Outils et stratégies de sécurité

  • 5 minutes

Dans le récit de Tailwind Traders, le client a choisi une approche « start small » pour les zones d’atterrissage Azure. Cela signifie que leur implémentation actuelle n’inclut pas tous les contrôles de sécurité suggérés. Dans l’idéal, le client aurait commencé avec l’accélérateur de zone d’atterrissage Azure, qui aurait déjà installé nombre des outils suivants.

Cette leçon décrit les contrôles à ajouter à l’environnement de ce client pour se rapprocher de l’architecture conceptuelle des zones d’atterrissage Azure et préparer les exigences de sécurité de l’organisation.

Plusieurs outils et contrôles sont disponibles pour vous aider à atteindre rapidement une ligne de base de sécurité :

  • Microsoft Defender pour le cloud : fournit les outils nécessaires pour renforcer vos ressources, suivre votre posture de sécurité, vous protéger contre les cyberattaques et rationaliser la gestion de la sécurité.
  • Microsoft Entra ID : Le service de gestion d’identité et accès par défaut. Microsoft Entra ID fournit un score de sécurité d’identité pour vous aider à évaluer votre posture de sécurité des identités par rapport aux recommandations de Microsoft.
  • Microsoft Sentinel : solution SIEM cloud native qui fournit une analytique intelligente de la sécurité pour l’ensemble de votre entreprise, optimisée par l’IA.
  • Plan de protection standard Azure Distributed Denial Of Service (DDoS) (facultatif) : fournit des fonctionnalités d’atténuation DDoS améliorées pour se défendre contre les attaques DDoS.
  • Pare-feu Azure : un service de sécurité de pare-feu de réseau intelligent et natif cloud qui fournit une protection contre les menaces pour vos charges de travail cloud s’exécutant dans Azure.
  • Web Application Firewall : un service natif cloud qui protège les applications web contre les techniques courantes de piratage web telles que l’injection de SQL et les vulnérabilités de sécurité telles que le scripting inter-site.
  • Privileged Identity Management (PIM) : Un service dans Microsoft Entra ID qui vous permet de gérer, contrôler et superviser l’accès aux ressources importantes de votre organisation.
  • Microsoft Intune : un service cloud qui se concentre sur la gestion des périphériques mobiles et la gestion des applications mobiles.

Les sections suivantes illustrent comment Tailwind Traders peut atteindre une ligne de base de sécurité dans la pratique.

Implémentation d’une ligne de base pour le contrôle d’accès

Le CISO souhaite atteindre les objectifs suivants à partir de la narration client :

  • Permettre aux personnes de faire leur travail en toute sécurité à partir de n’importe où
  • Réduire les dommages opérationnels d’un incident de sécurité majeur

Si ces objectifs s’alignent sur votre organisation, ou si vous avez d’autres pilotes pour augmenter les contrôles d’accès, tenez compte des tâches suivantes dans votre ligne de base de sécurité :

  • Implémenter l’ID Microsoft Entra pour activer les informations d’identification fortes
  • Ajoutez Intune pour la sécurité des appareils
  • Ajoutez PIM pour les comptes privilégiés pour vous rapprocher d’un monde Confiance Zéro
  • Implémentez une segmentation du réseau utile à l’aide d’un modèle en étoile avec des contrôles « break-glass » et des contrôles de pare-feu entre les zones d’atterrissage d’application
  • Ajoutez Defender pour le cloud et Azure Policy pour surveiller le respect de ces exigences

Implémentation d’une ligne de base pour la conformité

Le CISO souhaite atteindre l’objectif suivant à partir de la narration client :

  • Remplir de manière proactive les exigences réglementaires et de conformité

Si cet objectif s’aligne sur votre organisation, ou si vous avez d’autres pilotes pour augmenter les contrôles d’accès, tenez compte de la tâche suivante dans votre ligne de base de sécurité :

  • Ajoutez PIM pour les comptes privilégiés pour vous rapprocher d’un monde Confiance Zéro

Implémentation d’une ligne de base pour identifier et protéger les données métiers sensibles

Le CISO souhaite atteindre les objectifs suivants à partir de la narration client :

  • Identifier et protéger les données métiers sensibles
  • Moderniser rapidement le programme de sécurité existant

Si ces objectifs s’alignent sur votre organisation, ou si vous avez d’autres pilotes pour augmenter les contrôles d’accès, tenez compte des tâches suivantes dans votre ligne de base de sécurité :

  • Ajoutez Defender pour le cloud pour obtenir une visibilité et un contrôle centralisés et intégrés sur une empreinte numérique étendue, et pour connaître les expositions existantes
  • Ajoutez Microsoft Sentinel pour automatiser les processus qui sont reproductibles afin de libérer du temps pour l’équipe de sécurité

Une fois les outils appropriés en place, assurez-vous que vous disposez de bonnes stratégies en place pour appliquer l’utilisation appropriée de ces outils. Plusieurs stratégies s’appliquent aux zones d’atterrissage en ligne et connectées à l’entreprise :

  • Appliquer un accès sécurisé, tels que HTTPS, aux comptes de stockage : configurez votre compte de stockage pour accepter les requêtes provenant de connexions sécurisées uniquement en définissant la propriété Transfert sécurisé requis pour le compte de stockage. Lorsque vous avez besoin d’un transfert sécurisé, toutes les requêtes qui proviennent d’une connexion non sécurisée sont rejetées.
  • Appliquer un audit d’Azure SQL Database : suivez des événements de base de données et consignez-les dans un journal d’audit sur votre compte de stockage Azure, dans l’espace de travail Log Analytics ou dans Event Hubs.
  • Appliquer un chiffrement pour Azure SQL Database : Transparent Data Encryption est une technologie de chiffrement transparent des données qui contribue à protéger SQL Database, Azure SQL Managed Instance et Azure Synapse Analytics contre les menaces d’activités hors connexion malveillantes en chiffrant les données au repos.
  • Empêcher le transfert IP : le transfert IP permet à une interface réseau attachée à une machine virtuelle de recevoir le trafic réseau non destiné à l’une des adresses IP affectées à l’une des configurations IP de l’interface réseau. Vous pouvez également envoyer le trafic réseau avec une adresse IP source différente de celle assignée à l’une des configurations IP d’une interface réseau. Le paramètre doit être activé pour chaque interface réseau qui est attachée à la machine virtuelle recevant le trafic que la machine virtuelle doit transférer.
  • Vérifier que des sous-réseaux sont associés aux groupes de sécurité réseau (NSG) : utilisez un groupe de sécurité réseau Azure pour filtrer le trafic réseau vers et depuis des ressources Azure dans un réseau virtuel Azure. Un NSG contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou sortant vers/depuis plusieurs types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.