Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit un ensemble de meilleures pratiques opérationnelles pour protéger vos données, applications et autres ressources dans Azure.
Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure. Les opinions et technologies évoluent au fil du temps ; cet article est régulièrement mis à jour de manière à tenir compte de ces changements.
Définir et déployer des pratiques de sécurité opérationnelle renforcées
La sécurité opérationnelle Azure fait référence aux services, contrôles et fonctionnalités auxquels les utilisateurs ont accès pour protéger leurs données, leurs applications et d’autres ressources dans Azure. La sécurité opérationnelle Azure repose sur un framework qui intègre les connaissances acquises par le biais de fonctionnalités uniques à Microsoft, notamment le cycle de vie du développement de la sécurité (SDL), le programme Microsoft Security Response Center et une connaissance approfondie du paysage des menaces de cybersécurité.
Appliquer la vérification multifacteur pour les utilisateurs
Nous vous recommandons d’exiger une vérification en deux étapes pour tous vos utilisateurs. Cela inclut les administrateurs et les autres membres de votre organisation (par exemple, les responsables financiers) dont la compromission de leur compte pourrait avoir un impact significatif si leur compte est compromis.
Il existe plusieurs options pour exiger une vérification en deux étapes. La meilleure option pour vous dépend de vos objectifs, de l’édition de Microsoft Entra utilisée et de votre programme de licence. Découvrez comment exiger une vérification en deux étapes pour qu’un utilisateur détermine la meilleure option pour vous. Pour plus d’informations sur les licences et la tarification, consultez les pages de tarification Microsoft Entra ID et Microsoft Entra Multifactor Authentication .
Voici les options et les avantages de la vérification en deux étapes :
Option 1 : Activer l’authentification multifacteur pour tous les utilisateurs et méthodes de connexion avec Microsoft Entra Security Defaults Benefit : cette option vous permet d’appliquer facilement et rapidement l’authentification multifacteur pour tous les utilisateurs de votre environnement avec une stratégie stricte pour :
- Contester les comptes d’administration et les mécanismes d’ouverture de session d’administration
- Exiger une stimulation MFA via Microsoft Authenticator pour tous les utilisateurs
- Restreindre les protocoles d’authentification hérités.
Cette méthode est disponible pour tous les niveaux de licence, mais elle ne peut pas être combinée à des stratégies d’accès conditionnel existantes. Vous trouverez plus d’informations dans Microsoft Entra Security Defaults
Option 2 : Activer l’authentification multifacteur en modifiant l’état de l’utilisateur.
Avantage : il s’agit de la méthode traditionnelle pour exiger une vérification en deux étapes. Il fonctionne avec l’authentification multifacteur Microsoft Entra dans le cloud et le serveur Azure Multi-Factor Authentication. Cette méthode nécessite que les utilisateurs effectuent la vérification en deux étapes chaque fois qu’ils se connectent, puis remplace les stratégies d’accès conditionnel.
Pour déterminer où l’authentification multifacteur doit être activée, consultez Quelle version de l’authentification multifacteur Microsoft Entra convient à mon organisation ?.
Option 3 : Activer l’authentification multifacteur avec la stratégie d’accès conditionnel. Avantage : cette option vous permet de demander une vérification en deux étapes dans des conditions spécifiques à l’aide de l’accès conditionnel. Les conditions spécifiques peuvent être une connexion de l’utilisateur à partir d’emplacements différents, d’appareils non approuvés ou d’applications que vous considérez comme risquées. Le fait de définir des conditions spécifiques pour une vérification en deux étapes vous permet d’éviter de la demander continuellement à vos utilisateurs, ce qui peut être désagréable.
Il s’agit de la méthode la plus souple pour activer la vérification en deux étapes pour vos utilisateurs. Activer une stratégie d’accès conditionnel fonctionne uniquement pour l’authentification multifacteur Microsoft Entra dans le cloud, et c’est une fonctionnalité Premium de Microsoft Entra ID. Vous trouverez plus d’informations sur cette méthode dans Déployer l’authentification multifacteur Microsoft Entra basée sur le cloud.
Option 4 : Activez l’authentification multifacteur avec des stratégies d’accès conditionnel en évaluant les stratégies d’accès conditionnel basées sur les risques.
Avantage : cette option vous permet de :
- Détecter de potentielles vulnérabilités qui affectent les identités de votre organisation.
- Configurer des réponses automatiques aux actions suspectes détectées qui sont liées aux identités de votre organisation.
- Examiner les incidents suspects et prendre les mesures appropriées pour les résoudre.
Cette méthode utilise l’évaluation de risques de Microsoft Entra ID Protection pour déterminer si la vérification en deux étapes est exigée en se basant sur les risques de l’utilisateur et de la connexion pour toutes les applications cloud. Cette méthode nécessite des licences Microsoft Entra ID P2. Vous trouverez plus d’informations sur cette méthode dans Microsoft Entra ID Protection.
Remarque
L’option 2, qui consiste à activer l’authentification multifacteur en changeant l’état de l’utilisateur, remplace les stratégies d’accès conditionnel. Étant donné que les options 3 et 4 utilisent des stratégies d’accès conditionnel, vous ne pouvez pas utiliser l’option 2 avec elles.
Les organisations qui n’ajoutent pas de couches supplémentaires de protection d’identité, comme la vérification en deux étapes, sont plus sensibles au vol d’informations d’identification. Le vol d’informations d’identification peut entraîner une compromission des données.
Gérer et surveiller des mots de passe utilisateur
Le tableau suivant répertorie certaines meilleures pratiques relatives à la gestion des mots de passe utilisateur :
Bonne pratique : vérifiez que vous disposez du niveau approprié de protection par mot de passe dans le cloud.
Détails : suivez les instructions de l’aide sur le mot de passe Microsoft, qui est étendue aux utilisateurs des plateformes d’identités Microsoft (ID Microsoft Entra, Active Directory et compte Microsoft).
Bonne pratique : Surveillez les actions suspectes liées à vos comptes d’utilisateur.
Détail : Surveillez les utilisateurs à risque et les connexions à risque en utilisant les rapports de sécurité Microsoft Entra.
Bonne pratique : détecter et corriger automatiquement les mots de passe à haut risque.
Détail : Microsoft Entra ID Protection est une fonctionnalité de l’édition Microsoft Entra ID P2 qui vous permet de :
- Détecter des vulnérabilités potentielles qui affectent les identités de votre organisation
- Configurer des réponses automatiques aux actions suspectes détectées qui sont liées aux identités de votre organisation
- Examiner les incidents suspects et prendre les mesures appropriées pour les résoudre
Recevoir des notifications d’incident de Microsoft
Garantir que l’équipe responsable des opérations de sécurité reçoit des notifications d’incidents Azure de la part de Microsoft. Une notification d’incident permet d’indiquer à votre équipe de sécurité que vous avez des ressources Azure compromises. Cette dernière peut ainsi réagir rapidement et corriger les risques de sécurité éventuels.
Dans le portail d’inscription Azure, vous pouvez vérifier que les informations de contact administrateur incluent des détails qui informent les opérations de sécurité. Les informations de contact correspondent à une adresse électronique et à un numéro de téléphone.
Organiser les abonnements dans des groupes d’administration
Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure fournissent un niveau d’étendue supérieur aux abonnements. Vous organisez les abonnements en conteneurs appelés groupes d’administration et vous appliquez vos conditions de gouvernance aux groupes d’administration. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.
Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements dans un répertoire. Chaque annuaire reçoit un groupe d’administration de niveau supérieur unique appelé groupe d’administration racine. Ce groupe d’administration racine est intégré à la hiérarchie et contient tous les groupes d’administration et abonnements. Il permet d’appliquer des stratégies globales et des attributions de rôles Azure au niveau du répertoire.
Voici quelques meilleures pratiques pour l’utilisation de groupes d’administration :
Bonne pratique : assurez-vous que les nouveaux abonnements appliquent des éléments de gouvernance tels que des stratégies et des autorisations à mesure qu’ils sont ajoutés.
Détail : Utilisez le groupe d’administration racine pour affecter des éléments de sécurité à l’échelle de l’entreprise qui s’appliquent à toutes les ressources Azure. Les stratégies et les autorisations sont des exemples d’éléments.
Bonne pratique : alignez les niveaux supérieurs des groupes d’administration avec la stratégie de segmentation pour fournir un point de cohérence de contrôle et de stratégie au sein de chaque segment.
Détail : Créez un groupe d’administration unique pour chaque segment sous le groupe d’administration racine. Ne créez pas d’autres groupes d’administration au niveau racine.
Bonne pratique : limitez la profondeur du groupe d’administration pour éviter toute confusion qui entrave les opérations et la sécurité.
Détail : limitez votre hiérarchie à trois niveaux, y compris la racine.
Bonne pratique : sélectionnez soigneusement les éléments à appliquer à l’ensemble de l’entreprise avec le groupe d’administration racine.
Détail : vérifiez que les éléments du groupe d’administration racine doivent être appliqués à chaque ressource et qu’ils ont un faible impact.
Les candidats parfaits sont :
- Les exigences réglementaires qui ont un impact métier clair (par exemple, les restrictions liées à la souveraineté des données)
- Les exigences avec un impact potentiel négatif proche de zéro pour les opérations, comme la stratégie avec effet d’audit ou les affectations de mission Azure RBAC qui ont été consciencieusement étudiées
Bonne pratique : Planifiez et testez soigneusement toutes les modifications à l’échelle de l’entreprise sur le groupe d’administration racine avant de les appliquer (stratégie, modèle RBAC Azure, etc.).
Détail : les modifications apportées au groupe d’administration racine peuvent affecter chaque ressource sur Azure. Même si elles permettent d’assurer la cohérence au sein de l’entreprise, les erreurs ou une utilisation incorrecte peuvent avoir un impact négatif sur les opérations de production. Testez toutes les modifications apportées au groupe d’administration racine dans un pilote de production ou un laboratoire de test.
Simplifier la création d’environnement avec des blueprints
Le service Azure Blueprints permet aux architectes cloud et aux groupes de technologies informatiques centrales de définir un ensemble reproductible de ressources Azure qui implémente et respecte les normes, les modèles et les exigences d’une organisation. Azure Blueprint permet aux équipes de développement de créer et de mettre en place rapidement de nouveaux environnements avec un ensemble de composants intégrés et en ayant la certitude de créer des environnements conformes à l’organisation.
Superviser les services de stockage pour détecter des changements inattendus du comportement
Il peut s’avérer plus complexe de diagnostiquer et de résoudre des problèmes dans une application distribuée hébergée dans un environnement cloud que dans des environnements traditionnels. Les applications peuvent être déployées dans une infrastructure PaaS ou IaaS, localement, sur un appareil mobile ou dans une combinaison de ces environnements. Le trafic réseau de votre application peut parcourir les réseaux publics et privés, et votre application peut utiliser différentes technologies de stockage.
Vous devez superviser en permanence les services de stockage utilisés par votre application afin de détecter tout changement de comportement inattendu (par exemple, des temps de réponse plus longs). Utilisez la journalisation pour collecter des données plus détaillées et analyser un problème en profondeur. Les informations de diagnostic obtenues par le biais de la supervision et de la journalisation vous aident à déterminer la cause première du problème rencontré par votre application. Vous pouvez alors résoudre le problème et déterminer la procédure appropriée pour y remédier.
Azure Storage Analytics effectue la journalisation et fournit des données de métriques pour un compte de stockage Azure. Nous vous recommandons d’utiliser ces données pour suivre les requêtes, analyser les tendances d’utilisation et diagnostiquer les problèmes liés à votre compte de stockage.
Prévenir, détecter et traiter les menaces
Microsoft Defender pour Cloud vous aide à prévenir, détecter et répondre aux menaces en fournissant une visibilité accrue sur la sécurité de vos ressources Azure (et contrôle). Il fournit une supervision de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste ensemble de solutions de sécurité.
Le niveau gratuit de Defender pour le cloud offre une sécurité limitée pour vos ressources dans Azure, ainsi que pour les ressources avec Arc en dehors d’Azure. Les fonctionnalités de sécurité renforcée étendent ces capacités pour inclure la Gestion des menaces et des vulnérabilités, ainsi que les rapports de conformité réglementaire. Les plans Defender pour le cloud vous aident à rechercher et à corriger les vulnérabilités de sécurité, à appliquer des contrôles d’accès et d’application pour bloquer les activités malveillantes, à détecter les menaces à l’aide de l’analytique et de l’analyse décisionnelle et à répondre rapidement en cas d’attaque. Vous pouvez essayer Defender pour le cloud Standard gratuitement les 30 premiers jours. Nous vous recommandons d’activer des fonctionnalités de sécurité améliorées sur vos abonnements Azure dans Defender pour Cloud.
Utilisez Defender pour le cloud pour obtenir une vue centrale de l’état de sécurité de toutes vos ressources dans vos propres centres de données, Azure et autres clouds. Vérifiez d’un coup d’œil que les contrôles de sécurité appropriés sont en place et configurés correctement, et identifiez rapidement les ressources nécessitant votre attention.
Defender pour Cloud s’intègre également à Microsoft Defender pour point de terminaison, qui fournit des fonctionnalités complètes de détection et de réponse de point de terminaison (EDR). Avec l’intégration Microsoft Defender pour point de terminaison, vous pouvez détecter les anomalies et les vulnérabilités. Vous pouvez également détecter et traiter les attaques avancées sur les points de terminaison de serveur supervisés par Defender pour le cloud.
Presque toutes les organisations d’entreprises ont un système Security Information and Event Management (SIEM) pour aider à identifier les menaces émergentes en consolidant les informations de journaux à partir de divers appareils de collecte de signaux. Les journaux sont ensuite analysés par un système d’analytique de données pour déterminer ce qui est « intéressant » à partir du bruit inévitable dans toutes les solutions d’analytique et de collecte de données.
Microsoft Sentinel est une solution extensible, native du cloud, d'informations et de gestion des événements de sécurité (SIEM) et d'orchestration de la sécurité et de réponse automatisée (SOAR). Microsoft Sentinel fournit une analytique de sécurité intelligente et le renseignement sur les menaces via la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse automatisée face aux menaces.
Voici quelques meilleures pratiques pour prévenir, détecter et répondre aux menaces :
Bonne pratique : augmentez la vitesse et la scalabilité de votre solution SIEM à l’aide d’un SIEM basé sur le cloud.
Détail : examinez les fonctionnalités et les fonctionnalités de Microsoft Sentinel et comparez-les aux fonctionnalités de ce que vous utilisez actuellement en local. Envisagez d’adopter Microsoft Sentinel si cette solution répond aux exigences SIEM de votre organisation.
Bonne pratique : recherchez les vulnérabilités de sécurité les plus graves afin de pouvoir hiérarchiser l’examen.
Détail : passez en revue votre score de sécurisation Azure pour voir les recommandations résultant des stratégies et initiatives Azure intégrées à Microsoft Defender pour Cloud. Ces recommandations peuvent aider à résoudre les principaux risques tels que les mises à jour de sécurité, la protection de point de terminaison, le chiffrement, les configurations de sécurité, le WAF manquant, les machines virtuelles connectées à Internet et bien plus encore.
Le degré de sécurisation, qui est basé sur les contrôles du Center for Internet Security (CIS), vous permet d’évaluer la sécurité Azure de votre organisation par rapport à des sources externes. Une validation externe permet de confirmer et d’enrichir la stratégie de sécurité de votre équipe.
Bonne pratique : surveillez la posture de sécurité des machines, des réseaux, du stockage et des services de données et des applications pour détecter et hiérarchiser les problèmes de sécurité potentiels.
Détail : suivez les recommandations de sécurité dans Defender for Cloud à partir des éléments de priorité les plus élevés.
Bonne pratique : intégrez les alertes Defender pour Cloud à votre solution SIEM (Security Information and Event Management).
Détail : la plupart des organisations disposant d’un SIEM l’utilisent comme centre d’analyse central pour les alertes de sécurité qui nécessitent une réponse d’analyste. Les événements traités produits par Defender pour le cloud sont publiés dans le journal d’activité Azure, l’un des types de journaux disponibles avec Azure Monitor. Azure Monitor offre un pipeline centralisé pour router les données de monitoring dans un outil SIEM. Pour obtenir des instructions, consultez Diffuser des alertes sur une solution SIEM, SOAR ou IT Service Management . Si vous utilisez Microsoft Sentinel, consultez Connecter Microsoft Defender pour cloud.
Bonne pratique : intégrer les journaux d'Azure à votre SIEM.
Détail : Utilisez Azure Monitor pour collecter et exporter des données. Cette pratique est critique pour permettre d’investiguer sur des incidents de sécurité, et la rétention des journaux en ligne est limitée. Si vous utilisez Microsoft Sentinel, consultez Connecter des sources de données.
Meilleure pratique : accélérez vos processus d’investigation et de repérage et réduisez les faux positifs en intégrant les fonctionnalités EDR (Endpoint Detection and Response) dans votre investigation d’attaque.
Détail : activez l’intégration de Microsoft Defender pour point de terminaison via votre stratégie de sécurité Defender pour cloud. Envisagez d’utiliser Microsoft Sentinel pour la chasse aux menaces et répondre aux incidents.
Superviser le réseau selon un scénario de bout en bout
Les clients créent un réseau de bout en bout dans Azure en combinant des ressources réseau comme un réseau virtuel, ExpressRoute, Application Gateway et des équilibreurs de charge. La surveillance est disponible sur chacune des ressources réseau.
Azure Network Watcher est un service régional. Utilisez ses outils de diagnostic et de visualisation pour superviser et diagnostiquer les conditions au niveau d’un réseau, dans, vers et à partir d’Azure.
Voici des bonnes pratiques pour la supervision du réseau et les outils disponibles.
Bonne pratique : Automatiser la surveillance du réseau distant avec la capture de paquets.
Détail : Surveillez et diagnostiquez les problèmes réseau sans vous connecter à vos machines virtuelles à l’aide de Network Watcher. Déclenchez la capture de paquets en définissant des alertes et en obtenant l’accès aux informations de performances en temps réel au niveau du paquet. Quand vous identifiez un problème, vous pouvez l’examiner en détail pour effectuer de meilleurs diagnostics.
Bonne pratique : obtenez un aperçu du trafic réseau à l’aide des journaux de flux.
Détail : Découvrez plus en détail vos modèles de trafic réseau à l’aide des journaux de flux de groupe de sécurité réseau. Les informations contenues dans les journaux de flux vous aident à recueillir des données sur la conformité, l’audit et la supervision de votre profil de sécurité réseau.
Bonne pratique : diagnostiquer les problèmes de connectivité VPN.
Détail : Utilisez Network Watcher pour diagnostiquer vos problèmes de connexion et de passerelle VPN les plus courants. Vous pouvez non seulement identifier le problème, mais également utiliser des journaux d’activité détaillés pour approfondir vos recherches.
Sécuriser le déploiement à l’aide d’outils DevOps éprouvés
Utilisez les bonnes pratiques DevOps suivantes pour garantir la productivité et l’efficacité de votre entreprise et de vos équipes.
Bonne pratique : Automatiser la génération et le déploiement des services.
Détail : l’infrastructure en tant que code est un ensemble de techniques et de pratiques qui aident les professionnels de l’informatique à supprimer le fardeau de la génération et de la gestion quotidiennes de l’infrastructure modulaire. Elle permet aux professionnels de l’informatique de générer et de gérer leur environnement serveur moderne d’une façon similaire à celle dont les développeurs de logiciels génèrent et gèrent le code de l’application.
Vous pouvez utiliser Azure Resource Manager pour approvisionner vos applications à l’aide d’un modèle déclaratif. Dans un modèle unique, vous pouvez déployer plusieurs services ainsi que leurs dépendances. Le même modèle vous permet de déployer plusieurs fois votre application à chaque phase du cycle de vie de l’application.
Bonne pratique : créez et déployez automatiquement sur des applications web azure ou des services cloud.
Détail : vous pouvez configurer vos projets Azure DevOps pour générer et déployer automatiquement sur des applications web ou des services cloud Azure. Azure DevOps déploie automatiquement les fichiers binaires après avoir effectué une génération sur Azure au terme de chaque archivage de code. Le processus de génération de package est équivalent à la commande Package de Visual Studio, et les étapes de la publication sont identiques à la commande Publier dans Visual Studio.
Bonne pratique : Automatiser la gestion des mises en production.
Détail : Azure Pipelines est une solution permettant d’automatiser le déploiement en plusieurs étapes et de gérer le processus de mise en production. Créez des pipelines de déploiement gérés et continus pour des publications rapides, faciles et fréquentes. Avec Azure Pipelines, vous pouvez automatiser votre processus de mise en production et avoir des workflows d’approbation prédéfinis. Déployez localement et dans le cloud, étendez et personnalisez en fonction de vos besoins.
Bonne pratique : vérifiez les performances de votre application avant de le lancer ou de déployer des mises à jour en production.
Détail : Exécutez des tests de charge basés sur le cloud pour :
- Rechercher des problèmes de performances dans votre application.
- Améliorer la qualité du déploiement.
- Garantir que votre application est toujours disponible.
- Garantir que votre application peut gérer le trafic de votre prochaine campagne de lancement ou marketing.
Apache JMeter est un outil open source gratuit et populaire avec un soutien fort de la communauté.
Bonne pratique : surveiller les performances des applications.
Détail : Azure Application Insights est un service de gestion des performances des applications extensible (APM) pour les développeurs web sur plusieurs plateformes. Utilisez Application Insights pour superviser votre application web en direct. Il détecte automatiquement les problèmes de performances. Il intègre des outils d’analyse pour vous aider à diagnostiquer les problèmes et à comprendre ce que font les utilisateurs avec votre application. Il a été conçu pour vous permettre d’améliorer continuellement les performances et la convivialité.
Prévenir les attaques DDoS et s’en protéger
DDoS (Distributed Denial of Service, déni de service distribué) est un type d’attaque qui tente d’épuiser les ressources d’une application. Son objectif est d’affecter la disponibilité de l’application et sa capacité à gérer des demandes légitimes. Ces attaques de plus en plus sophistiquées gagnent en importance et en impact. Elles peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.
La conception et la génération d’une résilience DDoS nécessitent la planification et la conception de divers modes d’échec. Voici les bonnes pratiques relatives à la création de services résistants aux attaques DDoS sur Azure.
Bonne pratique : assurez-vous que la sécurité est une priorité tout au long du cycle de vie d’une application, de la conception et de l’implémentation au déploiement et aux opérations. Les applications peuvent contenir des bogues qui laissent un volume relativement faible de requêtes conçues utiliser beaucoup de ressources, ce qui entraîne une interruption de service.
Détail : Pour protéger un service exécuté sur Microsoft Azure, vous devez avoir une bonne compréhension de votre architecture d’application et vous concentrer sur les cinq piliers de la qualité des logiciels. Vous devez avoir connaissance des volumes de trafic habituels, du modèle de connectivité entre l’application et d’autres applications, et des points de terminaison de service exposés à l’Internet public.
Il est extrêmement important que vous conceviez une application suffisamment résiliente pour surmonter une attaque ciblée par déni de service. La sécurité et la confidentialité sont intégrées à la plateforme Azure, en commençant par le cycle de vie du développement de la sécurité (SDL). SDL tient compte de la sécurité à chaque phase de développement et vérifie qu’Azure est continuellement mis à jour pour le rendre encore plus sécurisé.
Bonne pratique : Concevez vos applications pour qu’elles s’adaptent horizontalement pour répondre à la demande d’une charge amplifiée, en particulier en cas d’attaque DDoS. Si votre application repose sur une seule instance unique d’un service, cela crée un point de défaillance unique. L’approvisionnement de plusieurs instances rend votre système plus résilient et plus évolutif.
Détail : Pour Azure App Service, sélectionnez un plan App Service qui offre plusieurs instances.
Pour Azure Cloud Services, configurez chacun de vos rôles pour utiliser plusieurs instances.
Pour les machines virtuelles Azure, vérifiez que votre architecture de machine virtuelle inclut plusieurs machines virtuelles et que chaque machine virtuelle est incluse dans un groupe à haute disponibilité. Nous vous recommandons d’utiliser des groupes de machines virtuelles identiques pour les fonctionnalités de mise à l’échelle automatique.
Meilleure pratique : superposer les défenses de sécurité au sein d'une application réduit le risque d'une attaque réussie. Implémentez des conceptions sécurisées pour vos applications à l’aide des fonctionnalités intégrées à la plateforme Azure.
Détail : Le risque d’attaque augmente avec la taille (surface) de l’application. Vous pouvez réduire la surface d’exposition à l’aide d’une liste d’approbation pour fermer l’espace d’adressage IP exposé et les ports d’écoute qui ne sont pas nécessaires sur les équilibreurs de charge (Azure Load Balancer et Azure Application Gateway).
Les groupes de sécurité réseau sont un autre moyen de réduire la surface d’attaque. Vous pouvez utiliser des étiquettes de service et des groupes de sécurité d’application pour réduire la complexité de la création de règles de sécurité et la configuration de la sécurité réseau, en tant qu’extension naturelle de la structure d’une application.
Vous devez déployer des services Azure dans un réseau virtuel dans la mesure du possible. Les ressources de service peuvent ainsi communiquer par le biais d’adresses IP privées. Le trafic du service Azure à partir d’un réseau virtuel utilise des adresses IP publiques comme adresses IP source par défaut.
L’utilisation de points de terminaison de service change le trafic de service pour utiliser des adresses privées de réseau virtuel comme adresses IP sources lorsqu’elles accèdent au service Azure à partir d’un réseau virtuel.
Il arrive fréquemment que les ressources locales d’un client soient attaquées en même temps que ses ressources dans Azure. Si vous connectez un environnement local à Azure, réduisez l’exposition des ressources locales à l’Internet public.
Azure propose deux offres de service DDoS qui fournissent une protection contre les attaques réseau :
- La protection de base est intégrée à Azure par défaut sans coût supplémentaire. De par son échelle et sa capacité, le réseau Azure déployé à l’échelle mondiale assure une défense contre les attaques courantes de la couche réseau. Cette défense est par ailleurs renforcée par le monitoring continu du trafic et l’atténuation en temps réel. La protection de base ne nécessite aucun changement de la part de l’utilisateur au niveau de configuration ou de l’application et permet de protéger tous les services Azure, notamment les services PaaS comme Azure DNS.
- La protection standard fournit des fonctions d’atténuation DDoS avancées contre les attaques réseau. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques. La protection est facile à activer pendant la création de réseaux virtuels. Vous pouvez également l’activer après la création ; aucun changement au niveau de l’application ou de la ressource ne s’impose.
Activer Azure Policy
Azure Policy est un service dans Azure que vous utilisez pour créer, affecter et gérer des stratégies. Ces stratégies appliquent des règles et effets sur vos ressources, qui restent donc conformes aux normes et aux contrats de niveau de service de l’entreprise. en évaluant vos ressources pour vérifier leur conformité par rapport aux stratégies affectées.
Activez Azure Policy pour surveiller et appliquer la stratégie écrite de votre organisation. Cela permettra d’assurer la conformité aux exigences de sécurité obligatoires ou de votre société en gérant de façon centralisée les stratégies de sécurité dans toutes vos charges de travail cloud hybrides. Découvrez comment créer et gérer des stratégies pour appliquer la conformité. Consultez la structure de définition Azure Policy pour obtenir une vue d’ensemble des éléments d’une stratégie.
Bonne pratique : Utilisez Azure Policy pour appliquer des recommandations Microsoft Cloud Security Benchmark v2 (préversion) dans votre environnement.
Détails : Microsoft Cloud Security Benchmark v2 (préversion) fournit des meilleures pratiques de sécurité complètes avec une couverture étendue d’Azure Policy (420 mesures basées sur des stratégies). Attribuez des stratégies Microsoft Cloud Security Benchmark v2 (préversion) à vos abonnements et groupes d’administration pour auditer et appliquer en continu des configurations sécurisées. Le benchmark inclut de nouveaux contrôles pour la sécurité de l’IA, l’informatique confidentielle et la détection améliorée des menaces. Utilisez le tableau de bord de conformité réglementaire Defender pour cloud pour suivre la conformité et identifier les lacunes de sécurité nécessitant une correction.
Voici quelques meilleures pratiques de sécurité à suivre après avoir adopté Azure Policy :
Bonne pratique : la stratégie prend en charge plusieurs types d’effets. Vous pouvez en savoir plus sur ces informations dans la structure de définition Azure Policy. Les opérations commerciales peuvent être affectées négativement par l’effet de refus et l’effet de correction . Commencez donc par l’effet d’audit pour limiter le risque d’impact négatif de la stratégie.
Détail : démarrez les déploiements de stratégie en mode audit , puis progressez ultérieurement pour refuser ou corriger. Testez et examinez les résultats de l’effet d’audit avant de passer au refus ou à la correction.
Pour plus d’informations, consultez Créer et gérer des stratégies pour appliquer la conformité.
Bonne pratique : identifiez les rôles responsables de la surveillance des violations de stratégie et assurez-vous que la bonne action de correction est rapidement effectuée.
Détails : Faites en sorte que le rôle affecté surveille la conformité via le portail Azure ou la ligne de commande.
Bonne pratique : Azure Policy est une représentation technique des stratégies écrites d’une organisation. Mappez toutes les définitions Azure Policy vers des stratégies organisationnelles pour éviter la confusion et améliorer la cohérence.
Détail : Mappage de documents dans la documentation de votre organisation ou dans la définition Azure Policy elle-même en ajoutant une référence à la stratégie organisationnelle dans la définition de stratégie ou la description de la définition d’initiative .
Surveiller les rapports de risques Microsoft Entra
La grande majorité des violations de sécurité ont lieu lorsque des cybercriminels parviennent à accéder à un environnement en volant l’identité d’un utilisateur. Détecter les identités compromises n’est pas chose aisée. Microsoft Entra ID utilise les algorithmes Machine Learning et des modèles heuristiques adaptatifs pour détecter les actions suspectes liées aux comptes de votre utilisateur. Chaque action suspecte détectée est stockée dans un enregistrement appelé détection des risques. Les détections de risques sont enregistrées dans les rapports de sécurité Microsoft Entra. Pour plus d’informations, consultez le rapport de sécurité des utilisateurs à risque et le rapport de sécurité des connexions risquées.
Étapes suivantes
Consultez les meilleures pratiques et modèles de sécurité Azure pour obtenir des meilleures pratiques de sécurité à utiliser lorsque vous concevez, déployez et gérez vos solutions cloud à l’aide d’Azure.
Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :
- Blog de l’équipe de sécurité Azure : pour obtenir des informations à jour sur la dernière version d’Azure Security
- Centre de réponse à la sécurité Microsoft : où les vulnérabilités de sécurité Microsoft, y compris les problèmes liés à Azure, peuvent être signalées ou par e-mail à secure@microsoft.com