Sécuriser pour l’adoption du cloud de défense

La méthodologie de sécurisation est une étape essentielle dans le domaine de mission de l’adoption du cloud.

Figure 1 : Suivi de domaine – domaine de mission

La sécurité fait référence à la triade en matière de cybersécurité que forment la confidentialité, l’intégrité et la disponibilité. Même si la sécurité relève du domaine de mission, il s’agit d’une considération importante à chaque étape du parcours d’adoption du cloud. La sécurité est vouée à l’échec sans stratégie et plan appropriés. Les zones d’atterrissage et la gouvernance vacillent sans considérations de sécurité appropriées. Les modernisations affaiblissent la posture de sécurité si la sécurité n’est pas intégrée aux processus du développement et des opérations.

La sécurité n’est pas moins importante pour une charge de travail. Les charges de travail héritent des contrôles de sécurité de la plateforme, mais elles doivent quand même appliquer des contrôles de sécurité au-dessus du niveau de la plateforme. Voici quelques recommandations en matière de sécurité à prendre en compte pour créer et gérer des charges de travail de défense.

Implémenter la Confiance Zéro

Le modèle Confiance Zéro est une méthodologie de sécurité, pas un produit. Les implémentations de Confiance Zéro diffèrent, mais la communalité est une tentative d’élimination de la confiance.

Trois principes principaux de Confiance Zéro traités sont (1) de vérifier explicitement chaque session, (2) appliquer le privilège minimum à chaque identité, et (3) surveiller, rechercher et sécuriser en continu. Intéressons-nous de plus près à ces principes.

Vérifier explicitement chaque session : Vérifier fait référence à l’authentification et à l’autorisation. Vous avez besoin d’authentifier et d’autoriser chaque appareil, quel que soit son emplacement. L’authentification multifacteur est une norme de défense courante où l’utilisation d’un jeton de sécurité complète le processus d’authentification.

Nous vous recommandons d’utiliser un système de contrôle d’accès en fonction de l’attribut (ABAC). ABAC s’appuie sur le contrôle d’accès en fonction du rôle (RBAC) et nécessite que les appareils remplissent des conditions supplémentaires avant d’accéder à une ressource. Les professionnels de la sécurité configurent les conditions pour limiter l’accès et réduisent le nombre d’attributions de rôle à gérer. Microsoft Entra ID fournit des fonctionnalités ABAC natives afin que les identités cloud accèdent uniquement aux informations autorisées. Pour plus d’informations, consultez Contrôle d’accès en fonction de l’attribut.

Appliquer le privilège minimum à chaque identité : Le concept de l’accès avec le privilège minimum est un concept répandu dans les environnements de défense. Il est visible au niveau macro dans le système de contrôle d’accès obligatoire utilisé par de nombreuses organisations de défense. Les données reçoivent des étiquettes de classification en fonction de leur sensibilité (confidentielles, secrètes, top secret) et les individus reçoivent l’accès aux données dont ils ont besoin pour exécuter une tâche. Une fois la tâche terminée, l’accès est supprimé. L’accès à des données sensibles alors qu’il n’est pas nécessaire constitue une violation du modèle du privilège minimum.

RBAC et ABAC sont les principales fonctionnalités qui permettent la mise en place du privilège minimum. Les personnes changent de rôle et l’architecture change, il est donc important de réviser régulièrement les accès pour éviter tout privilège inapproprié. RBAC et ABAC permettent aux équipes de créer un système de contrôle des accès ajusté qui répond aux besoins d’un environnement alors que les besoins d’accès changent au fil du temps.

Azure simplifie les révisions d’accès avec RBAC et ABAC en automatisant certains aspects du contrôle d’accès. Les stratégies d’accès conditionnel peuvent être liées aux rôles, services, projets et emplacements du personnel de défense. Quand les personnes changent de rôle ou de zone géographique, leur accès aux ressources change quand il est mis à jour dans leur identité. Les équipes de sécurité peuvent effectuer des révisions manuelles de n’importe quelle ressource dans Azure à tout moment. Azure permet aux utilisateurs de voir les ressources à partir de plusieurs niveaux, ce qui facilite la révision manuelle.

L’octroi d’un privilège élevé pendant une période définie est une bonne pratique de sécurité. Microsoft Entra ID simplifie l’utilisation des privilèges élevés avec Privileged Identity Management (PIM). PIM octroie des privilèges élevés quand un utilisateur légitime en demande et n’accorde ces privilèges que pendant une période définie. Ce processus représente un accès juste-à-temps et réduit le nombre de comptes dormants disposant d’un accès privilégié. Pour plus d'informations, consultez les pages suivantes :

• PIM pour un accès juste-à-temps
• Bonnes pratiques relatives à la sécurité du contrôle d’accès et à la gestion des identités Azure
• Sécurisation des identités avec la Confiance Zéro

Superviser, analyser et améliorer en continu : La sécurité ne doit pas être statique. Le paysage des menaces change constamment et la sécurité doit s’y adapter. Les équipes de sécurité de défense doivent superviser, analyser et améliorer les environnements cloud pour atténuer les risques. Les organisations de défense disposent souvent d’outils de sécurité obligatoires que les outils natifs cloud peuvent compléter pour une détection et une analyse de sécurité exhaustives. Nous vous recommandons d’utiliser Microsoft Defender pour le cloud en tant qu’outil de gestion de la posture de sécurité cloud de référence, car il évalue en continu la posture de sécurité de l’environnement. Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour le cloud ?

Voici quelques outils qui ajoutent de la valeur aux déploiements de défense :

• Renseignement sur les menaces : Les environnements cloud doivent disposer d’un flux persistant de renseignement sur les menaces et d’un outil de détection qui évalue la posture de sécurité réseau. Cet outil doit analyser votre environnement et générer des alertes pour les vulnérabilités qu’il détecte. Pour plus d’informations, consultez les flux de renseignement sur les menaces.

• Déni de service distribué (DDoS) : Les outils de sécurité doivent protéger contre les attaques par déni de service distribué malveillantes ou non.

• Gestion des informations et des événements de sécurité (SIEM) : Une solution SIEM est une fonctionnalité de détection des menaces et d’investigation nécessaire qui analyse, agrège et détecte les menaces dans les journaux d’activité générés dans un environnement cloud. Pour obtenir la liste des outils de sécurité disponibles, consultez Sécurité Azure Government.

Pour plus d’informations, consultez Confiance Zéro dans Azure.

Automatiser la conformité de la sécurité

Les normes de sécurité de défense nécessitent que les professionnels de la sécurité de défense gèrent des centaines de contrôles de sécurité. L’exécution manuelle de ce processus représente un travail intense et sujet aux erreurs humaines. Il est possible d’automatiser la conformité avec les principales normes de sécurité et d’automatiser la correction des ressources cloud conformément à ces normes. Azure permet aux propriétaires de mission d’automatiser la conformité pour Confiance Zéro, CMMC et NIST 800-53.

Microsoft Defender pour le cloud peut créer un rapport visuel sur toutes les ressources non conformes à une norme de sécurité donnée. L’outil peut générer des suggestions de correction pour les contrôles de sécurité qui ne sont pas conformes à la norme. Microsoft Defender pour le cloud permet également aux professionnels de la sécurité de télécharger des rapports d’évaluation de la conformité qui servent de bases de référence pour la sécurité. Pour plus d'informations, consultez les pages suivantes :

• Automatiser la conformité
• Visualiser la conformité

Pour obtenir des informations de sécurité générales, consultez :

• Documentation sur la sécurité
• Notions de base de la sécurité
• Liste de contrôle de la sécurité opérationnelle
• Architectures de référence en cybersécurité
• Sécurité CAF

Étape suivante

La dernière méthodologie dans le domaine de mission est la méthodologie de gestion. La méthodologie de gestion contient des recommandations pour piloter l’efficacité opérationnelle.

Gérer