10 bonnes pratiques de sécurité Microsoft Azure

10 bonnes pratiques sécurité Microsoft Azure

10 bonnes pratiques de sécurité Microsoft Azure

Actuellement numéro 2 du marché du Cloud juste derrière Amazon Web Services, le géant de Redmond continue sa stratégie de développement Cloud sous la houlette de Satya Nadella.

En effet, après le rachat de Cloudyn et encore plus récemment celui de Cycle Computing, Microsoft Azure continue de se renforcer dans l’orchestration des tâches dans le Cloud et compte faire d’Azure le service le plus complet du marché.

Mais quand il est question de Cloud, la sécurité est toujours évoquée comme principale barrière à son adoption. Les fournisseurs de Cloud ont leur part de responsabilité tout comme les utilisateurs de ses services.

Cette responsabilité en matière de sécurité dépend du type de service cloud. Le graphique suivant résume le partage de la responsabilité entre Microsoft et les entreprises :

modèle de partage de responsabilités azure

https://docs.microsoft.com/fr-fr/azure/security/security-management-and-monitoring-overview

Afin de guider les entreprises souhaitant migrer leur infrastructure vers un technologie de Cloud Microsoft Azure, nous allons évoquer 10 bonnes pratiques de sécurité à respecter.

Aucune de ces meilleures pratiques ne peut à elle seule sécuriser les systèmes correctement, il faut donc les utiliser conjointement. Comme toujours en matière de sécurité, il faut choisir les options appropriées suivant son environnement et ses besoins.

 

10 bonnes pratiques de sécurité Microsoft Azure

 

1.  Utiliser des postes de travail dédiés

Les entreprises sont souvent victimes de cyberattaques car les administrateurs travaillent en utilisant des comptes avec des droits élevés. Or ils effectuent d’autres actions qui peuvent compromettre l’intégrité du réseau : consultation de mails et navigation sur Internet par exemple.

Ces dernières sont exposées à des cyberattaques de type Malware ou Ransomware qui pourraient permettre aux hackers d’accéder à votre entreprise. Pour résoudre ce problème, Microsoft Azure a mis en place des stations de travail d’accès privilégié (Privileged Access Workstations – PAW)

Elles fournissent un système d’exploitation dédié aux tâches sensibles et protégé contre les attaques externes. La séparation de ces stations de travail et appareils utilisés au quotidien fournit une protection élevée contre les attaques par hameçonnage, les vulnérabilités du système d’exploitation et des applications.

Cette démarche s’inscrit dans les bonnes pratiques de sécurité Azure qui prônent la séparation entre les utilisateurs standards et les comptes d’administrations – qui doivent être nominatifs.

 

2.  Utiliser l’authentification multiple

Afin de sécuriser votre compte Microsoft Azure nous vous conseillons d’activer l’authentification multiple. L’authentification multiple est une méthode d’authentification qui est complémentaire au mot de passe. Elle permet d’atténuer le risque d’accès d’une personne étrangère suite à un vol de mot de passe.

Azure Multi-Factor Authentication contribue à sécuriser l’accès aux données et aux applications tout en répondant à la demande de l’utilisateur avec un processus d’authentification simple. Il fournit une authentification forte via plusieurs vérifications simples : appel téléphonique, SMS, notification sur l’application mobile. Les utilisateurs peuvent choisir la méthode qu’ils préfèrent.

 

3.  Restreindre l’accès administrateur

Il est extrêmement important de sécuriser les comptes qui peuvent gérer votre abonnement Azure. La compromission de ces comptes réduit à néant toutes les autres mesures prises pour garantir la confidentialité et l’intégrité de vos données. Les attaques internes représentent une menace pour la sécurité globale d’une organisation qui doit être prise en compte.

Il faut évaluer les tâches nécessitant des privilèges administratifs et à quelle fréquence elles doivent être réalisées pour restreindre les accès pendant les périodes où l’utilisateur effectue des tâches standards.

Microsoft Azure à mis en place un système d’administration qui permet d’éviter l’existence inutile de comptes avec des droits élevés pendant les périodes où ces droits ne sont pas nécessaires. Les comptes sont configurés pour avoir plus de droits pendant une période déterminée afin que les administrateurs puissent effectuer leurs tâches. Ces droits seront supprimés à la fin d’un service ou lorsqu’une tâche sera terminée.

Vous pouvez utiliser Privileged Identity Management pour gérer, analyser et contrôler l’accès dans votre organisation. Ces utilisateurs doivent suivre un processus d’activation et se voir accorder des droits d’administrateur pour une durée limitée.

 

4.  Restreindre l’accès utilisateur

Utiliser Azure pour les environnements de développement et les labos permet aux organisations de gagner en agilité de test et de développement en éliminant les retards dus à l’approvisionnement en matériel.

L’approche DevOps, plébiscité par les entreprises, peut exposer involontairement l’organisation à des attaques internes. En effet, en raison d’un manque de connaissance d’Azure ou de la volonté d’accélérer son adoption, les DevOps peuvent être trop permissifs en ce qui concerne l’affectation des droits. Certains utilisateurs se retrouve alors avec des droits d’accès bien supérieurs à ce qu’ils devraient avoir.

Le service Azure DevTest Labs utilise le contrôle d’accès en fonction du rôle (Role-Based Access Control – RBAC) Azure. Il permet de séparer les responsabilités au sein d’une équipe pour accorder uniquement le niveau d’accès nécessaire aux utilisateurs pour effectuer leurs tâches. Ce service est fourni avec des rôles prédéfinis (propriétaire, utilisateur de labo et collaborateur). Il est également possible d’utiliser ces rôles pour affecter des droits à des partenaires externes.

 

5.  Contrôler et limiter l’accès réseau à Microsoft Azure

Une autre bonne pratique de sécurité Microsoft Azure est la protection des systèmes qui sont accessibles sur Internet. Par défaut, pour tout déploiement d’une nouvelle machine virtuelle Windows, le port RDP est accessible à partir d’Internet ; pour une machine virtuelle Linux, le port SSH est ouvert. Il est nécessaire de prendre des mesures afin de réduire le risque d’accès non autorisé.

Microsoft Azure permet l’utilisation de groupes de sécurité réseau (Network Security Group – NSG). Lorsque vous utilisez Azure Resource Manager pour le déploiement, les NSG limitent l’accès provenant de tous les réseaux aux seuls points d’accès souhaités (RDP ou SSH).

Il est également possible de configurer un VPN de site à site à partir de votre réseau local. Un VPN de site à site étend le réseau local dans le cloud. Cela renforce l’utilisation des groupes de sécurité réseau, car il est possible de les modifier afin de ne pas autoriser les accès à partir de points situés hors du réseau local. Il est recommandé d’imposer une connexion au réseau Azure via VPN pour l’administration.

Enfin, il existe l’option de point à site pour les situations où l’administrateur souhaite gérer des systèmes qui n’ont pas besoin d’accéder aux ressources locales. Ces systèmes peuvent être isolés dans leur propre réseau virtuel Azure. Les administrateurs peuvent se connecter via un VPN à l’environnement hébergé par Azure à partir de leur station de travail d’administration.

 

6.  Utiliser une solution de gestion des clés

Une gestion sécurisée des clés est primordiale pour la protection des données du cloud.

Azure Key Vault permet de stocker en toute sécurité des clés de chiffrement et clés secrètes (comme des mots de passe) dans des modules de sécurité (hardware security modules – HSM). Pour renforcer cette sécurité, vous pouvez importer ou générer des clés HSM.

Microsoft traite les clés dans des modules de sécurité matériels selon la norme « FIPS 140-2 Level 2 ». Il est possible de surveiller et d’auditer l’utilisation des clés en envoyant les logs dans Azure ou dans votre système SIEM (Security Information and Event Management) pour bénéficier d’une analyse et d’une détection des menaces supplémentaires.

 

7.  Chiffrer les disques virtuels et le stockage des disques

Azure Disk Encryption élimine le risque de vol de données ou d’exposition à des accès non autorisés par le biais du déplacement d’un disque. Le disque peut être attaché à un autre système dans le but de contourner d’autres contrôles de sécurité. Disk Encryption utilise BitLocker sous Windows et DM-Crypt sous Linux pour chiffrer le système d’exploitation et les lecteurs de données. Azure Disk Encryption est intégrée à Key Vault pour contrôler et gérer les clés de chiffrement. Il est disponible pour des machines virtuelles standard et des machines virtuelles avec stockage premium.

Le chiffrement des services de stockage Azure  aide à protéger les données au repos. Il est activé au niveau du compte de stockage. Il chiffre les données dans Azure au fur et à mesure de leur écriture puis sont déchiffrées automatiquement lorsque l’utilisateur souhaite y accéder.

 

8.  Utiliser un système de gestion centralisée de la sécurité

Les serveurs doivent être surveillés lors des mises à jour correctives, de la configuration, des événements et des activités qui peuvent être considérées comme des problèmes de sécurité. Pour résoudre ces problèmes, vous pouvez utiliser Azure Security Center. Cette solution au-delà de la configuration au sein du système d’exploitation. Elle fournit également une analyse de la configuration de l’infrastructure sous-jacente, comme la configuration du réseau et l’utilisation des appliances virtuelles.

Azure Security Center évalue en continu l’état de sécurité des ressources Azure pour identifier les vulnérabilités potentielles. Ses résultats sous forme de liste de recommandations permettent de configurer correctement les contrôles de sécurité.

Voici quelques exemples :

> Approvisionnement d’un logiciel anti-programme malveillant pour identifier et supprimer les programmes malveillant
> Configuration de groupes de sécurité réseau et de règles pour contrôler le trafic vers les machines virtuelles
> Approvisionnement de pare-feu d’applications web pour protéger vos applications web contre les attaques ciblées
> Déploiement de mises à jour système manquantes
> Correction des configurations de système d’exploitation qui ne suivent pas les recommandations

 

9.  Surveiller la sécurité des systèmes d’exploitation

Dans un déploiement IaaS, l’utilisateur est toujours responsable de la gestion des systèmes d’exploitation qu’il déploie, comme tout autre serveur ou Workload de son environnement. Mise à jour corrective, sécurisation renforcée, affectation des droits et les autres activités relatives à la maintenance du système sont sous sa responsabilité. Pour les systèmes étroitement intégrés avec vos ressources locales, il peut être intéressant d’utiliser les mêmes outils et procédures qu’en local :

> Suivre les règles de sécurité du fournisseur IaaS
> Installer et gérer des logiciels anti-programme malveillant
> Installer les dernières mises à jour de sécurité
> Utiliser une solution de sauvegarde
> Utiliser une solution de détection en continu des vulnérabilités

 

10. Surveiller la sécurité des Cloud Workloads

Les applications et services sont facilement déployables dans un environnement Cloud. Azure n’échappe pas à ce besoin de flexibilité et de disponibilité des entreprises.

L’ampleur et la concentration des Cloud Workloads attirent de plus en plus les pirates informatiques. En effet, les développeurs réutilisent le code et les modèles déjà existants. De plus, ils ne connaissent pas les meilleures pratiques de sécurité des nouveaux services sur le Cloud, comme le montrait déjà notre étude sur AWS en 2011.

 

 

La meilleure façon de veiller à la sécurité des Cloud Workloads est d’utiliser une solution de surveillance en continu qui va vérifier les bonnes règles de sécurité du fournisseur IaaS. Elastic Workload Protector vérifie le respect de ces règles via une API et permet de classer le risque par criticité suivant le niveau de menace.

Cette liste, non-exhaustive des bonnes pratiques de sécurité Microsoft Azure, est une base solide pour mettre en place une politique de sécurité efficace. Comme on a pu le voir, les points de contrôles sont nombreux et divers. Pour répondre aux besoins de sécurisation d’un environnement en évolution constante, il est nécessaire de disposer d’une solution de surveillance en continue. À l’heure où plus de 50 nouvelles vulnérabilités sont découvertes chaque jour en moyenne et où les erreurs de configurations sont récurrentes, les entreprises doivent privilégier la sécurité préventive.

Les experts sécurité de SecludIT oeuvrent dans ce sens en accompagnant les entreprises souhaitant migrer leur infrastructure informatique dans le Cloud.

Nous offrons 14 jours de test pour surveiller la sécurité de votre environnement Cloud et détecter toutes vos vulnérabilités.

 

Leave a Reply