Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Remarque
Le benchmark de sécurité Azure le plus up-toest disponible ici.
L’accès privilégié couvre les contrôles pour protéger l’accès privilégié à votre locataire et vos ressources Azure. Cela inclut une gamme de contrôles pour protéger votre modèle d’administration, vos comptes administratifs et vos stations de travail d’accès privilégié contre les risques délibérés et involontaires.
Pour afficher la Azure Policy intégrée applicable, consultez les détails de l’initiative intégrée de conformité réglementaire Azure Security Benchmark : Accès privilégié
PA-1 : Protéger et limiter les utilisateurs hautement privilégiés
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-1 | 4.3, 4.8 | AC-2 |
Limitez le nombre de comptes d’utilisateurs hautement privilégiés et protégez ces comptes à un niveau élevé. Les rôles intégrés les plus critiques dans Azure AD sont administrateur général et administrateur de rôle privilégié, car les utilisateurs affectés à ces deux rôles peuvent déléguer des rôles d’administrateur. Avec ces privilèges, les utilisateurs peuvent lire et modifier directement ou indirectement chaque ressource dans votre environnement Azure :
Administrateur général : les utilisateurs disposant de ce rôle ont accès à toutes les fonctionnalités d’administration dans Azure AD, ainsi qu’aux services qui utilisent des identités Azure AD.
Administrateur de rôle privilégié : les utilisateurs disposant de ce rôle peuvent gérer les attributions de rôles dans Azure AD, ainsi que dans Azure AD Privileged Identity Management (PIM). En outre, ce rôle permet la gestion de tous les aspects de PIM et d’unités administratives.
Remarque : Vous pouvez avoir d’autres rôles critiques qui doivent être régis si vous utilisez des rôles personnalisés avec certaines autorisations privilégiées attribuées. Vous pouvez également appliquer des contrôles similaires au compte d’administrateur des ressources métier critiques.
Vous pouvez activer l'accès privilégié juste à temps (JIT) aux ressources Azure et à Azure AD en utilisant Azure AD Privileged Identity Management (PIM). JIT accorde des autorisations temporaires pour effectuer des tâches privilégiées uniquement lorsque les utilisateurs en ont besoin. PIM peut également générer des alertes de sécurité en cas d’activité suspecte ou non sécurisée dans votre organisation Azure AD.
Utiliser des alertes de sécurité Azure Privileged Identity Management
Sécurisation de l’accès privilégié pour les déploiements hybrides et cloud dans Azure AD
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-2 : Restreindre l’accès administratif aux systèmes critiques pour l’entreprise
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-2 | 13.2, 2.10 | AC-2, SC-3, SC-7 |
Isolez l'accès aux systèmes critiques de l'entreprise en limitant les comptes qui bénéficient d'un accès privilégié aux abonnements et aux groupes de gestion auxquels ils appartiennent. Veillez également à restreindre l’accès aux systèmes de gestion, d’identité et de sécurité qui disposent d’un accès administratif à vos ressources critiques pour l’entreprise, tels que les contrôleurs de domaine Active Directory (DCS), les outils de sécurité et les outils de gestion des systèmes avec des agents installés sur des systèmes critiques pour l’entreprise. Les attaquants qui compromissaient ces systèmes de gestion et de sécurité peuvent immédiatement les armer pour compromettre les ressources critiques de l’entreprise.
Tous les types de contrôles d’accès doivent être alignés sur votre stratégie de segmentation d’entreprise pour garantir un contrôle d’accès cohérent.
Veillez à affecter des comptes privilégiés distincts des comptes d’utilisateur standard utilisés pour les tâches de messagerie, de navigation et de productivité.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-3 : Réviser et harmoniser régulièrement l’accès utilisateur
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-3 | 4.1, 16.9, 16.10 | AC-2 |
Passez en revue régulièrement les comptes d’utilisateur et l’attribution d’accès pour vous assurer que les comptes et leur niveau d’accès sont valides. Vous pouvez utiliser les révisions d’accès Azure AD pour passer en revue les appartenances aux groupes, l’accès aux applications d’entreprise et les attributions de rôles. Les rapports Azure AD peuvent fournir des journaux d’activité pour vous aider à découvrir les comptes obsolètes. Vous pouvez également utiliser Azure AD Privileged Identity Management pour créer un flux de travail de rapport de révision d’accès qui facilite le processus de révision. En outre, Azure Privileged Identity Management peut être configuré pour alerter lorsqu’un nombre excessif de comptes d’administrateur est créé et pour identifier les comptes d’administrateur obsolètes ou mal configurés.
Remarque : Certains services Azure prennent en charge les utilisateurs et rôles locaux qui ne sont pas gérés via Azure AD. Vous devez gérer ces utilisateurs séparément.
Créer une révision d’accès des rôles de ressources Azure dans Privileged Identity Management(PIM)
Comment utiliser les révisions d’identité et d’accès Azure AD
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-4 : Configurer l’accès d’urgence dans Azure AD
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-4 | 16 | AC-2, CP-2 |
Pour éviter d’être verrouillé accidentellement hors de votre organisation Azure AD, configurez un compte d’accès d’urgence pour l’accès lorsque des comptes administratifs normaux ne peuvent pas être utilisés. Les comptes d’accès d’urgence sont généralement hautement privilégiés et ne doivent pas être attribués à des personnes spécifiques. Les comptes d’accès d’urgence sont réservés aux situations d'urgence ou de « dernière chance » où les comptes administratifs habituels ne peuvent pas être utilisés. Vous devez vous assurer que les informations d’identification (telles que le mot de passe, le certificat ou la carte à puce) pour les comptes d’accès d’urgence sont conservées et connues uniquement des personnes autorisées à les utiliser uniquement en cas d’urgence.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-5 : Automatiser la gestion des droits d’utilisation
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-5 | 16 | AC-2, AC-5, PM-10 |
Utilisez les fonctionnalités de gestion des droits d’utilisation Azure AD pour automatiser les flux de travail de demande d’accès, notamment les affectations d’accès, les révisions et l’expiration. L’approbation à deux ou plusieurs étapes est également prise en charge.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-6 : Utiliser des stations de travail à accès privilégié
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-6 | 4.6, 11.6, 12.12 | AC-2, SC-3, SC-7 |
Les stations de travail sécurisées et isolées sont extrêmement importantes pour la sécurité des rôles sensibles tels que l’administrateur, le développeur et l’opérateur de service critique. Utilisez des stations de travail utilisateur hautement sécurisées et/ou Azure Bastion pour les tâches d’administration. Utilisez Azure Active Directory, Microsoft Defender pour Identity et/ou Microsoft Intune pour déployer une station de travail utilisateur sécurisée et gérée pour les tâches administratives. Les stations de travail sécurisées peuvent être gérées de manière centralisée pour appliquer la configuration sécurisée, notamment l’authentification forte, les bases de référence logicielles et matérielles, ainsi que l’accès logique et réseau restreint.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-7 : Suivre l'administration minimale nécessaire (principe du moindre privilège)
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-7 | 14.6 | AC-2, AC-3, SC-3 |
Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet de gérer l’accès aux ressources Azure via des attributions de rôles. Vous pouvez attribuer ces rôles aux utilisateurs, aux principaux de service de groupe et aux identités managées. Il existe des rôles prédéfinis pour certaines ressources, et ces rôles peuvent être inventoriés ou interrogés par le biais d’outils tels qu’Azure CLI, Azure PowerShell et le portail Azure. Les privilèges que vous affectez aux ressources via Azure RBAC doivent toujours être limités à ce qui est requis par les rôles. Les privilèges limités complètent l’approche juste-à-temps (JIT) d’Azure AD Privileged Identity Management (PIM), et ces privilèges doivent être examinés régulièrement.
Utilisez des rôles intégrés pour allouer des autorisations et créer uniquement des rôles personnalisés si nécessaire.
Qu’est-ce que le contrôle d’accès en fonction du rôle Azure (Azure RBAC)
Comment utiliser les révisions d’identité et d’accès Azure AD
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :
PA-8 : Choisir le processus d’approbation pour le support Microsoft
| Azure ID | ID des contrôles CIS v7.1 | ID NIST SP 800-53 r4 |
|---|---|---|
| PA-8 | 16 | AC-2, AC-3, AC-4 |
Dans les scénarios de support où Microsoft a besoin d’accéder aux données client, Customer Lockbox vous permet de passer en revue et d’approuver explicitement ou de rejeter chaque demande d’accès aux données client.
Responsabilité : Client
Parties prenantes de la sécurité des clients (en savoir plus) :