Configurer la sécurité sur Azure en seulement 10 minutes ? Et pourquoi pas en 9 minutes ? Cette course au temps ne veut rien dire ! La sécurité est une tâche constante, et passe presque toujours par différentes phases, comme la découverte, l’analyse et la configuration. Néanmoins, une approche directe est malgré tout possible sur certains éléments élémentaires de sécurité.
Microsoft le rappelle très régulièrement, le premier risque identifié provient d’identités mal sécurisées :
Chaque jour, plus de 300 millions de tentatives de connexion frauduleuses à nos services Cloud sont enregistrées. Les cyberattaques ne ralentissent pas, et il convient de noter que de nombreuses attaques ont réussi sans l’utilisation de technologies avancées. Il suffit d’une seule d’identité compromise … pour provoquer une violation de données. Cela montre à quel point il est essentiel de garantir la sécurité des mots de passe et une authentification forte.
Microsoft Blog
Par où commençons-nous ?
Déjà par lire mon article sur la sécurité, accessible juste ici ????. Plus sérieusement, commencer par assimiler quelques notions, comme la défense en profondeur ou le Zéro Trust.
Principe de sécurité en couche
Comme un oignon, chaque couche de sécurité apporte des mesures, passives ou actives, empêchant ou retardant l’accès à la donnée, élément critique de toute entreprise :
Qu’est-ce que TD SYNNEX peut faire pour ma sécurité ?
Travaillant chez TD SYNNEX depuis plusieurs années, j’accompagne des partenaires IT dans la conception d’architecture sur Azure. La collaboration entre Microsoft et TD SYNNEX est très forte, nous distribuons tous les produits Cloud de Microsoft via une marketplace.
Disposant de compétences techniques en interne, nous développons aussi nos propres solutions pour faciliter et automatiser toujours plus la mise en place de solutions innovantes sur Azure.
Concernant la sécurité, TD SYNNEX n’est pas en reste et propose une nouvelle solution appelée SMB Fraud Défense. Il s’agit d’une solution, dite Click-to-Run, donc prête à l’emploi : quelques clics suffisent pour mettre en place la solution sur un tenant Azure.
Que fait exactement la solution SMB Fraud Defense ?
Voyez un tenant Microsoft comme une maison : les identités et les périphériques sont les portes et les fenêtres. Il est donc évident que ces points des entrées à la donnée :
Des mesures de sécurité sont nécessaires protéger la donnée. Voici une liste non exhaustive des fonctionnalités facilement activables depuis SMB Fraud Defense :
- Protection des identités Azure AD :
- Création de scénarios d’accès conditionnel avec MFA
- Restriction géographique par pays
- Blocage d’anciens protocoles d’authentification
- Gestion de l’expiration des mots de passe
- Verrouillage des identités intelligent
- Protection des ressources Azure :
- Mise en place de budgets et notifications
- Restrictions géographiques
- Restrictions de familles de machines virtuelles
Combien coûte SMB Fraud Defense ?
Rien du tout ????, aucun frais à prévoir du côté de TD SYNNEX ou de Microsoft.
Comment procède-t-on pour déployer SMB Fraud Defense ?
Quelques étapes sont nécessaires et sont décrites dans les lignes de cet article, rien de plus.
Etape 0 – Rappel des prérequis :
Avant tout, le déploiement d’une solution Click-to-Run nécessite la mise en place d’un partenariat entre un vous et TD SYNNEX. En effet, ces solutions ne sont disponibles à l’achat qu’uniquement depuis notre Marketplace. Pour cela, cliquez ici.
Le second prérequis est de disposer d’un tenant Azure et d’une souscription Azure Plan acheté via la Marketplace de TD SYNNEX.
Etape I – Achat de la solution Click-to-Run SMB Fraud Defense :
Comme indiqué plus haut, SMB Fraud Defense est gratuit mais demande malgré tout par un provisionnement par depuis la Marketplace de TD SYNNEX.
Une fois votre Azure Plan en place, cliquez sur Modifier :
Parcourez la liste des solutions Click-to-Run disponibles à l’installation, et cliquez sur Acheter SMB Fraud Defense :
Note : La mise en place de la solution vous alerte sur l’incompatibilité avec des solutions MFA externe à Azure
Une fois que vous avez accepté ce message, la plate-forme vérifie la bonne configuration initiale du tenant :
Etape II – Déploiement de la solution Click-to-Run SMB Fraud Defense :
Juste avant de déployer SMB Fraud Defense, il est nécessaire de préparer 3 conditions sur le tenant cible, car la solution analyse les 3 points suivants :
- Paramètre de sécurité par défaut d’Azure
- Gestionnaire de coûts Azure
- Souscription d’une licence Azure AD Premium (Plan 1 ou Plan 2)
Voici un détail point par point pour réussir la préparation et leur statut attendu :
Paramètre de sécurité par défaut d’Azure – désactivé :
La mise en place d’une sécurité personnalisée nécessite la désactivation de la sécurité par défaut d’Azure. Voici ce que cette dernière contient.
Sa désactivation est donc possible via ce menu :
Mais elle est aussi désactivable via le portail d’Azure AD :
Désactivez alors celle-ci en spécifiant un motif justifiant l’opération :
Gestionnaire de coûts Azure – Activé :
La mise en place de budget et d’alerte sur la consommation Azure nécessite l’activation du gestionnaire de coûts Azure.
En effet, la mise en place d’une souscription Azure Plan via un partenaire CSP ne l’active pas par défaut. Il est donc nécessaire de vous rapprocher de votre fournisseur CSP pour l’activation du Gestionnaire de coûts.
Souscription d’une licence Azure AD Premium Plan 1 ou Plan 2 – Souscrite :
La mise en place de l’accès conditionnel sur Azure AD nécessite de disposer d’une licence Azure AD Premium Plan 1 ou Plan 2 :
Pour un déploiement optimal, il est conseillé d’en disposer pour profiter de l’ensemble des avancées de SMB Fraud Defense, comme l’accès conditionnel avec prise en compte de l’évaluation du risque à la connexion.
Vous pouvez activer une licence Azure AD Premium Plan 2 en version d’essai directement depuis le portail Azure AD :
Une fois ces 3 points corrects sur votre environnement, vous pouvez commencer la configuration sur chacun des onglets :
Etape III – Configuration de la solution Click-to-Run SMB Fraud Defense :
Cette configuration est divisée en 5 onglets :
- Localisation
- Budget
- Accès conditionnel
- Méthodes d’authentification
- Polices
Note : cliquez sur Déployer à la fin, une fois seulement tous les onglets configurés.
A / Localisation
Des informations sont nécessaires pour le bon déploiement des polices Azure. Pour cela, choisissez une région Azure dans le menu déroulant et spécifiez le nom d’un groupe de ressources :
B/ Budget
La mise en place d’un budget est une bonne approche pour suivre la consommation Azure en fonction de l’estimation faite au début du projet :
La mise en place d’alertes l’est tout autant pour éviter les dépassements et donc les factures salées :
C/ Accès conditionnel
La gestion identitaire d’Azure passe par Azure Active Directory (Azure AD). La sécurisation d’environnement Azure passe donc avant tout par celui-ci.
Vous pouvez contrôler l’accès à vos applications cloud basées sur l’emplacement réseau d’un utilisateur. La condition d’emplacement est couramment utilisée pour bloquer l’accès à partir des pays/régions d’où votre organisation sait que le trafic ne doit pas provenir :
La MFA propose donc d’aller plus loin que le couple classique identifiant / mot de passe. L’authentification multifacteur d’Azure AD impose de mettre en place les 3 méthodes d’authentification suivantes :
- Un élément que vous connaissez (ex. mot de passe)
- Un élément que vous possédez (ex. un appareil de confiance, comme un smartphone)
- Un élément qui vous définit : (ex. identifiant biométrique, tel qu’une empreinte digitale)
Les périphériques et les applications accédant à vos données se doivent d’être protégés.
Il est toujours utile de joindre les périphériques à Azure AD. Comme pour un Active Directory, la connaissance de ces derniers apporte une meilleure maitrise de la sécurité lors de la création de règles de sécurité :
N’ayant pas de poste joint à Azure AD sur cet environnement de démo, je n’active donc pas ces 2 options dans la configuration.
D/ Méthodes d’authentification
Toujours sur la protection des identités, certaines options supplémentaires sont encore configurables :
Le verrouillage intelligent empêche les attaquants de pénétrer dans le système, tout en permettant à vos utilisateurs d’accéder à leur compte et de travailler :
Le déploiement local de Protection de mots de passe d’Azure AD utilise les mêmes listes globales et personnalisées de mots de passe interdits qui sont stockées dans Azure AD, et effectue les mêmes vérifications des modifications de mot de passe localement :
Comme annoncé avant, la validation en deux étapes permet de renforcer la sécurité de votre compte Microsoft en exigeant une deuxième étape de validation lorsque vous vous connectez.
En plus de votre mot de passe, vous pouvez générer un code par l’application Microsoft Authenticator sur votre téléphone :
Autrement, le standard de sécurité FIDO2 répond à ce problème en s’appuyant là aussi sur une authentification à deux facteurs basés sur l’utilisation de clés de sécurité (clés FIDO2) et de tokens (jetons d’authentification) :
E/ Polices
Les polices d’Azure sont un moyen de contrôler les déploiements des ressources. La solution SMB Fraud Defense vous propose de restreindre les SKUs de familles de machines virtuelles. Cela bloque alors les SKUs les plus coûteux :
Azure offre à ses clients la flexibilité de déployer des applications là où ils en ont besoin. Une région Azure a une tarification et une disponibilité de service distinctes.
Ici, Il est vous possible de restreindre le déploiement sur certaines régions Azure, mais aussi d’activer d’autres fonctionnalités de sécurité :
Tous les onglets ont maintenant été passés en revue, il ne vous reste qu’à déployer la configuration.
Etape IV – Déploiement de la solution Click-to-Run SMB Fraud Defense :
Pour cela, cliquez ici pour lancer le déploiement et attendez quelques minutes :
Une fois le déploiement terminé, un email de notification est également envoyé, et le status de la solution C2R change :
Etape V – Contrôle du déploiement sur le tenant :
Le déploiement est maintenant terminé, une vérification sur le tenant permet de s’assurer la présence de toutes les options choisies durant la phase de la configuration.
A / Localisation
Consultez votre portail Azure et vérifiez la présence du groupe de ressources sur votre souscription Azure Plan :
B/ Budget
Toujours sur la souscription Azure, contrôler l’ajout du budget reprenant le montant configuré :
Cliquez dessus et éditez le pour vérifier la présence des 2 alertes :
C/ Accès conditionnel
La configuration de la restriction géographique s’effectue depuis le portail Azure AD. Consultez la sécurité pour voir l’apparition du pays sélectionné dans les zones de confiance :
Toujours dans Azure AD, chaque option activée a généré la création d’une ou plusieurs polices d’accès conditionnel, toujours en mode audit au moment du déploiement :
D/ Méthodes d’authentification
Le contrôle de la désactivation de l’expiration du mot de passe se fait via le portail Microsoft 365 :
Quant à lui, le contrôle du seuil de verrouillage du compte se fait via le portail Azure AD :
La configuration des deux méthodes MFA d’authentification se retrouve juste ici :
E/ Polices
Du côté d’Azure, contrôlez les polices déployées :
Un clic sur une police affiche le détail de la configuration, comme la région autorisée ou les SKUs interdits :
Conclusion
Alors, finalement nous ne sommes pas si loin des 10 minutes ???? ?
Plus sérieusement, je trouve que ce type de solution est une bonne approche quand on voit l’éparpillement des principales mesures de sécurité, qui sont maintenant indispensables pour sécuriser au minimum un tenant Microsoft.
SMB Fraud Defense de TD SYNNEX doit être perçue comme un point de départ à une configuration sécuritaire, et facile son automatisation lors de la création de tenants.
Enfin, il faut garder en tête que ce type de solution Click-to-Run évolue sans cesse chez TD SYNNEX, grâce aux feedbacks et aux évolutions du Cloud Microsoft ????