Configuration de la sécurité des applications Microsoft Cloud pour le contrôle d'accès et de session

Configuration de la sécurité des applications Microsoft Cloud pour le contrôle d'accès et de session

14/11/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la configuration et l'utilisation de Microsoft Defender for Cloud Apps (MDCA), anciennement connu sous le nom de Microsoft Cloud App Security (MCAS), pour implémenter le contrôle d'accès et de session dans les applications cloud. MDCA est une solution Cloud Access Security Broker (CASB) qui offre une visibilité, un contrôle sur le trafic de données et des analyses sophistiquées pour identifier et combattre les cybermenaces dans les environnements cloud, constituant un élément essentiel de la stratégie Zero Trust [1].

Présentation

L'adoption croissante des applications SaaS (Software as a Service) a apporté de nombreux avantages en termes de productivité et de flexibilité, mais elle a également introduit de nouveaux défis en matière de sécurité. Les organisations doivent s'assurer que l'accès à ces applications est sécurisé, que les données sensibles ne sont pas divulguées et que les activités malveillantes sont détectées et atténuées. Microsoft Defender pour les applications cloud agit comme un point de contrôle entre les utilisateurs et les applications cloud, permettant aux organisations de surveiller et de contrôler les accès et les sessions en temps réel, même pour les applications non gérées ou sur des appareils non conformes [2].

Ce guide pratique couvrira les conditions préalables, l'intégration de MDCA avec l'accès conditionnel Azure AD, la configuration des stratégies de session et d'accès, la surveillance de l'activité et les meilleures pratiques pour garantir une posture de sécurité robuste pour vos applications cloud. Des instructions étape par étape et des exemples pratiques seront fournis afin que le lecteur puisse mettre en œuvre et valider le contrôle d'accès et de session avec MDCA, renforçant ainsi la sécurité de ses données et applications dans le cloud de manière autonome, professionnelle et fiable.

Pourquoi Microsoft Cloud App Security est-il crucial pour le contrôle d'accès et de session ?

  • Visibilité et contrôle : offre une visibilité approfondie sur l'utilisation des applications cloud et permet un contrôle granulaire sur les actions des utilisateurs en temps réel.
  • Protection des données : aide à prévenir les fuites de données, les téléchargements non autorisés et les téléchargements de fichiers sensibles vers des applications cloud.
  • Détection des menaces : identifie les anomalies comportementales et les activités suspectes qui peuvent indiquer des comptes compromis ou des menaces internes.
  • Conformité : aide les organisations à se conformer aux réglementations en matière de confidentialité et de sécurité, en garantissant que les données sont traitées conformément aux politiques de l'entreprise.
  • Intégration avec l'accès conditionnel Azure AD : étend les capacités de l'accès conditionnel Azure AD, permettant des politiques d'accès et de session en temps réel.
  • Prise en charge des applications non gérées : vous permet d'étendre le contrôle et la protection aux applications cloud qui ne sont pas directement gérées par l'organisation.

Prérequis

Pour implémenter le contrôle d'accès et de session avec Microsoft Cloud App Security, vous aurez besoin des éléments suivants :

  1. Licences : licences autonomes Microsoft 365 E5, Enterprise Mobility + Security E5 ou Microsoft Defender for Cloud Apps [3].
  2. Accès administrateur : un compte avec le rôle « Administrateur global » ou « Administrateur de sécurité » sur le portail Microsoft Defender XDR (https://security.microsoft.com) et le portail Azure (https://portal.azure.com).
  3. Accès conditionnel Azure AD : stratégies d'accès conditionnel Azure AD configurées et utilisées car MDCA s'intègre à elles pour appliquer les contrôles de session et d'accès [4].
  4. Applications cloud : applications cloud (SaaS) que vous souhaitez protéger. MDCA fonctionne avec n'importe quelle application, mais l'intégration avec l'accès conditionnel Azure AD nécessite le déploiement d'une application proxy inverse.

Étape par étape : configuration de Microsoft Defender pour les applications cloud pour le contrôle d'accès et de session

Configurons MDCA pour contrôler l'accès et les sessions aux applications cloud.

1. Activation de l'intégration de la sécurité des applications cloud

Tout d’abord, assurez-vous que MDCA est activé et intégré à votre environnement.

  1. Ouvrez votre navigateur et accédez au portail Microsoft Defender XDR : « https://security.microsoft.com ».
  2. Connectez-vous avec un compte disposant des autorisations nécessaires.
  3. Dans le volet de navigation de gauche, sélectionnez Confconfigurations > Points de terminaison.
  4. Faites défiler vers le bas et sélectionnez Fonctionnalités avancées.
  5. Assurez-vous que la fonctionnalité Microsoft Defender for Cloud Apps est activée.

2. Configuration d'une stratégie d'accès conditionnel Azure AD pour le contrôle de session

Avant que MDCA puisse appliquer des contrôles de session, le trafic doit être acheminé via le proxy d'accès conditionnel MDCA. Cela se fait en configurant une stratégie d’accès conditionnel Azure AD.

  1. Ouvrez votre navigateur et accédez au portail Azure : « https://portal.azure.com ».
  2. Dans le champ de recherche supérieur, tapez « Azure Active Directory » et sélectionnez-le dans les résultats.
  3. Dans le volet de navigation de gauche, sélectionnez Sécurité > Accès conditionnel.
  4. Cliquez sur « + Nouvelle politique ».
  5. Nom : donnez à la stratégie un nom significatif (par exemple « MDCA Session Control for SharePoint Online »).

  6. Utilisateurs d'identité ou charges de travail :

    • Sous « Inclure », sélectionnez « Tous les utilisateurs » ou les groupes spécifiques que vous souhaitez cibler.
    • Sous « Exclure », ajoutez tous les utilisateurs ou groupes qui devraient être exemptés de cette politique (par exemple, les comptes de service, les administrateurs d'urgence).

  7. Applications ou actions cloud :

    • Sous « Inclure », sélectionnez « Sélectionner les applications » et recherchez l'application cloud que vous souhaitez protéger (ex : « SharePoint Online »).

  8. Conditions : configurez les conditions selon vos besoins (par exemple, « Emplacements » pour exiger que l'accès provienne d'adresses IP spécifiques, « Périphériques » pour exiger que l'appareil soit compatible).

  9. Contrôles de session :

    • Sélectionnez « Utiliser le contrôle d'accès conditionnel aux applications ».
    • Dans le menu déroulant, choisissez « Utiliser une stratégie personnalisée ».

  10. Activer la stratégie : définissez sur « Activé ».

  11. Cliquez sur Créer.

    • Explication : Cette stratégie redirigera le trafic vers SharePoint Online via le proxy MDCA, permettant à MDCA d'appliquer des stratégies de session en temps réel.

3. Configuration des stratégies de session dans Microsoft Cloud App Security

Maintenant que le trafic est acheminé, vous pouvez créer des stratégies de session dans MDCA pour contrôler ce que les utilisateurs peuvent faire.

  1. Revenez au portail Microsoft Defender XDR : « https://security.microsoft.com ».
  2. Dans le volet de navigation de gauche, sélectionnez Cloud Apps > Policies > Policy Management.

  3. Dans l'onglet « Accès conditionnel », cliquez sur « + Créer une politique » > « Politique de session ».

  4. Nom de la stratégie : donnez-lui un nom (ex : Bloquer le téléchargement en ligne de SharePoint).

  5. Description : Fournissez une description claire de l'objectif de la politique.
  6. Type de gravité : Définissez la gravité (ex : « Élevée »).
  7. Catégorie : Sélectionnez une catégorie (ex : « Prévention contre la perte de données »).

  8. Filtres d'activité :

    • Activités : sélectionnez « Télécharger ».
    • Applications : sélectionnez « SharePoint Online ».
    • Appareil : sélectionnez « Device Tag » et choisissez « Non géré » (pour bloquer les téléchargements sur les appareils non gérés).
    • Utilisateurs : spécifiez les utilisateurs ou les groupes auxquels cette stratégie s'applique.

  9. Actions :

    • Sélectionnez « Bloquer ».
    • En option, vous pouvez sélectionner « Test » pour surveiller l'activité sans blocage, ou « Contrôle avec proxy » pour autoriser les téléchargements mais avec inspection ou étiquetage.

  10. Configurez les Alertes et la Gouvernance selon vos besoins.

  11. Cliquez sur Créer.

    • Explication : Cette stratégie bloquera les téléchargements SharePoint Online pour les utilisateurs accédant à partir d'appareils non gérés, grâce à la redirection du proxy MDCA par la stratégie d'accès conditionnel Azure AD.

4. Configuration des stratégies d'accès dans Microsoft Cloud App Security

Les politiques d'accès dans MDCA contrôlent l'accès aux applications cloud en fonction de divers critères tels que l'emplacement, l'appareil, l'adresse IP, etc.

  1. Dans le portail Microsoft Defender XDR, sélectionnez Applications Cloud > Politiques > Gestion des stratégies.

  2. Dans l'onglet « Accès conditionnel », cliquez sur « + Créer une politique » > « Politique d'accès ».

  3. Nom de la politique : donnez-lui un nom (ex : « Bloquer l'accès depuis un pays à risque »).

  4. Description : fournissez une description claire.
  5. Type de gravité : définissez la gravité.
  6. Catégorie : Sélectionnez une catégorie (ex : Contrôle d'accès).

  7. Filtres d'activité :

    • Activités : Sélectionnez « Accès ».
    • Applications : sélectionnez l'applicationapplication cloud (par exemple « Toutes les applications cloud »).
    • Emplacements : sélectionnez « Balise d'adresse IP » et choisissez « Pays à risque » ou créez une nouvelle balise IP pour les pays spécifiques que vous souhaitez bloquer.

  8. Actions :

    • Sélectionnez « Bloquer ».

  9. Configurez les Alertes et la Gouvernance selon vos besoins.

  10. Cliquez sur Créer.

    • Explication : Cette politique bloquera l'accès à toutes les applications cloud pour les utilisateurs essayant de se connecter depuis des pays considérés comme à risque.

5. Surveillance des activités et des alertes

MDCA fournit des outils robustes pour surveiller et enquêter sur l'activité et les alertes des utilisateurs.

  1. Dans le portail Microsoft Defender XDR, sélectionnez Applications Cloud > Journaux d'activité.

    • Ici, vous pouvez visualiser toutes les activités détectées par MDCA, filtrer par utilisateur, application, type d'activité, etc.

  2. Dans le volet de navigation de gauche, sélectionnez Incidents et alertes > Alertes.

    • Ici, vous verrez toutes les alertes générées par les politiques que vous avez configurées, ainsi que les alertes de détection d'anomalies.

Validation et tests

Il est essentiel de valider les stratégies configurées pour garantir qu’elles fonctionnent comme prévu.

1. Test de la politique de session (téléchargement en bloc)

  1. Utilisez un appareil qui n'est pas marqué comme « Géré » ou « Pris en charge » (par exemple : un ordinateur personnel ou un appareil mobile sans Intune).
  2. Connectez-vous à votre compte Microsoft 365 et essayez d'accéder à SharePoint Online.

  3. Essayez de télécharger un fichier depuis SharePoint Online.

    • Résultat attendu : le téléchargement doit être bloqué et un message MDCA personnalisé doit apparaître indiquant que l'action a été bloquée en raison de la stratégie de l'organisation.

  4. Vérifiez les « Journaux d'activité » et les « Alertes » dans le portail MDCA pour confirmer que la stratégie de session a été déclenchée et qu'une alerte a été générée.

2. Test de la politique d'accès (bloquer l'accès depuis un pays à risque)

  1. Utilisez un VPN ou un proxy pour simuler une connexion depuis un pays que vous avez configuré comme « Pays à risque ».

  2. Essayez d'accéder à n'importe quelle application cloud (par exemple Outlook Web Access, SharePoint Online).

    • Résultat attendu : l'accès doit être bloqué et un message MDCA personnalisé doit apparaître indiquant que l'accès a été refusé en raison de la stratégie de l'organisation.

  3. Vérifiez les « Journaux d'activité » et les « Alertes » dans le portail MDCA pour confirmer que la stratégie d'accès a été déclenchée et qu'une alerte a été générée.

Conseils de sécurité et bonnes pratiques

  • Commencez par la surveillance : lors de la mise en œuvre de nouvelles politiques, commencez par l'action « Surveiller » ou « Test » pour comprendre l'impact avant d'appliquer les actions « Bloquer » ou « Contrôler avec un proxy ».
  • Éducation des utilisateurs : communiquez clairement aux utilisateurs les politiques de sécurité et les raisons pour lesquelles certaines actions sont bloquées. Cela contribue à réduire la frustration et à accroître la conformité.
  • Granularité des politiques : créez des politiques granulaires de session et d'accès pour différents groupes d'utilisateurs, applications et scénarios de risque. Évitez les politiques trop larges qui pourraient avoir un impact sur la productivité.
  • Intégration avec d'autres solutions : profitez de l'intégration MDCA avec d'autres solutions Microsoft (Defender for Endpoint, Azure AD Identity Protection, Microsoft Sentinel) pour une vue de sécurité plus complète.
  • Révision périodique : examinez et ajustez régulièrement vos politiques MDCA pour vous adapter à l'évolution des menaces, aux exigences de l'entreprise et à l'adoption de nouvelles applications cloud.
  • Paramètres du proxy : comprenez le fonctionnement du proxy d'accès conditionnel MDCA et les impacts sur l'expérience utilisateur et la compatibilité des applications.
  • Gestion des appareils : combinez MDCA avec Microsoft Intune pour gérer la conformité des appareils et appliquer des politiques plus strictes aux appareils non gérés.

Dépannage courant

  • Les stratégies de session/d'accès ne sont pas appliquées : Vérifiez que la stratégie d'accès conditionnel Azure AD est correctement configurée pour acheminer le trafic via MDCA (« Utiliser le contrôle d'accès conditionnel aux applications »). Assurez-vous que l'application cloud est incluse dans la stratégie.
  • Les utilisateurs sont bloqués à tort : vérifiez les filtres et les conditions d'activité dans les politiques de session et d'accès MDCA. Vérifiez votre stratégie d’accès conditionnel Azure AD pour connaître les exclusions requises. Vérifier les journaux d'activitécapacité de comprendre quelle politique est déclenchée.
  • Performances lentes ou problèmes de compatibilité : le routage proxy MDCA peut introduire une légère latence. Vérifiez la connectivité réseau et les paramètres du proxy. Certaines applications peuvent avoir des problèmes de compatibilité proxy. Consultez la documentation Microsoft pour connaître les problèmes connus.
  • Alertes faussement positives : ajustez les conditions et la sensibilité des règles pour réduire les alertes non pertinentes. Utilisez le mode « Surveillance » ou « Test » pour affiner les politiques avant de les appliquer en mode blocage.
  • Les applications n'apparaissent pas dans MDCA : assurez-vous que l'application cloud est activement utilisée et que MDCA est configuré pour découvrir les applications. Pour les applications de proxy inverse, vérifiez votre configuration d’accès conditionnel Azure AD.

Conclusion

Microsoft Defender for Cloud Apps est un outil indispensable pour toute organisation cherchant à protéger ses données et ses utilisateurs dans un monde centré sur le cloud. En mettant en œuvre des contrôles d'accès et de session, MDCA permet aux équipes de sécurité d'appliquer des politiques granulaires en temps réel, atténuant ainsi les risques de fuite de données, d'accès non autorisé et d'activité malveillante dans les applications SaaS. L’intégration avec Azure AD Conditional Access crée une puissante synergie, étendant la sécurité Zero Trust à la couche application. Avec ce guide pratique, les professionnels de la sécurité seront bien équipés pour configurer, valider et gérer Microsoft Security for Cloud Apps, garantissant ainsi un environnement cloud plus sécurisé et plus conforme pour leurs organisations.

Références :

[1] Microsoft Apprendre. Qu'est-ce que Microsoft Defender pour les applications cloud ?. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/what-is-defender-for-cloud-apps [2] Microsoft Apprendre. Contrôle des applications à accès conditionnel Microsoft Defender pour Cloud Apps. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/proxy-intro-aad [3] Microsoft Apprendre. Licences Microsoft Defender pour les applications cloud. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/licensing [4] Microsoft Apprendre. Configurez les politiques d'accès conditionnel pour le contrôle des applications d'accès conditionnel. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/conditional-access-app-control-how-to-overview [5] Microsoft Apprendre. Créez des stratégies de session Microsoft Defender pour Cloud Apps. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/session-policy-aad [6] Microsoft Apprendre. Créez des stratégies d'accès à Microsoft Defender pour les applications cloud. Disponible sur : https://learn.microsoft.com/pt-br/defender-cloud-apps/access-policy-aad