et l’audit doivent être activés et correctement configurés conformément aux instructions organisationnelles prescrites.

  • Les logiciels anti-programme malveillant doivent être à jour et en cours d’exécution.

  • Les analyses des vulnérabilités doivent être effectuées et les vulnérabilités corrigées, conformément aux conseils organisationnels prescrits.

Pour mesurer et favoriser la conformité à cette base de référence minimale ou étendue, nous commençons par obtenir une visibilité au niveau du locataire et dans vos environnements locaux, en appliquant un rôle Lecteur de sécurité sur le locataire Azure. Une fois le rôle Lecteur de sécurité en place, il peut obtenir une visibilité supplémentaire via Microsoft Defender pour le cloud et les stratégies Azure qui peuvent être utilisées pour appliquer des lignes de base du secteur (par exemple, Azure CIS, PCI, ISO 27001) ou une base de référence personnalisée que votre organisation a définie.

Les autorisations sont gérées manuellement entre les environnements

Du niveau client jusqu’aux ressources individuelles au sein de chaque abonnement de groupe de ressources, des contrôles d’accès en fonction du rôle appropriés doivent être appliqués.

Gestion de la configuration des machines virtuelles et des serveurs sur lesquels les charges de travail s’exécutent

Tout comme nous avons géré notre environnement de centre de données local, nous devons également nous assurer que nous gérons efficacement nos ressources cloud. L’avantage d’utiliser Azure est la possibilité de gérer toutes vos machines virtuelles à partir d’une seule plateforme à l’aide d’Azure Arc (préversion). À l’aide d’Azure Arc, vous pouvez étendre vos bases de référence de sécurité à partir de Azure Policy, de vos stratégies de Microsoft Defender pour le cloud (Defender pour le cloud) et des évaluations du degré de sécurisation, ainsi que de la journalisation et de la supervision de toutes vos ressources au même endroit. Vous trouverez ci-dessous quelques actions pour commencer.

Implémenter Azure Arc (préversion)

Azure Arc permet aux organisations d’étendre les contrôles de sécurité familiers d’Azure à l’environnement local et à la périphérie de l’infrastructure de l’organisation. Les administrateurs disposent de plusieurs options pour connecter des ressources locales à Azure Arc. Il s’agit notamment du portail Azure, de PowerShell et de l’installation Windows avec des scripts de principal de service.

En savoir plus sur ces techniques.

Appliquer des bases de référence de sécurité via Azure Policy, y compris l’application de stratégies dans l’invité

L’activation de Defender pour le cloud Standard vous permet d’incorporer un ensemble de contrôles de base par le biais de Azure Policy en incorporant les Azure Policy définitions de stratégie intégrées pour Microsoft Defender pour le cloud. L’ensemble des stratégies de base est reflété dans le Defender pour le cloud degré de sécurisation, où vous pouvez mesurer votre conformité à ces stratégies.

Vous pouvez étendre votre couverture des stratégies au-delà de l’ensemble de Defender pour le cloud et créer des stratégies personnalisées si un composant intégré n’est pas disponible. Vous pouvez également incorporer des stratégies Guest Configuration qui mesureront la conformité à l’intérieur de vos machines virtuelles invitées au sein de vos abonnements.

Appliquer des contrôles de gestion des Defender pour le cloud Endpoint Protection et des vulnérabilités

La protection des points de terminaison est essentielle pour garantir la sécurité et la disponibilité de l’infrastructure. Dans le cadre de toute stratégie de protection des points de terminaison et de gestion des vulnérabilités, vous serez en mesure de mesurer la conformité de manière centralisée pour vous assurer que la protection contre les programmes malveillants est activée et configurée via l’évaluation endpoint protection et les recommandations de Microsoft Defender pour le cloud.

Visibilité centralisée de votre base de référence sur plusieurs abonnements

En appliquant le rouleau de lecteur de locataire, vous pouvez obtenir une visibilité sur votre locataire de l’état de chacune des stratégies qui sont évaluées dans le cadre des Defender pour le cloud stratégies de niveau de sécurité, de Azure Policy et de configuration invité. Vous l’entonnez à votre tableau de bord de conformité organisationnelle pour la création de rapports centralisés sur l’état de votre locataire.

En outre, dans le cadre de Defender pour le cloud Standard, vous pouvez utiliser la stratégie Activer la solution intégrée d’évaluation des vulnérabilités sur les machines virtuelles (optimisée par Qualys) pour analyser vos machines virtuelles à la recherche de vulnérabilités et les refléter directement dans Defender pour le cloud. Si vous disposez déjà d’une solution d’analyse des vulnérabilités déployée dans votre entreprise, vous pouvez utiliser la solution d’évaluation des vulnérabilités de stratégie de remplacement, qui doit être installée sur vos machines virtuelles pour déployer une solution d’analyse des vulnérabilités de partenaire.




Checklist icon with one checkmark.

Objectifs de déploiement initiaux

Une fois que vous avez atteint les objectifs d’infrastructure de référence, vous pouvez vous concentrer sur l’implémentation d’une infrastructure moderne avec une stratégie de Confiance nulle de bout en bout.

Je. Les charges de travail sont surveillées et alertées en cas de comportement anormal

Lorsque vous créez une infrastructure, vous devez vous assurer que vous établissez également des règles pour la surveillance et le déclenchement d’alertes. Il s’agit d’une clé pour identifier quand une ressource affiche un comportement inattendu.

Il est vivement recommandé d’activer Microsoft Defender pour le cloud avec le niveau Standard (Defender pour le cloud), y compris les offres groupées appropriées pour couvrir vos différentes ressources (par exemple, Container Registry, Kubernetes, IoT, Machines Virtuelles, etc.).

Pour la surveillance des identités, nous vous recommandons d’activer Microsoft Defender pour Identity et Advanced Threat Analytics afin de permettre la collecte de signaux pour identifier, détecter et examiner les menaces avancées, les identités compromises et les actions internes malveillantes dirigées contre votre organisation.

L’intégration de ces signaux à partir de Defender pour le cloud, Defender pour Identity, Advanced Threat Analytics et d’autres systèmes de supervision et d’audit avec Microsoft Sentinel, une solution de gestion des événements d’information de sécurité (SIEM) et d’orchestration de la sécurité (SOAR) native dans le cloud, permettra à votre centre d’opérations de sécurité (SOC) de fonctionner à partir d’un seul volet de verre pour surveiller les événements de sécurité au sein de votre entreprise.

II. Une identité d’application est affectée à chaque charge de travail et configurée et déployée de manière cohérente

Microsoft recommande aux clients d’utiliser une stratégie qui est affectée et appliquée lors de la création de ressources/charges de travail. Les stratégies peuvent exiger que des balises soient appliquées à une ressource lors de la création, mandatent l’affectation de groupe de ressources, ainsi que des caractéristiques techniques restrictives/directes, telles que les régions autorisées, les spécifications de machine virtuelle (par exemple, le type de machine virtuelle, les disques, les stratégies réseau appliquées).

III. L’accès humain aux ressources nécessite un accès juste-à-temps

Le personnel doit utiliser l’accès administratif avec parcimonie. Lorsque des fonctions d’administration sont requises, les utilisateurs doivent recevoir un accès administratif temporaire.

Les organisations doivent établir un programme Protéger l’administrateur . Les caractéristiques de ces programmes sont les suivantes :

  • Réduction ciblée du nombre d’utilisateurs disposant d’autorisations administratives.
  • Audit des comptes et rôles d’autorisation avec élévation de privilèges.
  • Création de zones d’infrastructure High-Value asset (HVA) spéciales pour réduire la surface d’exposition.
  • Donner aux administrateurs des stations de travail d’administration sécurisées spéciales pour réduire la probabilité de vol d’informations d’identification.

Tous ces éléments aident une organisation à mieux connaître la façon dont les autorisations administratives sont utilisées, où ces autorisations sont toujours nécessaires, et fournissent une feuille de route pour le fonctionnement plus sécurisé.




Checklist icon with two checkmarks.

Objectifs de déploiement supplémentaires

Une fois que vous avez atteint vos trois objectifs initiaux, vous pouvez vous concentrer sur des objectifs supplémentaires, tels que le blocage des déploiements non autorisés.

IV. Les déploiements non autorisés sont bloqués et l’alerte est déclenchée

Lorsque les organisations passent au cloud, les possibilités sont illimitées. Ce n’est pas toujours une bonne chose. Pour diverses raisons, les organisations doivent être en mesure de bloquer les déploiements non autorisés et de déclencher des alertes pour informer les responsables et les gestionnaires des problèmes.

Microsoft Azure propose Azure Blueprints pour régir la façon dont les ressources sont déployées, en veillant à ce que seules les ressources approuvées (par exemple, les modèles ARM) puissent être déployées. Les blueprints peuvent garantir que les ressources qui ne respectent pas les stratégies du blueprint ou d’autres règles sont bloquées du déploiement. Une violation de blueprint réelle ou tentée peut déclencher des alertes en fonction des besoins et effectuer des notifications, activer des webhooks ou des runbooks Automation, ou même créer des tickets de gestion des services.

C. Une visibilité granulaire et un contrôle d’accès sont disponibles entre les charges de travail

Microsoft Azure offre diverses méthodes pour obtenir une visibilité des ressources. À partir du portail Azure, les propriétaires de ressources peuvent configurer de nombreuses fonctionnalités de collecte et d’analyse des métriques et des journaux. Cette visibilité peut être utilisée non seulement pour alimenter les opérations de sécurité, mais également pour prendre en charge l’efficacité informatique et les objectifs organisationnels. Ces fonctionnalités incluent des fonctionnalités telles que les groupes identiques de machines virtuelles, qui permettent un scale-out et une mise à l’échelle sécurisés et efficaces des ressources en fonction des métriques.

Côté contrôle d’accès, des Access Control en fonction du rôle (RBAC) peuvent être utilisées pour attribuer des autorisations aux ressources. Cela permet d’attribuer et de révoquer uniformément les autorisations aux niveaux individuel et de groupe à l’aide d’une variété de rôles intégrés ou personnalisés.

VI. Accès aux utilisateurs et aux ressources segmentés pour chaque charge de travail

Microsoft Azure offre de nombreuses façons de segmenter les charges de travail pour gérer l’accès aux utilisateurs et aux ressources. La segmentation du réseau est l’approche globale et, dans Azure, les ressources peuvent être isolées au niveau de l’abonnement avec des réseaux virtuels (VNets), des règles de peering de réseaux virtuels, des groupes de sécurité réseau (NSG), des groupes de sécurité d’application (ASG) et des pare-feu Azure. Il existe plusieurs modèles de conception pour déterminer la meilleure approche pour segmenter les charges de travail.

Produits abordés dans ce guide

Microsoft Azure

Azure Blueprints

Azure Policy

Azure Arc

Microsoft Defender pour le cloud

Microsoft Sentinel

Modèles Azure Resource Manager (ARM)

Conclusion

L’infrastructure est au cœur d’une stratégie de Confiance nulle réussie. Pour plus d’informations ou pour obtenir de l’aide sur l’implémentation, contactez votre équipe customer success ou continuez à lire les autres chapitres de ce guide, qui couvrent tous les Confiance nulle piliers.



La série de guides de déploiement Confiance nulle

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration