Liste de contrôle RaMP : valider explicitement l’approbation pour toutes les demandes d’accès

Cette liste de contrôle De modernisation rapide (RaMP) vous permet d’établir un périmètre de sécurité pour les applications cloud et les appareils mobiles qui utilisent l’identité comme plan de contrôle et valide explicitement l’approbation pour les comptes d’utilisateurs et les appareils avant d’autoriser l’accès, à la fois pour les réseaux publics et privés.

Pour être productif, vos employés (utilisateurs) doivent être en mesure d’utiliser :

  • Leurs informations d’identification de compte pour vérifier leur identité.
  • Leur point de terminaison (appareil), tel qu’un PC, une tablette ou un téléphone.
  • Les applications que vous avez fournies pour effectuer leurs travaux.
  • Réseau sur lequel le trafic circule entre les appareils et les applications, qu’ils soient locaux ou dans le cloud.

Chacun de ces éléments est les cibles des attaquants et doit être protégé par le principe central « jamais confiance, toujours vérifier » de Confiance nulle.

Cette liste de contrôle inclut l’utilisation de Confiance nulle pour valider explicitement l’approbation pour toutes les demandes d’accès pour :

Une fois ce travail terminé, vous aurez créé cette partie de l’architecture Confiance nulle.

Identités, points de terminaison, applications et sections réseau de l’architecture Confiance nulle

Identities

Vérifiez et sécurisez chaque identité avec une authentification forte dans l’ensemble de votre patrimoine numérique avec Azure Active Directory (Azure AD), une solution complète de gestion des identités et des accès avec une sécurité intégrée qui connecte 425 millions de personnes à leurs applications, appareils et données chaque mois.

Responsabilités des membres d’un programme et d’un projet

Ce tableau décrit la protection globale de vos comptes d’utilisateurs en termes de hiérarchie de gestion de programmes/de gestion de projets pour déterminer et générer des résultats.

Lead Propriétaire Responsabilité
CISO, CIO ou Directeur de la sécurité des identités Soutien des responsables
Responsable du programme à partir de Identity Security ou d’Identity Architect Susciter des résultats et une collaboration entre les équipes
Architecte de la sécurité Fournir des conseils sur la configuration et les normes
Identity Security ou un architecte d’identité Implémenter les modifications de configuration
Administrateur d’identité Mettre à jour les normes et les documents de stratégie
Gouvernance de la sécurité ou Administration d’identité Superviser pour garantir la conformité
Équipe en charge de l’éducation des utilisateurs Garantir que les recommandations données aux utilisateurs reflètent les mises à jour des stratégies

Objectifs de déploiement

Répondez à ces objectifs de déploiement pour protéger vos identités privilégiées avec Confiance nulle.

Terminé Objectif de déploiement Propriétaire Documentation
1. Déployez un accès privilégié sécurisé pour protéger les comptes d’utilisateurs administratifs. Implémenteur informatique Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD
2. Déployez Azure AD Privileged Identity Management (PIM) pour un processus d’approbation juste-à-temps lié à l’heure pour l’utilisation de comptes d’utilisateurs privilégiés. Implémenteur informatique Planifier un déploiement de Privileged Identity Management

Répondez à ces objectifs de déploiement pour protéger vos identités utilisateur avec Confiance nulle.

Terminé Objectif de déploiement Propriétaire Documentation
1. Activer la réinitialisation de mot de passe en libre-service (SSPR), ce qui vous donne des fonctionnalités de réinitialisation d’informations d’identification Implémenteur informatique Planifier un déploiement de réinitialisation de mot de passe en libre-service Azure AD
2. Activer l’authentification multifacteur (MFA) et sélectionner les méthodes appropriées pour L’authentification multifacteur Implémenteur informatique Planifier un déploiement d'Azure AD Multi-Factor Authentication
3. Activez l’inscription combinée d’utilisateurs pour votre annuaire pour permettre aux utilisateurs de s’inscrire à SSPR et MFA en une seule étape Implémenteur informatique Activer l’inscription combinée des informations de sécurité dans Azure AD
4. Configurez une stratégie d’accès conditionnel pour exiger l’inscription de l’authentification multifacteur. Implémenteur informatique Procédure : Configurer la stratégie d'inscription Azure AD Multi-Factor Authentication
5. Activez les stratégies basées sur les risques d’utilisateur et de connexion pour protéger l’accès des utilisateurs aux ressources. Implémenteur informatique Guide pratique pour Configurer et activer des stratégies de risque
6. Détectez et bloquez les mots de passe faibles connus et leurs variantes et bloquez des termes faibles supplémentaires spécifiques à votre organisation. Implémenteur informatique Éliminer les mauvais mots de passe à l’aide de Protection de mots de passe d’Azure AD
7. Déployez Microsoft Defender pour Identity et examinez et atténuez les alertes ouvertes (en parallèle avec vos opérations de sécurité). L’équipe Opérations de sécurité Microsoft Defender pour Identity
8. Déployez les informations d’identification sans mot de passe. Implémenteur informatique Planifier un déploiement d’authentification sans mot de passe dans Azure AD

Vous avez maintenant créé la section Identités de l’architecture Confiance nulle.

Section Identités de l’architecture Confiance nulle

Points de terminaison

Assurez-vous de la conformité et de l’état d’intégrité avant d’accorder l’accès à vos points de terminaison (appareils) et d’obtenir une visibilité sur la façon dont ils accèdent au réseau.

Responsabilités des membres d’un programme et d’un projet

Ce tableau décrit la protection globale de vos points de terminaison en termes de hiérarchie de gestion de programmes/de gestion de projet/de parrainage pour déterminer et générer des résultats.

Lead Propriétaire Responsabilité
CISO, CIO ou Directeur de la sécurité des identités Soutien des responsables
Responsable du programme à partir de Identity Security ou d’un architecte d’identité Susciter des résultats et une collaboration entre les équipes
Architecte de la sécurité Fournir des conseils sur la configuration et les normes
Identity Security ou un architecte de sécurité d’infrastructure Implémenter les modifications de configuration
Gestion des appareils mobiles (GPM) Administration Mettre à jour les normes et les documents de stratégie
Gouvernance de la sécurité ou Administration GPM Superviser pour garantir la conformité
Équipe en charge de l’éducation des utilisateurs Garantir que les recommandations données aux utilisateurs reflètent les mises à jour des stratégies

Objectifs de déploiement

Répondez à ces objectifs de déploiement pour protéger vos points de terminaison (appareils) avec Confiance nulle.

Terminé Objectif de déploiement Propriétaire Documentation
1. Inscrire des appareils auprès d’Azure AD. GPM Administration Identités d’appareil
2. Inscrire des appareils et créer des profils de configuration. GPM Administration Vue d’ensemble de la gestion des appareils
3. Connectez Defender pour point de terminaison à Intune (en parallèle avec vos opérations de sécurité). Identity Security Administration Configuration de Microsoft Defender pour point de terminaison dans Intune
4. Surveillez la conformité et le risque de l’appareil pour l’accès conditionnel. Identity Security Administration Utiliser des stratégies de conformité pour définir des règles pour les appareils que vous gérez avec Intune
5. Implémentez Protection des données Microsoft et intégrez des stratégies d’accès conditionnel. Identity Security Administration Utiliser des étiquettes de confidentialité pour protéger le contenu

Vous avez maintenant créé la section Points de terminaison de l’architecture Confiance nulle.

Section Points de terminaison de l’architecture Confiance nulle

Applications

Étant donné que les applications sont utilisées par des utilisateurs malveillants pour infiltrer votre organisation, vous devez vous assurer que vos applications utilisent des services, tels qu’Azure AD et Intune, qui fournissent Confiance nulle protection ou sont renforcées contre les attaques.

Responsabilités des membres d’un programme et d’un projet

Ce tableau décrit une implémentation Confiance nulle pour les applications en termes de hiérarchie de gestion de programmes/de gestion de projet/de parrainage pour déterminer et générer des résultats.

Lead Propriétaire Responsabilité
CISO, CIO ou Directeur de la sécurité des applications Soutien des responsables
Responsable du programme à partir de la gestion des applications Susciter des résultats et une collaboration entre les équipes
Architecte d’identité Conseiller sur la configuration d’Azure AD pour les applications
Mettre à jour les normes d’authentification pour les applications locales
Architecte développeur Conseiller sur la configuration et les normes pour les applications locales et cloud internes
Architecte réseau Implémenter des modifications de configuration VPN
Architecte de réseau cloud Déployer le proxy d’application Azure AD
Gouvernance de la sécurité Superviser pour garantir la conformité

Objectifs de déploiement

Répondez à ces objectifs de déploiement pour garantir Confiance nulle protection pour vos applications SaaS, PaaS et locales.

Terminé Type d’utilisation de l’application ou de l’application Objectifs de déploiement Propriétaire Documentation
Applications SaaS et PaaS qui font partie de vos abonnements cloud Microsoft Utilisez les stratégies d’inscription et de certification et de consentement des applications Azure AD.
Utilisez des stratégies d’accès conditionnel Azure AD et Intune stratégies MAM et Application Protection Policies (APP) pour autoriser l’utilisation de l’application.
Architecte d’identité Gestion des applications dans Azure AD
Applications dans vos abonnements cloud Microsoft qui sont compatibles OAuth et accèdent aux données Microsoft 365 via les API Graph Utilisez le module complémentaire de gouvernance des applications à Defender pour Cloud Apps pour la visibilité du comportement des applications, la gouvernance avec l’application et la détection et la correction des attaques basées sur les applications. Ingénieur Sécurité Vue d'ensemble
Applications SaaS et PaaS qui ne font pas partie de vos abonnements cloud Microsoft Vérifiez qu’ils utilisent Azure AD pour l’authentification. Cela signifie que toutes les connexions à l’application sont soumises aux exigences relatives à l’utilisateur et à la sécurité des appareils, telles que l’authentification multifacteur et la conformité définie pour la conformité des appareils. Architecte d’applications Intégration de toutes vos applications à Azure AD
Utilisateurs locaux accédant aux applications locales, qui incluent des applications s’exécutant sur des serveurs locaux et IaaS Assurez-vous que vos applications prennent en charge les protocoles d’authentification modernes tels que OAuth/OIDC et SAML. Contactez votre fournisseur d’applications pour obtenir des mises à jour pour protéger la connexion utilisateur. Architecte d’identité Consultez la documentation de votre fournisseur
Utilisateurs distants accédant aux applications locales via une connexion VPN Configurer votre appliance VPN afin qu’elle utilise Azure AD comme fournisseur d’identité Architecte réseau Consultez la documentation de votre fournisseur
Utilisateurs distants accédant aux applications web locales via une connexion VPN Publiez les applications via Azure AD Proxy d'application. Les utilisateurs distants doivent uniquement accéder à l’application publiée individuelle, qui est routée vers le serveur web local via un connecteur proxy d’application.

Les connexions tirent parti de l’authentification Azure AD forte et limitent les utilisateurs et leurs appareils à l’accès à une seule application à la fois. En revanche, l’étendue d’un VPN d’accès à distance classique est tous les emplacements, protocoles et ports de l’ensemble du réseau local.
Architecte de réseau cloud Accès à distance aux applications locales par le bais du service Proxy d'application Azure AD

Une fois ces objectifs de déploiement terminés, vous aurez créé la section Applications de l’architecture Confiance nulle.

Section Applications de l’architecture Confiance nulle

Réseau

Le modèle Confiance nulle suppose une violation et vérifie chaque requête comme si elle provient d’un réseau non contrôlé. Bien qu’il s’agit d’une pratique courante pour les réseaux publics, elle s’applique également aux réseaux internes de votre organisation qui sont généralement pare-feu à partir de l’Internet public.

Pour adhérer à Confiance nulle, votre organisation doit résoudre les vulnérabilités de sécurité sur les réseaux publics et privés, que ce soit localement ou dans le cloud, et vous assurer que vous vérifiez explicitement, utilisez l’accès au privilège minimum et supposez une violation. Les appareils, les utilisateurs et les applications ne doivent pas être intrinsèquement approuvés, car ils se trouvent sur vos réseaux privés.

Responsabilités des membres d’un programme et d’un projet

Ce tableau décrit une implémentation Confiance nulle pour les réseaux publics et privés en termes de hiérarchie de gestion de programmes/de gestion de projets pour déterminer et générer des résultats.

Lead Propriétaire Responsabilité
CISO, CIO ou Directeur de la sécurité réseau Soutien des responsables
Responsable du programme à partir du leadership réseau Susciter des résultats et une collaboration entre les équipes
Architecte de la sécurité Conseiller sur la configuration et les normes de stratégie d’accès et de chiffrement
Architecte réseau Conseiller sur le filtrage du trafic et les modifications apportées à l’architecture réseau
Ingénieurs réseau Modification de la configuration de la segmentation de la conception
Implémenteurs réseau Modifier la configuration de l’équipement réseau et mettre à jour les documents de configuration
Gouvernance réseau Superviser pour garantir la conformité

Objectifs de déploiement

Répondez à ces objectifs de déploiement pour garantir la protection Confiance nulle pour vos réseaux publics et privés, à la fois pour le trafic local et cloud. Ces objectifs peuvent être réalisés en parallèle.

Terminé Objectif de déploiement Propriétaire Documentation
Exiger le chiffrement pour toutes les connexions de trafic, notamment entre les composants IaaS et entre les utilisateurs locaux et les applications. Architecte de la sécurité Composants IaaS Azure

IPsec pour les appareils Windows locaux
Limitez l’accès aux données critiques et aux applications par stratégie (identité utilisateur ou appareil) ou filtrage du trafic. Architecte de sécurité ou architecte réseau Stratégies d’accès pour Sécurité des applications infonuagiques contrôle d’application d’accès conditionnel

Pare-feu Windows pour les appareils Windows
Déployez la segmentation du réseau local avec des contrôles de trafic d’entrée et de sortie avec des micro-périmètres et des micro-segmentations. Architecte réseau ou ingénieur réseau Consultez votre documentation sur le réseau local et les appareils edge.
Utilisez la détection des menaces en temps réel pour le trafic local. Analystes SecOps Protection contre les menaces Windows

Microsoft Defender for Endpoint
Déployez la segmentation du réseau cloud avec des contrôles de trafic d’entrée et de sortie avec des micro-périmètres et des micro-segmentations. Architecte réseau ou ingénieur réseau Implémenter des modèles de segmentation réseau dans Azure
Utilisez la détection des menaces en temps réel pour le trafic cloud. Architecte réseau ou ingénieur réseau Filtrage basé sur le renseignement sur les menaces du Pare-feu Azure

Pare-feu Azure système de détection et de prévention des intrusions réseau Premium (IDPS)

Une fois ces objectifs de déploiement terminés, vous aurez créé la section Réseau de l’architecture Confiance nulle.

Section Réseau de l’architecture Confiance nulle

Étape suivante

Poursuivez l’initiative d’accès et de productivité des utilisateurs avec les données, la conformité et la gouvernance.