Scans cloud
Cyberwatch propose un assistant dédié simplifiant la configuration des scans sur des infrastructures cloud telles que Amazon Web Services, Google Cloud Platform, Microsoft 365, Microsoft Azure et Active Directory. En particulier, les benchmarks CIS pour ces plateformes sont partiellement supportés pour le contrôle de conformité.
L’objectif de ces scans est de garantir que la configuration respecte certaines bonnes pratiques, par exemple en s’assurant qu’il n’existe pas d’accès publics à des ressources sensibles.
Prérequis
Conformité AWS
Configurer des accès AWS via CloudFormation (recommandé)
Pour créer des accès distants à AWS, il est recommandé d’utiliser l’assistant de création cloud et de choisir le déploiement via CloudFormation. En effet, utiliser la CloudFormation pour le déploiement permet de :
- Déployer les accès plus rapidement et de manière plus automatique.
- Accéder via les mêmes identifiants à l’ensemble ou à une partie des comptes AWS de l’organisation.
- Gérer automatiquement et dynamiquement l’ajout de nouveaux comptes AWS.
Pour réaliser un déploiement par CloudFormation, il faut :
- Choisir son type de déploiement : compte AWS ou bien organisation AWS.
- Si organisation AWS a été sélectionné, choisir sur quelle partie de l’organisation déployer ses accès. Il est recommandé de déployer les accès sur l’ensemble de l’organisation en renseignant la racine (root).
- Si plusieurs accès seront configurés sur les mêmes comptes, renseigner un suffixe est nécessaire, sinon le déploiement de la CloudFormation échouera.
- Cliquer sur le bouton Lancer CloudFormation, qui redirige vers la console AWS. Il est nécessaire de se connecter sur le compte de gestion ou sur un compte administrateur délégué pour déployer la CloudFormation dans le cas d’un déploiement de type organisation. Pour un déploiement sur un compte unique, il faut se connecter sur le compte sur lequel le déploiement doit être effectué.
- Une fois sur AWS, il faut vérifier les informations qui sont déjà pré-remplies, puis cocher la case Je sais qu’AWS CloudFormation peut créer des ressources IAM avec des noms personnalisés, enfin, créer la pile CloudFormation.
- Une fois l’exécution de la pile CloudFormation terminée sur AWS, il faut se rendre dans les résultats de la pile et copier la sortie qui s’y trouve dans Cyberwatch.
- Enfin, finir de remplir le formulaire et sauvegarder.
Remarque
La clé d’accès présente dans la sortie de la CloudFormation est temporaire et sera écrasée lors de la sauvegarde des identifiants dans Cyberwatch.
Configuration manuelle d’accès AWS
Pour accéder à vos informations AWS, Cyberwatch a besoin d’une clé d’accès. Elle peut être créée manuellement depuis la console AWS en cliquant sur le nom d’utilisateur en haut à droite, puis « Mes identifiants de sécurité ». Voir aussi la documentation détaillée d’AWS pour plus d’informations : https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#access-keys-and-secret-access-keys.
Il est recommandé de créer un utilisateur dédié à Cyberwatch avec les rôles suivants :
- SecurityAudit
- ViewOnlyAccess
Une fois la clé d’accès créée, vous devrez l’enregistrer depuis le menu « Identifiants enregistrés » de la barre latérale, puis en cliquant sur le bouton Ajouter. Dans le formulaire, sélectionner Amazon Web Services, puis entrez votre ID de clé d’accès et sa clé d’accès secrète.
Conformité EKS
| Attribut | Permission |
|---|---|
| Utilisateur AWS avec la politique | eks:ListClusters |
| Utilisateur AWS avec la politique | eks:DescribeCluster |
Sur chaque cluster EKS, une entrée d’accès IAM doit être définie pour l’utilisateur, avec la stratégie AmazonEKSAdminViewPolicy.
Conformité Google Cloud Platform
| Attribut | Permission |
|---|---|
| Rôle | Examinateur de sécurité |
| Rôle | Lecteur |
| API Cloud Resource Manager | activée sur chaque projet |
Conformité Azure
| Attribut | Permission |
|---|---|
| Rôle | Contributeur de machine virtuelle |
| Rôle | Contributeur d’application managée |
| Rôle | Lecteur |
| Rôle | Lecteur Key Vault |
| Rôle | Contributeur de comptes de stockage |
| Rôle | Contributeur de sites Web |
| Autorisation d’application sur Microsoft Graph | Policy.Read.All |
Conformité AKS
| Attribut | Permission |
|---|---|
| Rôle | Lecteur RBAC Azure Kubernetes Service |
Les règles de conformité CIS de la section 4.1 nécessitent de créer un rôle personnalisé contenant les permissions de type dataAction suivantes :
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterroles/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/clusterrolebindings/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/roles/read
- Microsoft.ContainerService/managedClusters/rbac.authorization.k8s.io/rolebindings/read
Conformité Microsoft 365
| Attribut | Permission |
|---|---|
| Autorisation d’application Microsoft Graph | Device.Read.all |
| Autorisation d’application Microsoft Graph | DeviceManagementManagedDevices.Read.all |
| Autorisation d’application Microsoft Graph | User.ReadBasic.All |
| Autorisation d’application Microsoft Graph | RoleManagement.Read.Directory |
| Autorisation d’application Microsoft Graph | SharePointTenantSettings.Read.All |
| Autorisation d’application Office 365 Exchange Online | Exchange.ManageAsApp |
| Autorisation d’application SharePoint | Sites.FullControl.All |
| Rôle Microsoft Entra | Lecteur Général |
Certaines règles de conformité Microsoft 365 de la partie SharePoint nécessitent un jeu d’identifiants avec authentification par certificat.
Conformité Active Directory
| Attribut | Permission |
|---|---|
| Permission | lecture seule |
Ajouter un projet
- Aller dans le menu Gestion des actifs > Cloud
- Cliquer sur Ajouter
- Choisir une plateforme : AWS, GCP, Azure, Microsoft 365, ou Active Directory
- Saisir une clé d’accès ou identifiant API directement dans le formulaire ou sélectionner un identifiant déjà enregistré puis cliquez sur Parcourir
- Définir le nom puis sélectionner l’une des ces options ou les deux, selon votre besoin :
- Enregistrer la découverte :
Une découverte sera crée, portant le nom choisit et répertoriant la liste des machines découvertes. Cette découverte sera disponible sur la page des découvertes.
- Vérifier la conformité du projet :
Cette option ajoutera un actif cloud, portant le nom choisit, et remontant le résultat du scan de conformité.
- Cliquer sur “Sauvegarder” pour lancer la configuration automatique des éléments sélectionnés
Vous pourrez ensuite consulter les résultats de l’analyse de conformité depuis l’inventaire Conformité, ou en cliquant sur le nom de l’actif depuis le menu Gestion des actifs > Cloud ainsi que les résultats de la découverte sur la page des Découvertes.