View on GitHub

cloud-guardrails

Minimum guardrails for GC's cloud operationalization framework.

Gestion des privilèges d’administration

Objectif

Établir des stratégies et des procédures de contrôle d’accès pour la gestion des privilèges d’administration.

Principales considérations

[ ] Consigner un processus de gestion des comptes, des privilèges d’accès, et des justificatifs d’accès pour les utilisateurs organisationnels, les utilisateurs non organisationnels (au besoin) et les processus fondés sur les principes de répartition des tâches et de moindre privilège (p. ex., les procédures opérationnelles et le répertoire actif).
[ ] Mettre en œuvre un mécanisme pour l’application des autorisations d’accès.
[ ] Mettre en œuvre un mécanisme pour déterminer et authentifier de façon unique les utilisateurs organisationnels, les utilisateurs non organisationnels (le cas échéant), et les processus (p. ex., nom d’utilisateur et mot de passe).
[ ] Mettre en œuvre un mécanisme d’authentification multifacteur pour les comptes privilégiés (p. ex., nom d’utilisateur, mot de passe et mot de passe unique) et pour les interfaces publiques.
[ ] Changer les mots de passe par défaut.
[ ] Veiller à ce qu’aucun rôle de propriétaire d’abonnement personnalisé ne soit créé.
[ ] Configurez la stratégie de mot de passe conformément à l’Orientation sur les mots de passe du GC.
[ ] Réduire au minimum le nombre d’utilisateurs invités; ajouter uniquement au besoin.
[ ] Déterminer les exigences en matière de restrictions et de configuration d’accès pour les appareils de point d’extrémité attribués par le GC, y compris ceux des utilisateurs privilégiés et non privilégiés, et configurer en conséquence les restrictions d’accès pour les appareils de point d’extrémité.

Remarque : Certains fournisseurs de services peuvent offrir des options de configuration afin de restreindre l’accès des appareils de point d’extrémité. Il serait également possible de mettre en œuvre des politiques organisationnelles et des instruments procéduraux afin de restreindre l’accès.

Validation

[ ] Confirmer que la stratégie de MFA est activée au moyen des captures d’écran et des rapports de conformité.
[ ] Confirmer qu’un plan et un processus de gestion des comptes privilégiés ont été consignés.
[ ] Confirmer que la stratégie de mot de passe respecte l’Orientation sur les mots de passe du GC, le cas échéant.

Autres considérations

[ ] Exploiter les services organisationnels comme le Système de contrôle d’accès administratif (SCAA) pour la gestion des accès privilégiés (GAP), le contrôle d’accès basé sur les attributs (CABA).

Modèles de service applicables

IaaS, PaaS, SaaS

Références

AMOPS 2017-01, section 6.2.3
Les 10 meilleures mesures de sécurité des TI du CST, numéro 3.
Consulter le Guide sur l’authentification des utilisateurs dans les systèmes de technologie de l’information (ITSP.30.031 v3) du CST.
Voir l’Orientation sur l’authentification du nuage à l’intention du gouvernement du Canada.
Voir les Recommandations pour l’authentification de l’utilisateur à deux facteurs au sein du domaine opérationnel du gouvernement du Canada
Mesures de sécurité connexes : AC-2, AC-2(1), AC-3, AC-5, AC-6, AC-6(5), AC-6(10), AC-7, AC-9, AC-19, AC-20(3), IA-2, IA-2(1), IA-2(2), IA-2(11), IA-4, IA-5, IA-5(1), IA-5(6), IA-5(7), IA-5(13), IA-6, IA-8.