Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Comment Microsoft opère et protège Azure Active Directory ?

Microsoft a publié un billet qui explique comment les données sont sécurisées dans Azure Active Directory. Azure AD est l’annuaire de base de la majorité des services (Office 365, Microsoft Intune etc.). Il contient donc des informations critiques sur les clients et représente un maillon essentiel de la chaine. Le billet détaille une partie des mécanismes de sécurité mis en œuvre pour protéger la donnée :

  • Le personnel du Datacenter Microsoft doit passer une vérification de ses antécédents.
  • Les datacenters sont bien entendu régulés et les entrées/sorties sont surveillées.
  • Les services Azure AD sont verrouillés dans des salles et des racks spécifiques qui sont bien entendu surveillés 24 heures sur 24.
  • Lors du décommissionnement d’un serveur, tous les disques sont détruits logiquement et physiquement.
  • Microsoft limite le nombre de personnes qui ont accès au service Azure AD et ils interviennent sans les privilèges puisque ces derniers sont attribués à la demande puis retirés automatiquement. Lors de la connexion, les opérateurs doivent s’authentifier avec un facteur supplémentaire. Ils accèdent au service via des stations de travail d’administration qui suivent les recommandations Privileged Access Workstation. Les postes de travail utilisent une image fixe avec des logiciels qui sont ciblés et gérés.
  • Microsoft a quelques comptes spécifiques « break glass » (moins de 5). Ces comptes sont réservés pour les cas d’urgence spécifiques avec une procédure d’acquisition à plusieurs étapes. Les comptes sont supervisés et lèvent des alertes lors de l’utilisation.
  • En outre, Microsoft effectue une détection de menaces avec la détection des brèches, des tests de pénétration, d’audit.
  • L’ensemble des données sont chiffrées avec BitLocker.
  • Au niveau des API, les données chiffrées avec HTTPS et un principe d’autorisation par Token pour chaque tenant. Les APIs internes utilise des authentifications client/serveur avec des certificats de confiance et une chaine de validation.

Plus d’informations sur : How we secure your data in Azure AD

Facebook Like
Anonymous