Idées de solution
Cet article présente une idée de solution. Votre architecte cloud peut s’appuyer sur ces conseils pour visualiser les principaux composants d’une implémentation typique de cette architecture. Utilisez cet article comme point de départ pour concevoir une solution bien conçue qui répond aux exigences spécifiques de votre charge de travail.
Cet article présente comment schématiser l’environnement informatique central de votre organisation et créer une carte des menaces. Ces schémas sont des outils précieux pour planifier et construire une couche de sécurité défensive robuste. Comprendre votre environnement informatique et son architecture est essentiel pour identifier les services de sécurité nécessaires à une protection adéquate.
Les systèmes informatiques contiennent des informations qui sont non seulement précieuses pour les organisations qui les génèrent, mais aussi pour des acteurs malveillants. Ces acteurs, qu’il s’agisse d’individus ou de groupes, s’engagent dans des activités nuisibles visant à compromettre ou endommager les ordinateurs, dispositifs, systèmes et réseaux des entreprises. Leur objectif est souvent de voler ou corrompre des données sensibles en utilisant des menaces telles que les malwares ou les attaques par force brute.
Dans cet article, nous explorons une méthode pour cartographier les menaces pesant sur votre environnement informatique, vous permettant ainsi de planifier l’implémentation des services de sécurité Microsoft dans le cadre de votre stratégie de sécurité. Ceci est le deuxième article d’une série de cinq, comme introduit dans le précédent volet. Utiliser la supervision Azure pour intégrer des composants de sécurité.
La bonne nouvelle, c’est que vous n’avez pas besoin de créer une carte des menaces à partir de zéro. La matrice MITRE ATT&CK offre une excellente ressource pour vous aider à en développer une. MITRE ATT&CK est une base de connaissances mondiale qui cartographie les menaces réelles en fonction des tactiques et techniques observées. La MITRE Corporation documente chaque menace connue en détail, fournissant des informations précieuses sur la manière dont ces menaces fonctionnent et comment vous pouvez vous défendre contre elles. Cette ressource accessible au public est disponible en ligne sur MITRE ATT&CK®.
Dans cet article, nous utilisons un sous-ensemble de ces menaces pour illustrer comment vous pouvez cartographier les menaces sur votre environnement informatique.
Cas d’usage potentiels
Certaines menaces sont communes à tous les secteurs, telles que les ransomwares, les attaques DDoS, les scripts intersites (XSS) et l’injection SQL. Cependant, de nombreuses organisations sont confrontées à des menaces spécifiques à leur secteur ou basées sur des cyberattaques passées. Le schéma dans cet article peut vous aider à cartographier ces menaces pour votre organisation en identifiant les zones les plus susceptibles d’être ciblées par des acteurs malveillants. Créer une carte des menaces vous permet de planifier les couches de défense nécessaires pour un environnement plus sécurisé.
Vous pouvez adapter ce schéma pour modéliser différentes combinaisons d’attaques et mieux comprendre comment les prévenir et les atténuer. Bien que le framework MITRE ATT&CK soit une référence utile, il n’est pas indispensable. Microsoft Sentinel et d’autres services de sécurité Microsoft collaborent également avec MITRE pour fournir des informations précieuses sur diverses menaces.
Certaines organisations utilisent Cyber Kill Chain®, une méthodologie de Lockheed Martin, pour mapper et comprendre comment une attaque ou une série d’attaques sont effectuées contre un environnement informatique. Cyber Kill Chain organise les menaces et les attaques en prenant en compte moins de tactiques et de techniques que l’infrastructure MITRE ATT&CK. Toutefois, il est efficace de vous aider à comprendre les menaces et comment elles peuvent être exécutées. Pour plus d’informations sur cette méthodologie, consultez Chaîne Cyber Kill.
Architecture
Téléchargez un fichier Visio de cette architecture.
©2021 The MITRE Corporation. Ce travail est reproduit et distribué avec l’autorisation de The MITRE Corporation.
Pour l’environnement informatique des organisations, nous spécifions les composants uniquement pour Azure et Microsoft 365. Votre environnement IT spécifique peut inclure des appareils, des appliances et des technologies provenant de différents fournisseurs de technologies.
Pour l’environnement Azure, le diagramme montre les composants répertoriés dans le tableau suivant.
| Étiquette | Documentation |
|---|---|
| Réseau virtuel | Qu’est-ce que le Réseau virtuel Azure ? |
| LBS | Qu’est-ce que Azure Load Balancer ? |
| PIPS | Adresses IP publiques |
| SERVEURS | Machines virtuelles |
| K8S | Azure Kubernetes Service |
| VDI | Qu’est-ce qu’Azure Virtual Desktop ? |
| WEB APPS | Vue d'ensemble d'App Service |
| STOCKAGE AZURE | Introduction à Azure Storage |
| BdD | Qu’est-ce qu’Azure SQL Database ? |
| Microsoft Entra ID | Qu’est-ce que Microsoft Entra ID ? |
Le diagramme représente Microsoft 365 à travers les composants répertoriés dans le tableau suivant.
| Étiquette | Description | Documentation |
|---|---|---|
OFFICE 365 |
Services Microsoft 365 (anciennement Office 365). Les applications que Microsoft 365 rend disponibles dépendent du type de licence. | Microsoft 365 - Abonnement pour les applications Office |
Microsoft Entra ID |
Microsoft Entra ID, le même que celui utilisé par Azure. De nombreuses entreprises utilisent le même service Microsoft Entra pour Azure et Microsoft 365. | Qu’est-ce que Microsoft Entra ID ? |
Workflow
Pour vous aider à comprendre quelle partie de votre environnement informatique ces menaces sont susceptibles d’attaquer, le diagramme d’architecture de cet article est basé sur un environnement IT classique pour une organisation disposant de systèmes locaux, d’un abonnement Microsoft 365 et d’un abonnement Azure. Les ressources de chacune de ces couches sont des services communs à de nombreuses entreprises. Ils sont classés dans le diagramme en fonction des piliers de Confiance Zéro Microsoft : réseau, infrastructure, point de terminaison, application, données et identité. Pour plus d’informations sur Confiance Zéro, consultez Adopter une sécurité proactive avec une Confiance Zéro.
Le diagramme d’architecture comprend les couches suivantes :
Local
Le diagramme comprend certains services essentiels tels que les serveurs (machines virtuelles), les appliances réseau et DNS. Il inclut les applications courantes qui se trouvent dans la plupart des environnements IT et s’exécutent sur des machines virtuelles ou des serveurs physiques. Il comprend également différents types de bases de données, à la fois SQL et non-SQL. Les organisations ont généralement un serveur de fichiers qui partage des fichiers dans l’ensemble de l’entreprise. Enfin, le service de domaine Active Directory, un composant d’infrastructure étendu, gère les informations d’identification de l’utilisateur. Le diagramme inclut tous ces composants dans l’environnement local.
Environnement Office 365
Cet exemple d’environnement contient des applications de bureau traditionnelles, telles que Word, Excel, PowerPoint, Outlook et OneNote. Selon le type de licence, il peut également inclure d’autres applications, telles que OneDrive, Exchange, Sharepoint et Teams. Dans le diagramme, elles sont représentées par une icône pour les applications Microsoft 365 (anciennement Office 365) et une icône pour Microsoft Entra ID. Les utilisateurs doivent être authentifiés pour obtenir l’accès aux applications Microsoft 365, et Microsoft Entra ID agit comme le fournisseur d’identité. Microsoft 365 authentifie les utilisateurs par rapport au même type de Microsoft Entra ID qu’Azure utilise. Dans la plupart des organisations, le locataire Microsoft Entra ID est le même pour Azure et Microsoft 365.
Environnement Azure
Cette couche représente les services de cloud public Azure, notamment les machines virtuelles, les réseaux virtuels, les plateformes en tant que services, les applications web, les bases de données, le stockage, les services d’identité, etc. Pour plus d’informations sur Azure, consultez la documentation sur Azure.
Tactiques et techniques MITRE ATT&CK
Ce diagramme montre les 16 principales menaces, selon les tactiques et techniques publiées par The MITRE Corporation. En rouge, vous pouvez voir un exemple d’attaque fusionnée, ce qui signifie qu’un acteur malveillant peut coordonner plusieurs attaques simultanément.
Comment utiliser l’infrastructure MITRE ATT&CK
Vous pouvez commencer par une recherche simple du nom de la menace ou du code d’attaque sur la page web principale, MITRE ATT&CK®.
Vous pouvez également parcourir les menaces sur les pages de tactiques ou de techniques :
Vous pouvez toujours utiliser MITRE ATT&CK® Navigator, un outil intuitif fourni par MITRE qui vous aide à découvrir des tactiques, des techniques et des détails sur les menaces.
Composants
L’exemple d’architecture de cet article utilise les composants Azure suivants :
Microsoft Entra ID est un service de gestion des identités et des accès basé sur le cloud. Microsoft Entra ID permet à vos utilisateurs d’accéder à des ressources externes, telles que Microsoft 365, le Portail Azure et des milliers d’autres applications SaaS. Il les aide également à accéder aux ressources internes, notamment les applications situées sur votre réseau intranet d’entreprise.
Le Réseau virtuel Azure est le bloc de construction fondamental de votre réseau privé dans Azure. Le réseau virtuel permet à de nombreux types de ressources Azure de communiquer de manière sécurisée entre elles, avec Internet et avec des réseaux locaux. Le réseau virtuel fournit un réseau virtuel qui bénéficie de l’infrastructure d’Azure, comme la mise à l’échelle, la disponibilité et l’isolement.
Azure Load Balancer est un service d’équilibrage de charge de 4e couche à faible latence et hautes performances (en entrée et en sortie) pour tous les protocoles UDP et TCP. Il est conçu pour traiter des millions de demandes par seconde, tout en garantissant la haute disponibilité de votre solution. Azure Load Balancer est redondant interzone, garantissant une haute disponibilité de la fonctionnalité Zones de disponibilité.
Les machines virtuelles sont l’un des nombreux types de ressources informatiques évolutives à la demande proposées par Azure. Une machine virtuelle Azure vous offre la flexibilité de la virtualisation sans que vous ayez à acheter le matériel physique qui l’exécute ni à en assurer la maintenance.
Azure Kubernetes Service (AKS) est un service complètement managé qui sert au déploiement et à la gestion d’applications conteneurisées. AKS offre une expérience d’intégration continue/de livraison continue (CI/CD) Kubernetes serverless ainsi que des fonctionnalités de sécurité et de gouvernance de niveau entreprise.
Azure Virtual Desktop est un service de virtualisation de bureau et d’application qui s’exécute dans le cloud afin de fournir des bureaux aux utilisateurs distants.
Web Apps est un service HTTP pour l’hébergement d’applications web, d’API REST et de back-ends mobiles. Vous pouvez développer dans votre langage favori, et les applications s’exécutent et se mettent à l’échelle facilement dans les environnements Windows et Linux.
Stockage Azure est un stockage hautement disponible, évolutif, durable et sécurisé pour différents objets de données dans le cloud, notamment l’objet, l’objet blob, le fichier, le disque, la file d’attente et le stockage de tables. Toutes les données écrites dans un compte de stockage Azure sont chiffrées par le service. Le Stockage Azure vous permet de contrôler de manière plus précise qui a accès à vos données.
Azure SQL Database est un moteur de base de données PaaS complètement managé qui prend en charge la plupart des fonctions de gestion de base de données telles que la mise à niveau, la mise à jour corrective, les sauvegardes et la surveillance. Il fournit ces fonctions sans intervention de l’utilisateur. SQL Database fournit toute une gamme de fonctionnalités intégrées de sécurité et conformité pour que votre application réponde aux exigences de conformité et de sécurité.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Rudnei Oliveira | Ingénieur principal en sécurité Azure
Autres contributeurs :
- Gary Moore | Programmeur/rédacteur
- Andrew Nathan | Responsable senior de l’ingénierie client
Étapes suivantes
Ce document fait référence à certains services, technologies et terminologies. Vous trouverez plus d’informations sur ces services dans les ressources suivantes :
- MITRE ATT&CK®
- ATT&CK® Navigator)
- Préversion publique : MITRE ATT&CK Framework Blade dans Microsoft Sentinel, un billet du blog Azure Cloud et AI Domain
- The Cyber Kill Chain®
- Adopter une sécurité proactive avec une Confiance Zéro
- Menace combinée sur Wikipedia
- Comment les cyberattaques changent selon le nouveau Microsoft Digital Defense Report à partir du Blog Sécurité Microsoft
Ressources associées
Pour plus d’informations sur cette architecture de référence, consultez les autres articles de cette série :
- Partie 1 : Utiliser la supervision Azure pour intégrer des composants de sécurité
- Partie 3 : Créer la première couche de défense avec les services de sécurité Azure
- Partie 4 : Créer la deuxième couche de défense avec les services de sécurité Microsoft Defender XDR
- Partie 5 : Intégrer des services de sécurité Azure et Microsoft Defender XDR