Sécuriser les applications avec Confiance nulle

Background

Pour tirer pleinement parti des applications et des services cloud, les organisations doivent trouver le bon équilibre entre garantir l’accès et garder le contrôle de façon à protéger les données critiques consultées à partir d’applications et d’API.

Le modèle Confiance nulle permet aux organisations de s’assurer que les applications et les données qu’elles contiennent sont protégées par :

• L’application de contrôles et de technologies pour découvrir l’informatique fantôme.
• La vérification des autorisations appropriées dans l’application.
• Limiter l'accès en fonction de l'analyse en temps réel.
• La surveillance de tout comportement anormal.
• Le contrôle des actions de l’utilisateur.
• La validation des options de configuration sécurisée.

Objectifs de déploiement des applications Confiance nulle

Guide de déploiement de l’application Confiance nulle

Ce guide vous guide tout au long des étapes requises pour sécuriser les applications et les API en suivant les principes d’une infrastructure de sécurité Confiance nulle. Notre approche est alignée sur ces trois principes Confiance nulle :

1. Vérifier explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l'identité de l'utilisateur, l'emplacement, l'état du dispositif, le service ou la charge de travail, la classification des données et les anomalies.

2. Utiliser l'accès à privilège minimum. Limitez l’accès utilisateur avec l’accès « juste à temps et juste suffisant » (JIT/JEA), les stratégies adaptatives basées sur les risques et la protection des données pour protéger les données et la productivité.

3. Supposer une violation. Réduisez le périmètre d'impact en cas de violation et empêchez le mouvement latéral en segmentant l'accès selon le réseau, l'utilisateur, les appareils et la conscience des applications. Vérifier que toutes les sessions sont chiffrées de bout en bout. Utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Chapitre I Obtenez une visibilité des activités et des données liées à vos applications en les connectant via des API.

La majorité des activités des utilisateurs au sein d’une organisation proviennent des applications cloud et des ressources associées. La plupart des applications cloud principales fournissent une API pour la consommation d’informations sur les locataires et la réception d’actions de gouvernance correspondantes. Utilisez ces intégrations pour surveiller et alerter quand des menaces et des anomalies se produisent dans votre environnement.

Effectuez les étapes suivantes :

1. Adoptez Microsoft Defender for Cloud Apps, qui fonctionne avec les services pour optimiser la visibilité, les actions de gouvernance et l’utilisation.

2. Passez en revue les applications qui peuvent être connectées avec l’intégration de l’API Defender pour le cloud Apps, et connectez les applications dont vous avez besoin. Utilisez cette visibilité approfondie pour analyser les activités, les fichiers et les comptes pour les applications de votre environnement cloud.

II. Découvrez et contrôlez l’utilisation de l’informatique fantôme

En moyenne, ce sont 1 000 applications distinctes qui sont utilisées au sein de votre organisation. 80 % des employés utilisent des applications non approuvées que personne n’a révisées et qui peuvent ne pas être conformes à vos stratégies de sécurité et de conformité. Et comme vos employés peuvent accéder à vos ressources et applications à l’extérieur de votre réseau d’entreprise, définir des règles et des stratégies sur vos pare-feu ne suffit plus.

Concentrez-vous sur l’identification de modèles d’utilisation des applications, l’évaluation des niveaux de risque et de l’adéquation des applications pour l’entreprise, la prévention de la fuite de données vers des applications non conformes et la limitation de l’accès à des données régulées.

Effectuez les étapes suivantes :

1. Configurez Cloud Discovery, qui analyse vos journaux de trafic sur le catalogue Microsoft Defender for Cloud Apps de plus de 16 000 applications cloud. Les applications sont classées et évaluées sur la base de plus de 90 facteurs de risque.

2. Découvrez et identifiez l’informatique fantôme pour déterminer quelles applications sont utilisées, en suivant l’une des trois options suivantes :

   1. Intégrez-vous à Microsoft Defender pour point de terminaison pour commencer immédiatement à collecter des données sur le trafic cloud sur vos appareils Windows 10, sur et hors de votre réseau.

   2. Déployez le collecteur de journaux Defender for Cloud Apps sur vos pare-feu et autres proxys pour collecter les données de vos terminaux et les envoyer à Defender for Cloud Apps pour analyse.

   3. Intégrer Microsoft Defender pour les applications Cloud à votre proxy.

3. Identifiez le niveau de risque de certaines applications :

   1. Sur le portail Defender pour le cloud Apps, sous Découvrir, cliquez sur Applications découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque qui vous intéressent.

   2. Explorez une application pour mieux évaluer sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher des détails sur les facteurs de risque de sécurité de l’application.

4. Évaluez la conformité et analysez l’utilisation :

   1. Sur le portail Defender pour le cloud Apps, sous Découvrir, cliquez sur Applications découvertes. Filtrez la liste des applications découvertes dans votre organisation selon les facteurs de risque de conformité qui vous intéressent. Par exemple, utilisez la requête suggérée pour filtrer les applications non conformes.

   2. Explorez une application pour en savoir plus sur sa conformité en cliquant sur le nom de l’application, puis sur l’onglet Infos pour afficher les détails sur les facteurs de risque de conformité de l’application.

   3. Sur le portail Defender pour le cloud Apps, sous Découvrir, cliquez sur Applications découvertes, puis approfondissez en cliquant sur l'application spécifique que vous souhaitez étudier. L’onglet Utilisation vous permet de savoir combien d’utilisateurs actifs se servent de l’application et la quantité de trafic qu’elle génère. Si vous voulez savoir précisément qui utilise l’application, vous pouvez faire une exploration plus poussée en cliquant sur Nombre total d’utilisateurs actifs.

   4. Explorez plus en détail les applications découvertes. Affichez les sous-domaines et les ressources pour en savoir plus sur les activités spécifiques, l’accès aux données et l’utilisation des ressources dans vos services cloud.

5. Gérer vos applications :

   1. Créez de nouvelles balises d’application personnalisées afin de classer chaque application en fonction de son état ou de sa justification au sein de l’entreprise. Ces balises peuvent ensuite être utilisées à des fins d’analyse spécifiques.

   2. Les balises d'application peuvent être gérées dans les paramètres Cloud Discovery sous Balises d'application. Ces balises peuvent ensuite être utilisées pour filtrer le contenu des pages Cloud Discovery et créer des stratégies.

   3. Gérez les applications découvertes à l’aide de Microsoft Entra Gallery. Pour les applications qui apparaissent déjà dans Microsoft Entra Gallery, appliquez l’authentification unique et gérez l’application avec Microsoft Entra ID. Pour ce faire, sur la ligne où l’application appropriée s’affiche, choisissez les trois points à la fin de la ligne, puis choisissez ApplicationManage avec Microsoft Entra ID.

III. Protégez automatiquement les informations et les activités sensibles en mettant en œuvre des stratégies.

Defender pour le cloud Apps vous permet de définir la façon dont vous souhaitez que vos utilisateurs se comportent dans le cloud. Pour ce faire, vous pouvez créer des stratégies. Il existe de nombreux types : accès, activité, détection d’anomalies, découverte d’applications, stratégies de fichiers, détection d’anomalies pour la découverte Cloud, et stratégies de session.

Les stratégies permettent de détecter des comportements à risques, des violations, ou des points de données et des activités suspectes dans votre environnement cloud. Elles permettent de surveiller les tendances, voir les menaces de sécurité et générer des rapports et des alertes personnalisés.

Effectuez les étapes suivantes :

1. Utilisez des stratégies prêtes à l’emploi qui ont déjà été testées pour un grand nombre d’activités et de fichiers. Mettez en œuvre des actions de gouvernance telles que la révocation des autorisations et la suspension des utilisateurs, la mise en quarantaine des fichiers et l’application d’étiquettes de confidentialité.

2. Créez de nouvelles stratégies qui Microsoft Defender for Cloud Apps vous suggèrent.

3. Configurez des stratégies pour surveiller les applications d’informatique fantôme et garantir un contrôle :

   1. Créez une stratégie de découverte d’application qui vous informe qu’un pic de téléchargements ou de trafic a été atteint par une application dont vous vous souciez. Activez les fonctions Comportement anormal par des utilisateurs découverts, Vérification de conformité des applications de stockage cloud et Nouvelle application à risques.

   2. Conservez les stratégies de mise à jour et utilisez le tableau de bord Cloud Discovery. Consultez les (nouvelles) applications que vos utilisateurs utilisent, ainsi que leurs modèles d’utilisation et de comportement.

4. Contrôlez les éléments approuvés et bloquez les applications indésirables à l’aide de cette option :

   1. Connectez les applications via l’API pour une surveillance continue.

5. Protégez les applications à l’aide de Conditional Access App Control et Microsoft Defender for Cloud Apps.

IV. Déployez des un accès adaptatif et des contrôles de session pour toutes les applications

Une fois que vous avez accompli vos trois objectifs initiaux, vous pouvez vous concentrer sur des objectifs supplémentaires, par exemple pour vous assurer que toutes les applications utilisent un accès à privilèges minimum avec une vérification continue. L’adaptation et la restriction dynamiques des accès en cas de modification des risques de session vous permettent de bloquer les violations et les fuites en temps réel, avant que les employés ne placent vos données et votre organisation en péril.

Étape à suivre

• Activez la surveillance et le contrôle en temps réel de l’accès à n’importe quelle application web, en fonction de l’utilisateur, de l’emplacement, de l’appareil et de l’application. Par exemple, vous pouvez créer des stratégies pour protéger les téléchargements de contenu sensible avec des étiquettes de sensibilité lors de l’utilisation d’un appareil non géré. Les fichiers peuvent également être analysés au moment du chargement pour détecter les programmes malveillants potentiels et les empêcher de pénétrer dans un environnement cloud sensible.

V. Renforcez la protection contre les menaces informatiques et les applications non autorisées

Les utilisateurs malveillants ont développé des outils, des techniques et des procédures uniques et dédiés d’attaque, qui ciblent le cloud afin de franchir les défenses et d’accéder à des informations sensibles et critiques. Ils utilisent des tactiques telles que des autorisations de consentement OAuth illicites, des ransomwares ciblant le cloud, et des compromis d’identifications dans le cloud.

Les organisations peuvent répondre à ces menaces à l’aide d’outils disponibles dans Defender pour le cloud Apps, tels que l’analyse comportementale des utilisateurs et des entités (UEBA) et la détection d’anomalies, la protection contre les programmes malveillants, la protection des applications OAuth, l’enquête sur les incidents, et la correction. Defender pour les applications Cloud cible de nombreuses anomalies de sécurité prédéfinies, telles que le voyage impossible, les règles de boîte de réception suspectes et les rançongiciels.

Les différentes détections sont développées en tenant compte des équipes des opérations de sécurité et visent à concentrer les alertes sur les véritables indicateurs de compromission, tout en permettant une investigation et une remédiation pilotées par le renseignement sur les menaces.

Effectuez les étapes suivantes :

• Bénéficier des fonctionnalités UEBA Defender pour le cloud Apps et d'apprentissage machine (ML) qui sont automatiquement activées dès la sortie de la boîte pour détecter immédiatement les menaces et exécuter une détection avancée des menaces dans l'ensemble de votre environnement cloud.

• Ajustez et étendez les stratégies de détection des anomalies.

VI. Évaluez la position de sécurité de vos environnements cloud

Au-delà des applications SaaS, les organisations sont massivement impliquées dans les services IaaS et PaaS. Defender pour le cloud Apps permet à votre entreprise d'évaluer et de renforcer sa posture et ses capacités de sécurité pour ces services en obtenant une visibilité sur la configuration de la sécurité et l'état de la conformité sur l'ensemble de vos plateformes de cloud public. Cela permet une enquête basée sur les risques de l’état de la configuration de la plateforme dans son ensemble.

Effectuez les étapes suivantes :

1. Utilisez Defender pour le cloud Apps pour surveiller les ressources, les abonnements, les recommandations et les niveaux de gravité correspondants dans vos environnements cloud.

2. Limitez le risque d'une violation de sécurité en conservant les plateformes cloud, telles que Microsoft Azure, AWS et GCP, conformes à votre stratégie de configuration organisationnelle et à la conformité réglementaire, en suivant le benchmark CIS ou les meilleures pratiques du fournisseur pour la configuration de la sécurité.

3. À l’aide de Defender pour le cloud Apps, le tableau de bord de configuration de la sécurité peut être utilisé pour mettre en œuvre des actions correctives afin de réduire le risque.

Produits abordés dans ce guide

Microsoft Azure

Microsoft Entra ID

Microsoft 365

Microsoft Defender for Cloud Apps

Découverte du cloud

Microsoft Intune (inclut Microsoft Intune et Configuration Manager)

Gestion des applications mobiles

Conclusion

Quel que soit l’emplacement où réside la ressource ou l’application cloud, Confiance nulle principes permettent de s’assurer que vos environnements et données cloud sont protégés. Pour plus d’informations sur ces processus ou pour obtenir de l’aide pour ces implémentations, contactez l’équipe responsable de la réussite de vos clients.

La série de guides de déploiement Confiance nulle