Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurité opérationnelle Azure fait référence aux services, contrôles et fonctionnalités disponibles aux utilisateurs pour protéger leurs données, applications et autres ressources dans Microsoft Azure. C’est un cadre qui intègre les connaissances acquises via différents outils propres à Microsoft. Ces fonctionnalités incluent Microsoft Security Development Lifecycle (SDL), le programme Microsoft Security Response Center et une connaissance approfondie du paysage des menaces de cybersécurité.
Services de gestion Azure
Une équipe des opérations informatiques est chargée de gérer l’infrastructure du centre de données, les applications et les données, ainsi que la stabilité et la sécurité de ces systèmes. Toutefois, l’obtention d’informations de sécurité dans des environnements informatiques de plus en plus complexes requiert souvent de la part des organisations qu’elles bricolent et rassemblent les données de plusieurs systèmes de sécurité et de gestion.
Journaux Microsoft Azure Monitor est une solution de gestion informatique basée sur le cloud qui vous permet de gérer et protéger votre infrastructure locale et dans le cloud. Ses fonctionnalités principales sont fournies par les services suivants qui s’exécutent dans Azure. Azure comporte plusieurs services qui vous aident à gérer et protéger votre infrastructure locale et cloud. Chaque service propose une fonction de gestion spécifique. Vous pouvez combiner des services pour obtenir différents scénarios d’administration.
Azure Monitor
Azure Monitor collecte des données à partir de sources managées dans des banques de données centrales. Ces données peuvent inclure des événements, des données de performance ou des données personnalisées fournies par l’API. Une fois collectées, les données sont disponibles pour les fonctions d’alerte, d’analyse et d’exportation.
Vous pouvez consolide rles données provenant de différentes sources, et combiner celles de vos services Azure à celles de votre environnement local. La solution Journaux Azure Monitor dissocie clairement la collecte des données, de l’action exécutée sur celles-ci, afin que toutes les actions soient disponibles pour tous les types de données.
Automatisation
Azure Automation vous permet d’automatiser les tâches répétitives, manuelles, longues et susceptibles de générer des erreurs, qui sont fréquemment exécutées dans un environnement cloud et d’entreprise. Il fait gagner du temps et augmente la fiabilité des tâches d’administration. Il planifie même l’exécution automatique de ces tâches à intervalles réguliers. Vous pouvez automatiser les processus à l’aide de runbooks ou automatiser la gestion de la configuration avec la Configuration de l’état souhaité (DSC, Desired State Configuration).
Backup
Sauvegarde Azure est le service Azure qui vous permet de sauvegarder (ou protéger) et de restaurer vos données dans Microsoft Cloud. Il remplace votre solution de sauvegarde locale ou hors site par une solution cloud à la fois fiable, sécurisée et économique.
Sauvegarde Azure propose plusieurs composants que vous pouvez télécharger et déployer sur l’ordinateur ou le serveur approprié, ou encore dans le cloud. Vous déployez un composant (ou un agent) en fonction de ce que vous souhaitez protéger. Vous pouvez utiliser tous les composants de Sauvegarde Azure (que vous protégiez des données en local ou dans le cloud) pour sauvegarder des données dans un coffre Azure Recovery Services.
Pour plus d’informations, consultez le tableau des composants de Sauvegarde Azure.
Site Recovery
Azure Site Recovery assure la continuité de l’activité en orchestrant la réplication des machines virtuelles et physiques locales vers Azure ou vers un site secondaire. Si votre site principal est indisponible, vous basculez vers l’emplacement secondaire afin que les utilisateurs puissent continuer à travailler. Puis, vous rebasculez vers le site principal lorsque les systèmes redeviennent opérationnels. Utilisez Microsoft Defender pour le cloud pour effectuer une détection des menaces plus intelligente et efficace.
Microsoft Entra ID
Microsoft Entra ID est un service d’identité complet qui :
- Autorise la gestion des identités et des accès (IAM) dans un service cloud.
- Assure une gestion centralisée des accès, l’authentification unique et la création de rapports.
- Prend en charge la gestion intégrée des accès à des milliers d’applications dans Place de marché Microsoft Azure, notamment Salesforce, Google Apps, Box et Concur.
Microsoft Entra ID inclut également une suite complète de fonctionnalités de gestion des identités, dont :
- Authentification multifacteur
- Gestion des mots de passe en libre-service
- Gestion des groupes en libre service
- Gestion des comptes privilégiés
- Contrôle d’accès en fonction du rôle Azure (Azure RBAC)
- Surveillance de l’utilisation des applications
- Audit détaillé
- Surveillance et alerte de sécurité
Avec Microsoft Entra ID, toutes les applications que vous publiez pour vos partenaires et clients (professionnels et particuliers) ont les mêmes fonctionnalités de gestion des identités et des accès. Vous êtes ainsi en mesure de réduire de manière significative vos coûts opérationnels.
Microsoft Defender pour le cloud
Microsoft Defender pour le cloud vous aide à prévenir, détecter et répondre aux menaces avec une visibilité (et un contrôle accrus) sur la sécurité de vos ressources Azure. Il intègre la gestion des stratégies de sécurité et de la surveillance dans vos abonnements. Il permet de détecter les menaces qui pourraient passer inaperçues et fonctionne avec un vaste écosystème de solutions de sécurité.
Sauvegardez les données des machines virtuelles dans Azure en offrant une visibilité sur les paramètres de sécurité de vos machines virtuelles et en surveillant les menaces. Defender pour le cloud peut surveiller les éléments suivants sur vos machines virtuelles :
- Paramètres de sécurité du système d’exploitation avec les règles de configuration recommandées.
- Mise à jour critiques et de sécurité du système qui sont manquantes.
- Suggestions pour la protection des points de terminaison.
- Validation du chiffrement des disques.
- Attaques réseau.
Defender pour le cloud utilise le contrôle d’accès en fonction du rôle Azure (Azure RBAC). Azure RBAC fournit des rôles intégrés qui peuvent être attribués à des utilisateurs, des groupes et des services dans Azure.
Defender pour le cloud évalue la configuration de vos ressources pour identifier les vulnérabilités et les problèmes de sécurité. Dans Defender pour le cloud, vous ne voyez les informations relatives à une ressource que lorsque vous avez reçu le rôle de propriétaire, de collaborateur ou de lecteur pour l’abonnement ou le groupe de ressources auquel appartient une ressource.
Notes
Pour en savoir plus sur les rôles et les actions autorisées dans Defender pour le cloud, consultez Autorisations dans Microsoft Defender pour le cloud.
Defender pour le cloud utilise le Microsoft Monitoring Agent. Il s’agit du même agent que celui utilisé par le service Azure Monitor. Les données collectées par cet agent sont stockées dans un espace de travail Log Analytics associé à votre abonnement Azure ou dans un nouvel espace de travail, selon l’emplacement géographique de la machine virtuelle.
Azure Monitor
Les problèmes de performances dans votre application cloud peuvent affecter votre entreprise. Avec plusieurs composants interconnectés et de nouvelles versions fréquentes, des dégradations peuvent se produire à tout moment. Et si vous développez une application, vos utilisateurs découvrent généralement des problèmes que vous n’avez pas trouvés dans le test. Vous devez être informé de ces problèmes immédiatement et avoir en main des outils pour les diagnostiquer et les résoudre.
Azure Monitor est l’outil de base pour la surveillance des services s’exécutant sur Azure. Il vous fournit des données au niveau de l’infrastructure sur le débit d’un service et l’environnement. Si vous gérez toutes vos applications dans Azure et décidez d’augmenter ou de diminuer les ressources, Azure Monitor est l’outil qu’il vous faut.
Vous pouvez également utiliser les données de surveillance pour obtenir des informations détaillées sur votre application. Ces connaissances peuvent vous aider à améliorer les performances de l’application ou sa facilité de gestion, ou à automatiser des actions qui exigeraient normalement une intervention manuelle.
Azure Monitor comprend les composants suivants :
Journal des activités Azure
Le journal d’activité Azure fournit des informations sur les opérations qui ont été effectuées sur les ressources de votre abonnement. Il était auparavant appelé « journal d’audit » ou « journal des opérations », car il indique les événements de plan de contrôle concernant vos abonnements.
Journaux de diagnostic Azure
Les journaux de diagnostic Azure sont générés par une ressource et fournissent des informations complètes et fréquentes sur le fonctionnement de cette ressource. Le contenu de ces journaux d’activité varie en fonction du type de ressource.
Les journaux d’activité système des événements Windows sont une catégorie de journaux de diagnostic pour les machines virtuelles. Les journaux d’activité d’objet blob, de table et de file d’attente sont des catégories de journaux de diagnostic pour les comptes de stockage.
Les journaux de diagnostic sont différents du journal d’activité. Le journal d’activité fournit des informations sur les opérations qui ont été effectuées sur les ressources de votre abonnement. Les journaux de diagnostic fournissent des informations détaillées sur les opérations effectuées par votre ressource.
Mesures
Azure Monitor vous fournit des données de télémétrie qui vous offrent une visibilité sur les performances et l’intégrité de vos charges de travail sur Azure. Les métriques (aussi appelées compteurs de performances) générées par la plupart des ressources Azure sont les données de télémétrie Azure les plus importantes. Azure Monitor propose plusieurs façons de configurer et d’utiliser ces mesures pour l’analyse et le dépannage.
Diagnostics Azure
Diagnostics Azure autorise la collecte de données de diagnostic sur une application déployée. Vous pouvez utiliser l’extension Diagnostics de différentes sources. Les sources actuellement prises en charge sont les rôles de service cloud Azure, les machines virtuelles Azure exécutant Microsoft Windows et Azure Service Fabric.
Azure Network Watcher
Les clients créent un réseau de bout en bout dans Azure en orchestrant et en composant des ressources réseau telles que des réseaux virtuels, ExpressRoute, Azure Application Gateway, des équilibreurs de charge, etc. La surveillance est disponible sur chacune des ressources réseau.
Le réseau de bout en bout peut avoir des configurations complexes et les interactions entre les ressources. Au final, ces scénarios complexes requièrent une surveillance spécifique via Azure Network Watcher.
Network Watcher simplifie la surveillance et le diagnostic de votre réseau Azure. Vous pouvez utiliser les outils de diagnostic et de visualisation de Network Watcher pour :
- Effectuer des captures de paquets à distance sur une machine virtuelle Azure.
- Analyser votre trafic réseau de manière détaillée à l’aide des journaux de flux.
- Diagnostiquer la passerelle VPN Azure et les connexions.
Network Watcher propose actuellement les fonctionnalités suivantes :
- Topologie : affiche une vue des différentes interconnexions et associations entre les ressources réseau d'un groupe de ressources.
- Capture de paquets variables : capture les données des paquets qui entrent et sortent d’une machine virtuelle. Les options avancées de filtrage et les contrôles précis, comme la possibilité de définir des limites de taille et de temps, sont sources de polyvalence. Les données des paquets peuvent être stockées dans un magasin de blobs ou sur le disque local au format .cap.
- Vérification des flux IP : détermine si un paquet est autorisé ou refusé en fonction des paramètres de flux (adresse IP de destination, adresse IP source, port de destination, port source et protocole) des paquets à 5 tuples. Si un groupe de sécurité refuse le paquet, la règle et le groupe qui ont refusé ce paquet sont renvoyés.
- Tronçon suivant : détermine le tronçon suivant des paquets routés dans la structure de réseau Azure pour diagnostiquer les itinéraires définis par l'utilisateur mais mal configurés.
- Affichage des groupes de sécurité : Obtient les règles de sécurité effectives et appliquées à une machine virtuelle.
- Journaux de flux NSG des groupes de sécurité réseau : vous permettent de capturer les journaux d’activité relatifs au trafic autorisé ou refusé par les règles de sécurité du groupe. Le flux est défini par des informations à 5 tuples : adresse IP source, adresse IP de destination, port source, port de destination et protocole.
- Résolution des problèmes de passerelle de réseau virtuel et de connexion : permet de résoudre les problèmes des connexions et des passerelles de réseau virtuel.
- Limites d’abonnement réseau : vous permet d’afficher l’utilisation des ressources réseau par rapport aux limites.
- Journaux de diagnostic : fournit un volet permettant d’activer ou de désactiver les journaux de diagnostic des ressources réseau d’un groupe de ressources.
Pour plus d’informations, consultez Créer une instance d’Azure Network Watcher.
Transparence de l’accès du fournisseur de services cloud
Customer Lockbox pour Microsoft Azure est un service intégré au portail Azure qui vous offre un contrôle explicite dans les rares cas où un ingénieur du support Microsoft peut avoir besoin d’accéder à vos données pour résoudre un problème.
Les cas où un ingénieur du support Microsoft requiert des autorisations élevées pour résoudre un problème sont rares, par exemple : débogage d’un problème d’accès à distance. Dans ces cas, les ingénieurs Microsoft utilisent le service d’accès juste-à-temps qui fournit une autorisation limitée avec un accès limité au service.
Microsoft a toujours obtenu le consentement des clients concernant l’accès, mais Customer Lockbox vous permet à présent de vérifier et d’approuver ou de refuser ces demandes à partir du portail Azure. Les ingénieurs du support Microsoft n’obtiendront l’accès que si vous approuvez la requête.
Déploiements standardisés et conformes
Azure Blueprints permet aux architectes cloud et aux membres de l’informatique centrale de définir un ensemble reproductible de ressources Azure qui implémentent et respectent les normes, modèles et exigences d’une organisation.
Cela permet aux équipes DevOps de créer et de mettre en place rapidement de nouveaux environnements et de savoir qu’elles les génèrent à l’aide d’une infrastructure qui respecte la conformité de l’organisation.
Blueprints fournit un moyen déclaratif d’orchestrer le déploiement de divers modèles de ressources et d’autres artefacts, notamment ceux-ci :
- Affectations de rôles
- Affectations de stratégies
- Modèles Microsoft Azure Resource Manager
- Groupes de ressources
DevOps
Avant le développement d’applications DevOps, des équipes sont chargées de définir les fonctionnalités métier d’un programme logiciel et d’écrire le code. Ensuite, une autre équipe de contrôle qualité teste le programme dans un environnement de développement isolé. Si le programme passe le contrôle, l’équipe de contrôle qualité transmet le code à l’équipe des opérations pour qu’elle le déploie. Les équipes de déploiement sont ensuite réparties en groupes, par exemple mise en réseau et base de données. Chaque fois qu’un logiciel est transmis à une équipe indépendante, cela crée des goulots d’étranglement.
DevOps permet aux équipes de proposer des solutions plus sécurisées et de meilleure qualité, plus rapidement et à moindre coût. Les clients s’attendent à une expérience dynamique et fiable lors de l’utilisation de logiciels et de services. Les équipes doivent effectuer rapidement une itération sur les mises à jour logicielles et mesurer l’impact de ces mises à jour. Elles doivent réagir rapidement avec des nouvelles itérations de développement pour résoudre les problèmes ou valoriser la solution.
Les plateformes cloud comme Microsoft Azure ont supprimé les goulots d’étranglement traditionnels et aidé à faire de l’infrastructure une marchandise. Dans tous les secteurs, ce sont les logiciels qui font la différence dans les résultats des entreprises. Aucune organisation, aucun développeur ni aucun professionnel de l’informatique ne peut se permettre d’ignorer le mouvement DevOps.
Les professionnels DevOps expérimentés adoptent plusieurs des pratiques suivantes. Ces pratiques impliquent de faire appel à des collaborateurs pour concevoir des stratégies basées sur les scénarios spécifiques de l’entreprise. Les outils contribuent à automatiser les différentes pratiques.
- Des techniques de planification et gestion de projets agiles sont utilisées pour planifier et répartir le travail en sprints, pour gérer la capacité de l’équipe et pour aider les équipes à s’adapter rapidement à l’évolution des besoins de l’entreprise.
- Le contrôle de version, généralement avec Git, permet à des équipes situées n’importe où dans le monde de partager la source et d’effectuer des intégrations avec des outils de développement logiciel pour automatiser le pipeline de mise en production.
- L’intégration continue stimule la fusion et le test de code en continu, ce qui permet de trouver les erreurs plus tôt. Les autres avantages sont notamment un gain de temps sur la résolution des problèmes de fusion et la rapidité des retours pour les équipes de développement.
- La livraison continue de solutions logicielles dans les environnements de production et de test permet aux organisations de corriger rapidement les bogues et de répondre aux besoins de l’entreprise en constante évolution.
- La surveillance des applications en cours d’exécution, y compris des environnements de production pour l’intégrité des applications et l’utilisation par les clients, aide les organisations à formuler une hypothèse et à confirmer/infirmer rapidement des stratégies. Les données enrichies sont capturées et stockées dans divers formats d’enregistrement.
- L’infrastructure en tant que code (IaC) est une pratique qui permet d’automatiser et de valider la création et la suppression de réseaux et de machines virtuelles afin de fournir des plateformes stables et sûres pour l’hébergement d’applications.
- L’architecture en microservices permet d’isoler des cas d’usage métier en petits services réutilisables. Cette architecture est synonyme d’extensibilité et d’efficacité.
Étapes suivantes
Pour en savoir plus sur la solution Security and Audit, consultez les articles suivants :