Incorporer Confiance Zéro pratiques dans votre zone d’atterrissage

Confiance Zéro est une stratégie de sécurité dans laquelle vous incorporez des produits et des services dans votre conception et implémentation pour respecter les principes de sécurité suivants :

• Vérifier explicitement : authentifiez et autorisez systématiquement en fonction de tous les points de données disponibles.

• Utiliser l’accès avec le droit d'accès minimal : limitez l’accès utilisateur avec l’accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données.

• Supposez une violation : réduisez le rayon d’explosion et l’accès au segment, recherchez de manière proactive les menaces et améliorez continuellement les défenses.

Si votre organisation respecte la stratégie de Confiance Zéro, vous devez incorporer des objectifs de déploiement spécifiques à Confiance Zéro dans vos zones de conception de zone d’atterrissage. Votre zone d’atterrissage est la base de vos charges de travail dans Azure. Il est donc important de préparer votre zone d’atterrissage pour l’adoption de Confiance Zéro.

Cet article fournit des conseils pour intégrer Confiance Zéro pratiques dans votre zone d’atterrissage et explique où l’adhésion aux principes de Confiance Zéro nécessite des solutions en dehors de votre zone d’atterrissage.

Confiance Zéro piliers et zones de conception de zone d’atterrissage

Lorsque vous implémentez des pratiques Confiance Zéro dans votre déploiement de zone d’atterrissage Azure, vous devez commencer par prendre en compte les instructions Confiance Zéro pour chaque zone de conception de zone d’atterrissage.

Pour plus d’informations sur la conception d’une zone d’atterrissage et des conseils sur les décisions critiques dans chaque zone, consultez les zones de conception de zone d’atterrissage Azure.

Le modèle Confiance Zéro a des piliers organisés par des concepts et des objectifs de déploiement. Pour plus d’informations, consultez Déployer des solutions Confiance Zéro.

Ces piliers fournissent des objectifs de déploiement spécifiques qui aident les organisations à s’aligner sur les principes de Confiance Zéro. Ces objectifs vont au-delà des configurations techniques. Par exemple, le pilier réseau a un objectif de déploiement pour la segmentation du réseau. L’objectif ne fournit pas d’informations sur la configuration des réseaux isolés dans Azure, mais propose plutôt des conseils pour la création du modèle d’architecture. Il existe d’autres décisions de conception à prendre en compte lorsque vous implémentez un objectif de déploiement.

Le diagramme suivant montre les zones de conception de zone d’atterrissage.

Le tableau suivant met en corrélation les piliers Confiance Zéro aux zones de conception indiquées dans l’architecture.

Légende	Zone de conception d’une zone d’atterrissage	Pilier Confiance Zéro
	Facturation Azure et locataires Microsoft Entra	Pilier identité
	Gestion de l’identité et de l’accès	Pilier de l’identité, Pilier des applications, Pilier des données
	Organisation des ressources	Pilier identité
	Gouvernance	Pilier de la visibilité, de l'automatisation et de l'orchestration
	Gestion	Pilier des points de terminaison, Pilier des applications, Pilier des données, Pilier de l’infrastructure
	Topologie et connectivité du réseau	Pilier des réseaux
	Sécurité	Tous les piliers Confiance Zéro
	Automatisation de plateforme et DevOps	Pilier de la visibilité, de l'automatisation et de l'orchestration

Tous les objectifs de déploiement Confiance Zéro ne font pas partie d’une zone d’atterrissage. De nombreux Confiance Zéro objectifs de déploiement sont de concevoir et de libérer des charges de travail individuelles sur Azure.

Les sections suivantes examinent chaque pilier et fournissent des considérations et des recommandations pour l’implémentation des objectifs de déploiement.

Sécuriser les identités

Pour plus d’informations sur les objectifs de déploiement pour la sécurisation de l’identité, consultez Sécurisation de l’identité avec Confiance Zéro. Pour implémenter ces objectifs de déploiement, vous pouvez appliquer la fédération d’identité, l’accès conditionnel, la gouvernance des identités et les opérations de données en temps réel.

Identité - Éléments à prendre en compte

• Vous pouvez utiliser des implémentations de référence de zone d’atterrissage Azure pour déployer des ressources qui étendent votre plateforme d’identité existante dans Azure et gérer la plateforme d’identité en implémentant les meilleures pratiques Azure.

• Vous pouvez configurer un grand nombre de contrôles pour les pratiques de Confiance Zéro dans votre locataire Microsoft Entra. Vous pouvez également contrôler l’accès à Microsoft 365 et à d’autres services cloud qui utilisent l’ID Microsoft Entra.

• Vous devez planifier les exigences de configuration au-delà de ce qui se trouve dans votre zone d’atterrissage Azure.

Recommandations d’identité

• Développez un plan de gestion des identités dans Microsoft Entra ID qui dépassent les ressources Azure. Par exemple, vous pouvez utiliser :

  • Fédération avec des systèmes d'identité sur site.
  • Stratégies d’accès conditionnel.
  • Informations d’utilisateur, d’appareil, d’emplacement ou de comportement pour l’autorisation.

• Déployez votre zone d’atterrissage Azure avec des abonnements distincts pour les ressources d’identité, comme les contrôleurs de domaine, afin de mieux sécuriser l’accès aux ressources.

• Utilisez des identités managées Microsoft Entra si possible.

Sécuriser les points de terminaison

Pour plus d’informations sur les objectifs de déploiement pour la sécurisation des points de terminaison, consultez Points de terminaison sécurisés avec Confiance Zéro. Pour implémenter ces objectifs de déploiement, vous pouvez :

• Inscrivez des points de terminaison auprès des fournisseurs d’identité cloud pour fournir l’accès aux ressources uniquement via des points de terminaison et des applications conformes gérés par le cloud.

• Appliquez la protection contre la perte de données (DLP) et le contrôle d’accès pour les appareils d’entreprise et les appareils personnels inscrits dans les programmes BYOD (Bring Your Own Device ).

• Surveillez le risque de l’appareil pour l’authentification avec la détection des menaces de point de terminaison.

Considérations relatives au point de terminaison

• Les objectifs de déploiement de point de terminaison sont destinés aux appareils de calcul des utilisateurs finaux, tels que les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles.

• Lorsque vous adoptez Confiance Zéro pratiques pour les points de terminaison, vous devez implémenter des solutions dans Azure et en dehors d’Azure.

• Vous pouvez utiliser des outils, tels que Microsoft Intune et d’autres solutions de gestion des appareils, pour atteindre les objectifs de déploiement.

• Si vous avez des points de terminaison dans Azure, comme dans Azure Virtual Desktop, vous pouvez inscrire l’expérience client dans Intune et appliquer des stratégies et des contrôles Azure pour restreindre l’accès à l’infrastructure.

Recommandations relatives au point de terminaison

• Développez un plan de gestion des points de terminaison avec des pratiques de Confiance Zéro, en plus de vos plans d’implémentation d’une zone d’atterrissage Azure.

• Pour plus d’informations sur les appareils et les serveurs, consultez Infrastructure sécurisée.

Sécuriser les applications

Pour plus d’informations sur les objectifs de déploiement pour la sécurisation des applications, consultez Applications sécurisées avec Confiance Zéro. Pour implémenter ces objectifs de déploiement, vous pouvez :

• Utiliser des API pour obtenir une visibilité sur les applications.

• Appliquer des politiques de protection des informations sensibles.

• Appliquer des contrôles d’accès adaptatifs.

• Limiter la portée de l’informatique fantôme.

Considérations relatives à l'application

• Les objectifs de déploiement des applications se concentrent sur la gestion des applications tierces et tierces de votre organisation.

• Les objectifs ne traitent pas de la sécurisation de l’infrastructure d’application. Au lieu de cela, ils traitent de la sécurisation de la consommation des applications, en particulier des applications cloud.

• Les pratiques de zone d’atterrissage Azure ne fournissent pas de contrôles détaillés pour les objectifs de l’application. Ces contrôles sont configurés dans le cadre de la configuration de l’application.

Recommandations relatives aux applications

• Utilisez Microsoft Defender for Cloud Apps pour gérer l'accès aux applications.

• Utilisez les stratégies standardisées incluses dans Defender pour le cloud Apps pour appliquer vos pratiques.

• Développez un plan pour intégrer vos applications à vos pratiques pour l’accès aux applications. Ne faites pas confiance aux applications que votre organisation héberge plus que vous ne faites confiance à des applications tierces.

Sécuriser les données

Pour plus d’informations sur les objectifs de déploiement pour la sécurisation des données, consultez Sécuriser les données avec Confiance Zéro. Pour implémenter ces objectifs, vous pouvez :

• Classifier et étiqueter les données.
• Activer Access Control.
• Mettre en place une protection contre la perte de données.

Pour plus d’informations sur la journalisation et la gestion des ressources de données, consultez les implémentations de référence de zone d’atterrissage Azure.

Une approche Confiance Zéro implique des contrôles étendus pour les données. À partir d’un point de support d’implémentation, Microsoft Purview fournit des outils pour la gouvernance des données, la protection et la gestion des risques. Vous pouvez utiliser Microsoft Purview dans le cadre d’un déploiement d’analytique à l’échelle du cloud pour fournir une solution que vous pouvez implémenter à grande échelle.

Considérations sur les données

• Conformément au principe de démocratisation de l’abonnement de zone d’atterrissage, vous pouvez créer l’accès et l’isolation réseau pour les ressources de données, et également établir des pratiques de journalisation.

  Il existe des stratégies dans les implémentations de référence pour la journalisation et la gestion des ressources de données.

• Vous avez besoin d’autres contrôles au-delà de la sécurisation des ressources Azure pour atteindre les objectifs de déploiement. Confiance Zéro sécurité des données implique de classer les données, de les étiqueter pour la sensibilité et de contrôler l’accès aux données. Il s’étend également au-delà des systèmes de base de données et de fichiers. Vous devez prendre en compte comment protéger les données dans Microsoft Teams, Groupes Microsoft 365 et SharePoint.

Recommandations relatives aux données

• Microsoft Purview fournit des outils pour la gouvernance, la protection et la gestion des risques des données.

• Implémentez Microsoft Purview dans le cadre d’un déploiement d’analytique à l’échelle du cloud pour implémenter votre charge de travail à grande échelle.

Sécuriser l’infrastructure

Pour plus d’informations sur les objectifs de déploiement pour la sécurisation de l’infrastructure, consultez Infrastructure sécurisée avec Confiance Zéro. Pour implémenter ces objectifs, vous pouvez :

• Surveiller le comportement anormal dans les charges de travail.
• Gérer les identités d’infrastructure.
• Limiter l’accès humain.
• Segmenter les ressources.

Considérations relatives à l’infrastructure

• Les objectifs de déploiement d’infrastructure sont les suivants :

  • Gestion des ressources Azure.
  • Gestion des environnements de systèmes d'exploitation.
  • Accès aux systèmes.
  • Application de contrôles spécifiques à la charge de travail.

• Vous pouvez utiliser le modèle d’abonnement de zone d’atterrissage pour créer des limites de sécurité claires aux ressources Azure et attribuer des autorisations limitées selon les besoins au niveau de la ressource.

• Les organisations doivent organiser leurs charges de travail pour la gestion.

Recommandations relatives à l’infrastructure

• Utilisez les stratégies de zone d’atterrissage Azure standard pour bloquer les déploiements et ressources non conformes et appliquer des modèles de journalisation.

• Configurez Privileged Identity Management dans Microsoft Entra ID pour fournir un accès juste-à-temps aux rôles hautement privilégiés.

• Configurez l’accès juste-à-temps dans Defender pour le cloud pour votre zone d’atterrissage afin de restreindre l’accès aux machines virtuelles.

• Créez un plan pour surveiller et gérer des charges de travail individuelles déployées dans Azure.

Sécuriser les réseaux

Pour plus d’informations sur les objectifs de déploiement pour la sécurisation des réseaux, consultez Réseaux sécurisés avec Confiance Zéro. Pour implémenter ces objectifs, vous pouvez :

• Implémenter la segmentation de réseau.
• Utiliser le filtrage natif cloud.
• Implémenter des privilèges d’accès minimum.

Considérations relatives au réseau

• Pour vous assurer que vos ressources de plateforme prennent en charge le modèle de sécurité Confiance Zéro, vous devez déployer des pare-feu capables d’inspecter le trafic HTTPS et d’isoler les ressources réseau d’identité et de gestion du hub central.

• Outre les ressources réseau de l’abonnement de connectivité, vous devez créer des plans pour les charges de travail individuelles de micro-segment dans leurs réseaux virtuels spoke. Par exemple, vous pouvez définir des modèles de trafic et créer des groupes de sécurité réseau affinés pour chaque réseau de charge de travail.

Recommandations pour le réseau

• Utilisez les guides de déploiement Confiance Zéro suivants pour déployer votre zone d’atterrissage Azure :

  • Déploiement de l’accélérateur du portail de zone d’atterrissage Azure avec des principes de réseau Confiance Zéro
  • Déployer la mise en réseau avec des principes de réseau Confiance Zéro
  • Déploiement Terraform de zone d’atterrissage Azure avec des principes de réseau Confiance Zéro

• Pour plus d’informations sur l’application des principes de Confiance Zéro à la remise des applications, consultez Confiance Zéro réseau pour les applications web.

• Pour plus d’informations sur la création d’un plan de mise en réseau de charge de travail, consultez Confiance Zéro plans de déploiement avec Azure.

Visibilité, automatisation et orchestration

Pour plus d’informations sur les objectifs de déploiement pour la visibilité, l’automatisation et l’orchestration, consultez Visibilité, automatisation et orchestration avec Confiance Zéro. Pour implémenter ces objectifs, vous pouvez :

• Établir la visibilité.
• Activer l’automatisation.
• Activer des contrôles supplémentaires en pratiquant une amélioration continue.

Considérations relatives à la visibilité, à l'automatisation et à l'orchestration

• Les implémentations de référence de zone d’atterrissage Azure contiennent des déploiements de Microsoft Sentinel que vous pouvez utiliser pour établir rapidement une visibilité dans votre environnement Azure.

• Les implémentations de référence fournissent des stratégies pour la journalisation Azure, mais une intégration supplémentaire est nécessaire pour d’autres services.

• Vous devez configurer des outils d’automatisation, comme Azure DevOps et GitHub, pour envoyer des signaux.

Recommandations en matière de visibilité, d'automatisation et d'orchestration

• Déployez Microsoft Sentinel dans le cadre de votre zone d’atterrissage Azure.

• Créez un plan pour intégrer des signaux de Microsoft Entra ID et des outils dans Microsoft 365 à votre espace de travail Microsoft Sentinel.

• Créez un plan pour effectuer des exercices de chasse aux menaces et améliorer continuellement la sécurité.

Étapes suivantes

• Sécurité dans le Cloud Adoption Framework Microsoft pour Azure
• Appliquer Confiance Zéro principes aux services Azure
• Évaluer votre posture de sécurité Confiance Zéro