Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure
Office 365
Idées de solution
Cet article présente une idée de solution. Votre architecte cloud peut s’appuyer sur ces conseils pour visualiser les principaux composants d’une implémentation typique de cette architecture. Utilisez cet article comme point de départ pour concevoir une solution bien conçue qui répond aux exigences spécifiques de votre charge de travail.
Cet article présente comment schématiser l’environnement informatique central de votre organisation et créer une carte des menaces. Ces schémas sont des outils précieux pour planifier et construire une couche de sécurité défensive robuste. Comprendre votre environnement informatique et son architecture est essentiel pour identifier les services de sécurité nécessaires à une protection adéquate.
Les systèmes informatiques contiennent des informations qui ne sont pas seulement précieuses pour les organisations qui les génèrent, mais aussi pour les acteurs malveillants. Ces acteurs, qu’il s’agisse d’individus ou de groupes, s’engagent dans des activités nuisibles visant à compromettre ou endommager les ordinateurs, dispositifs, systèmes et réseaux des entreprises. Leur objectif est souvent de voler ou corrompre des données sensibles en utilisant des menaces telles que les malwares ou les attaques par force brute.
Dans cet article, nous explorons une méthode pour cartographier les menaces pesant sur votre environnement informatique, vous permettant ainsi de planifier l’implémentation des services de sécurité Microsoft dans le cadre de votre stratégie de sécurité.
La bonne nouvelle, c’est que vous n’avez pas besoin de créer une carte des menaces à partir de zéro. La matrice MITRE ATT&CK offre une excellente ressource pour vous aider à en développer une. MITRE ATT&CK est une base de connaissances mondiale qui cartographie les menaces réelles en fonction des tactiques et techniques observées. La MITRE Corporation documente chaque menace connue en détail, fournissant des informations précieuses sur la manière dont ces menaces fonctionnent et comment vous pouvez vous défendre contre elles. Cette ressource accessible au public est disponible en ligne sur MITRE ATT&CK®.
Dans cet article, nous utilisons un sous-ensemble de ces menaces pour illustrer comment vous pouvez cartographier les menaces sur votre environnement informatique.
Cas d’usage potentiels
Certaines menaces sont communes à tous les secteurs, telles que les ransomwares, les attaques DDoS, les scripts intersites (XSS) et l’injection SQL. Cependant, de nombreuses organisations sont confrontées à des menaces spécifiques à leur secteur ou basées sur des cyberattaques passées. Le schéma dans cet article peut vous aider à cartographier ces menaces pour votre organisation en identifiant les zones les plus susceptibles d’être ciblées par des acteurs malveillants. Créer une carte des menaces vous permet de planifier les couches de défense nécessaires pour un environnement plus sécurisé.
Vous pouvez adapter ce schéma pour modéliser différentes combinaisons d’attaques et mieux comprendre comment les prévenir et les atténuer. Bien que le framework MITRE ATT&CK soit une référence utile, il n’est pas indispensable. Microsoft Sentinel et d’autres services de sécurité Microsoft collaborent également avec MITRE pour fournir des informations précieuses sur diverses menaces.
Certaines organisations utilisent Cyber Kill Chain®, une méthodologie de Lockheed Martin, pour mapper et comprendre comment une attaque ou une série d’attaques sont effectuées contre un environnement informatique. Cyber Kill Chain organise les menaces et les attaques en prenant en compte moins de tactiques et de techniques que l’infrastructure MITRE ATT&CK. Toutefois, il est efficace de vous aider à comprendre les menaces et comment elles peuvent être exécutées. Pour plus d'informations sur cette méthodologie, consultez Cyber Kill Chain.
Architecture
Téléchargez un fichier Visio de cette architecture.
©2021 La MITRE Corporation. Ce travail est reproduit et distribué avec l’autorisation de The MITRE Corporation.
Pour l’environnement informatique des organisations, nous spécifions les composants uniquement pour Azure et Microsoft 365. Votre environnement IT spécifique peut inclure des appareils, des appliances et des technologies provenant de différents fournisseurs de technologies.
Pour l’environnement Azure, le diagramme montre les composants répertoriés dans le tableau suivant.
| Étiquette | Documentation |
|---|---|
| Réseau virtuel | Qu’est-ce que le Réseau virtuel Azure ? |
| LBS | Qu’est-ce que Azure Load Balancer ? |
| PIPS | Adresses IP publiques |
| SERVEURS | Machines virtuelles |
| K8S | Azure Kubernetes Service |
| VDI | Qu’est-ce qu’Azure Virtual Desktop ? |
| WEB APPS | Vue d'ensemble d'App Service |
| STOCKAGE AZURE | Introduction à Azure Storage |
| BD | Qu’est-ce qu’Azure SQL Database ? |
| Microsoft Entra ID | Qu’est-ce que Microsoft Entra ID ? |
Le diagramme représente Microsoft 365 à travers les composants répertoriés dans le tableau suivant.
| Étiquette | Descriptif | Documentation |
|---|---|---|
OFFICE 365 |
Services Microsoft 365 (anciennement Office 365). Les applications que Microsoft 365 rend disponibles dépendent du type de licence. | Microsoft 365 - Abonnement pour les applications Office |
Microsoft Entra ID |
Microsoft Entra ID, le même que celui utilisé par Azure. De nombreuses entreprises utilisent le même service Microsoft Entra pour Azure et Microsoft 365. | Qu’est-ce que Microsoft Entra ID ? |
Flux de travail
Pour vous aider à comprendre quelle partie de votre environnement informatique ces menaces sont susceptibles d’attaquer, le diagramme d’architecture de cet article est basé sur un environnement IT classique pour une organisation disposant de systèmes locaux, d’un abonnement Microsoft 365 et d’un abonnement Azure. Les ressources de chacune de ces couches sont des services communs à de nombreuses entreprises. Ils sont classés dans le diagramme en fonction des piliers de Confiance Zéro Microsoft : réseau, infrastructure, point de terminaison, application, données et identité. Pour plus d’informations sur Confiance Zéro, consultez Adopter une sécurité proactive avec une Confiance Zéro.
Le diagramme d’architecture comprend les couches suivantes :
Sur site
Le diagramme comprend certains services essentiels tels que les serveurs (machines virtuelles), les appliances réseau et le système DNS (Domain Name System). Il inclut des applications courantes qui se trouvent dans la plupart des environnements informatiques et s’exécutent sur des machines virtuelles ou des serveurs physiques. Il comprend également différents types de bases de données, à la fois SQL et non-SQL. Les organisations ont généralement un serveur de fichiers qui partage des fichiers dans l’ensemble de l’entreprise. Enfin, le service de domaine Active Directory, un composant d’infrastructure étendu, gère les informations d’identification de l’utilisateur. Le diagramme inclut tous ces composants dans l’environnement local.
Environnement Office 365
Cet exemple d’environnement contient des applications de bureau traditionnelles, telles que Word, Excel, PowerPoint, Outlook et OneNote. Selon le type de licence, il peut également inclure d’autres applications, telles que OneDrive, Exchange, Sharepoint et Teams. Dans le diagramme, elles sont représentées par une icône pour les applications Microsoft 365 (anciennement Office 365) et une icône pour Microsoft Entra ID. Les utilisateurs doivent être authentifiés pour obtenir l’accès aux applications Microsoft 365, et Microsoft Entra ID agit comme le fournisseur d’identité. Microsoft 365 authentifie les utilisateurs par rapport au même type de Microsoft Entra ID qu’Azure utilise. Dans la plupart des organisations, le client Microsoft Entra ID est le même pour Azure et Microsoft 365.
Environnement Azure
Cette couche représente les services de cloud public Azure, notamment les machines virtuelles, les réseaux virtuels, les plateformes en tant que services, applications web, bases de données, stockage, services d’identité, etc. Pour plus d’informations sur Azure, consultez la documentation sur Azure.
Tactiques et techniques MITRE ATT&CK
Ce diagramme montre les 16 principales menaces, selon les tactiques et techniques publiées par The MITRE Corporation. En rouge, vous pouvez voir un exemple d’attaque fusionnée, ce qui signifie qu’un acteur malveillant peut coordonner plusieurs attaques simultanément.
Comment utiliser l’infrastructure MITRE ATT&CK
Vous pouvez commencer par une recherche simple du nom de la menace ou du code d’attaque sur la page web principale, MITRE ATT&CK®.
Vous pouvez également parcourir les menaces sur les pages de tactiques ou de techniques :
Vous pouvez toujours utiliser MITRE ATT&CK® Navigator, un outil intuitif fourni par MITRE qui vous aide à découvrir des tactiques, des techniques et des détails sur les menaces.
Composants
L’exemple d’architecture de cet article utilise les composants Azure suivants :
Microsoft Entra ID est un service de gestion des identités et des accès cloud qui permet un accès sécurisé aux ressources internes et externes. Dans cette architecture, elle authentifie les utilisateurs pour les services Azure et Microsoft 365. Il sert de fournisseur d’identité central dans l’environnement.
Le réseau virtuel Azure est un service réseau dans Azure qui permet une communication sécurisée entre les ressources Azure, Internet et les réseaux locaux. Dans cette architecture, elle fournit une infrastructure réseau isolée et évolutive pour l’hébergement de charges de travail et l’application du contrôle du trafic.
Azure Load Balancer est un service d’équilibrage de charge de couche 4 hautes performances pour le trafic TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). Dans cette architecture, elle garantit une haute disponibilité et une scalabilité en répartissant le trafic entrant et sortant entre les machines virtuelles et les services.
Les machines virtuelles Azure sont une offre IaaS (Infrastructure as a Service) qui fournit des ressources de calcul flexibles à la demande. Dans cette architecture, les machines virtuelles hébergent des applications et des services qui font partie de l’environnement informatique de l’organisation et qui sont soumis à un mappage des menaces.
Azure Kubernetes Service (AKS) est un service Kubernetes managé pour le déploiement et la gestion d’applications conteneurisées. Dans cette architecture, elle exécute des applications conteneurisées et prend en charge la sécurité et la gouvernance de niveau entreprise dans le cadre de la surface des menaces.
Virtual Desktop est un service de virtualisation d’applications et de bureau qui s’exécute sur le cloud pour fournir des bureaux aux utilisateurs distants. Dans cette architecture, elle fournit un accès sécurisé pour les utilisateurs distants et est incluse dans la carte des menaces en tant que vecteur d’attaque potentiel.
La fonctionnalité Web Apps d’Azure App Service héberge des applications web, des API REST et des back-ends mobiles. Vous pouvez développer dans votre langue choisie. Les applications s’exécutent et sont mises à l’échelle facilement dans les environnements Windows et Linux. Dans cette architecture, Web Apps héberge des applications basées sur HTTP protégées via des fonctionnalités de sécurité intégrées telles que TLS (Transport Layer Security) et des points de terminaison privés.
Stockage Azure est un service de stockage évolutif et sécurisé pour différents objets de données dans le cloud, notamment l’objet, l’objet blob, le fichier, le disque, la file d’attente et le stockage de tables. Stockage Azure chiffre toutes les données écrites dans un compte de stockage. Il fournit un contrôle précis sur l’accès à vos données. Dans cette architecture, elle stocke les données système et d’application et est incluse dans la carte des menaces en raison de son rôle dans la protection des données et le contrôle d’accès.
SQL Database est un moteur de base de données relationnelle managé qui automatise la mise à jour corrective, les sauvegardes et la surveillance. Dans cette architecture, elle stocke des données structurées et prend en charge les fonctionnalités intégrées de sécurité et de conformité pour atténuer les menaces.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
- Rudnei Oliveira | Ingénieur principal en sécurité Azure
Autres contributeurs :
- Gary Moore | Programmeur/rédacteur
- Andrew Nathan | Responsable senior de l’ingénierie client
Étapes suivantes
Ce document fait référence à certains services, technologies et terminologies. Vous trouverez plus d’informations sur ces services dans les ressources suivantes :
- MITRE ATT&CK®
- Navigateur ATT&CK®)
- La chaîne® de cyber-destruction
- Adopter une sécurité proactive avec une Confiance Zéro
- Menace combinée sur Wikipedia
- Comment les cyberattaques changent selon le nouveau Microsoft Digital Defense Report à partir du Blog Sécurité Microsoft
Ressources associées
Pour plus d’informations sur cette architecture de référence, consultez les autres articles de cette série :