Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure fournit des services et technologies de sécurité complets sur toutes les couches de vos déploiements cloud. Cet article présente les principales fonctionnalités de sécurité organisées par domaine, avec des liens vers des articles de vue d’ensemble détaillés pour plus d’informations.
Pour obtenir des bonnes pratiques de sécurité spécifiques et des conseils d’implémentation détaillés, reportez-vous aux articles de vue d’ensemble spécifiques au domaine liés dans ce document.
Gestion de l’identité et de l’accès
| Service | Descriptif |
|---|---|
| Microsoft Entra ID | Service de gestion des identités et des accès cloud prenant en charge l’authentification unique (SSO), l’authentification multifacteur (MFA), l’accès conditionnel et l’authentification sans mot de passe. |
| Contrôle d’accès en fonction du rôle Azure (RBAC) | Gestion des accès affinée avec des rôles intégrés et personnalisés, assignables au niveau du groupe d’administration, de l’abonnement, du groupe de ressources ou de l’étendue des ressources. |
| Microsoft Entra Privileged Identity Management | Accès privilégié juste-à-temps aux rôles Azure et Microsoft Entra avec des flux de travail d’approbation, des revues d'accès et l'historique des audits. |
| Révisions d’accès Microsoft Entra | Révisions planifiées des appartenances aux groupes, de l’accès aux applications et des attributions de rôles avec des recommandations et corrections automatisées. |
| Proxy d’application Microsoft Entra | Sécuriser l’accès à distance aux applications web locales sans VPN, à l’aide de l’authentification Microsoft Entra et de l’accès conditionnel. |
| Microsoft Entra Connect / Cloud Sync | Synchronisation des identités hybrides entre Active Directory local et Microsoft Entra ID pour la gestion unifiée des identités. |
Pour obtenir des fonctionnalités détaillées de sécurité des identités et des bonnes pratiques, consultez la vue d’ensemble de la sécurité de gestion des identités Azure.
Sécurité réseau
| Service | Descriptif |
|---|---|
| Réseau virtuel Azure | Réseau privé isolé avec des sous-réseaux, des tables de routage et des paramètres DNS. Fondation pour toute la sécurité réseau Azure. |
| Groupes de sécurité réseau (NSG) | Filtrage de paquets avec état avec des règles quintuples, des étiquettes de service et des groupes de sécurité d’application pour un contrôle d’accès granulaire. |
| Pare-feu Azure | Pare-feu avec état natif dans le cloud avec haute disponibilité intégrée. La référence SKU standard offre un filtrage L3-L7 ; La référence SKU Premium ajoute l’inspection IDPS et TLS. |
| Pare-feu d’applications web (WAF) | Protection centralisée contre les 10 principales vulnérabilités de l'OWASP, l’injection SQL, le cross-site scripting et les attaques de bot. |
| Azure DDoS Protection | Surveillance du trafic en continu avec un réglage adaptatif, une mitigation en temps réel et une analyse des attaques pour les attaques volumétriques et liées aux protocoles. |
| Azure Private Link | Connectivité privée aux services PaaS Azure via un point de terminaison privé dans votre réseau virtuel, ce qui élimine l’exposition à l’Internet public. |
| Points de terminaison de service de réseau virtuel | Connectivité directe aux services Azure sur le réseau principal Azure, limitant l’accès à vos réseaux virtuels uniquement. |
| Passerelle VPN Azure | Connectivité intersite chiffrée à l’aide de tunnels VPN IPsec/IKE pour les connexions de site à site et de point à site. |
| Azure ExpressRoute | Connexion de réseau étendu privé dédié aux services cloud Microsoft, contournant l’Internet public pour renforcer la sécurité et la fiabilité. |
| Application Gateway Azure | Équilibreur de charge de couche 7 avec arrêt TLS, affinité de session basée sur les cookies, routage basé sur l’URL et WAF intégré. |
| Porte d’entrée azur | Équilibreur de charge HTTP global avec accélération de périphérie, WAF intégré, protection DDoS au niveau de la plate-forme et sources back-end Private Link. |
| Azure Network Watcher | Analyse du réseau, diagnostics et analyse de sécurité, notamment les journaux de flux NSG, la capture de paquets et le dépannage des connexions. |
Pour obtenir des conseils complets sur la sécurité réseau et des bonnes pratiques, consultez la vue d’ensemble de la sécurité réseau Azure.
Chiffrement des données
| Service | Descriptif |
|---|---|
| Storage Service Encryption Azure | Chiffrement AES 256 automatique pour toutes les données au repos dans le stockage Blob Azure, Azure Files, le stockage File d’attente et le stockage Table. |
| Azure SQL Database Transparent Data Encryption (TDE) | Chiffrement en temps réel des bases de données, des sauvegardes et des journaux des transactions au repos. Activé par défaut avec prise en charge des clés gérées par le client. |
| Always Encrypted | Le chiffrement côté client pour Azure SQL Database garantit que les données restent chiffrées tout au long de son cycle de vie, même des administrateurs de base de données. |
| Azure Disk Encryption | Chiffrement pour les disques de système d’exploitation et de données à l’aide de clés gérées par la plateforme, de clés gérées par le client ou d’un double chiffrement avec les deux. |
| Chiffrement dans Azure Cosmos DB | Chiffrement automatique au repos à l'aide de clés gérées par le service, avec prise en charge facultative de clés gérées par le client (CMK). |
| Chiffrement d'Azure Data Lake | Chiffrement transparent au repos activé par défaut avec des options pour les clés gérées par Microsoft ou gérées par le client. |
| Chiffrement TLS en transit | Transport Layer Security (TLS 1.2+) pour toutes les communications de service Azure avec le secret de transfert parfait (PFS). |
| Chiffrement de liaison de données MACsec | Chiffrement point à point à l’aide de l’IEEE 802.1AE pour tout le trafic Azure entre les centres de données. |
Pour obtenir des options de chiffrement détaillées et des bonnes pratiques, consultez la vue d’ensemble du chiffrement Azure.
Gestion des clés et des secrets
| Service | Descriptif |
|---|---|
| Azure Key Vault | Stockage sécurisé pour les clés, les secrets et les certificats avec la validation FIPS 140-2 De niveau 1 (niveau Standard) ou FIPS 140-3 Niveau 3 (niveau Premium avec HSM). |
| HSM géré par Azure Key Vault | Service HSM à locataire unique conforme FIPS 140-3 niveau 3, offrant un contrôle client complet avec prise en charge des clés confidentielles. S’intègre aux services PaaS Azure. |
| Azure Cloud HSM | Cluster HSM entièrement managé et monolocataire conforme FIPS 140-3 de niveau 3, prenant en charge PKCS#11, le déchargement SSL/TLS et les scénarios de migration sur site. IaaS uniquement. |
| HSM de paiement Azure | Client unique conforme FIPS 140-2 Niveau 3, conforme PCI HSM v3 pour les opérations de traitement de paiement. |
Pour obtenir des options complètes de gestion des clés, consultez Gestion des clés dans Azure.
Détection et réponse aux menaces
| Service | Descriptif |
|---|---|
| Microsoft Defender pour le Cloud | Sécurité cloud unifiée avec gestion de la posture (CSPM), protection des charges de travail (CWP) et détection avancée des menaces dans Azure, AWS, GCP et environnements hybrides. Intégré au portail Microsoft Defender. |
| Microsoft Sentinel | Solution SIEM et SOAR native au cloud avec le machine learning, l’analyse comportementale des utilisateurs et des entités (UEBA), l’intégration des renseignements sur les menaces et les playbooks automatisés. |
| Microsoft Entra ID Protection | Protection des identités basée sur les risques détectant les comportements de connexion anormales et les comptes compromis à l’aide du Machine Learning. |
| Microsoft Defender pour Cloud Apps | Cloud Access Security Broker (CASB) offrant une visibilité, un contrôle des données et une protection contre les menaces pour les applications cloud, notamment la découverte de l’informatique fantôme. |
| Microsoft Antimalware pour Azure | Protection en temps réel, analyse planifiée et correction automatique des programmes malveillants pour les services cloud Azure et les machines virtuelles. |
Pour obtenir des informations complètes sur les fonctionnalités de détection des menaces et les meilleures pratiques, consultez La protection contre les menaces Azure.
Intégrité de la plateforme
| Service | Descriptif |
|---|---|
| Sécurité du microprogramme | Sécuriser la vérification de l’intégrité de la chaîne d’approvisionnement et du microprogramme pour le matériel Azure à partir de la fabrication via le déploiement. |
| Démarrage sécurisé UEFI | Garantit que seuls les systèmes d’exploitation et les pilotes signés peuvent démarrer, en protégeant contre les programmes malveillants au niveau du microprogramme. |
| Intégrité du code de plateforme | Stratégies d’intégrité du code qui valident tout le code avant l’exécution sur l’infrastructure Azure. |
| Démarrage mesuré et attestation de l'hôte | Vérification de chiffrement de la séquence de démarrage pour garantir que les hôtes sont dans un état sécurisé et fiable. |
| Projet Cerberus | Racine de confiance matérielle fournissant l’identité de la plate-forme et la vérification de l’intégrité. |
| Sécurité des hyperviseur | Hyperviseur renforcé avec isolation forte entre les machines virtuelles et l’environnement hôte. |
Pour obtenir une architecture détaillée de la sécurité de la plateforme, consultez la vue d’ensemble de l’intégrité et de la sécurité de la plateforme Azure.
Sécurité des machines virtuelles
| Service | Descriptif |
|---|---|
| Lancement approuvé | Valeur par défaut pour les machines virtuelles Gen2 avec démarrage sécurisé, vTPM et surveillance de l’intégrité du démarrage contre les kits de démarrage, les rootkits et les programmes malveillants au niveau du noyau. |
| Informatique confidentielle Azure | Environnements d’exécution approuvés basés sur le matériel (TEE) utilisant AMD SEV-SNP ou Intel TDX pour la protection des données lors de l’utilisation. |
| Machines virtuelles confidentielles | Chiffrement complet de la mémoire de machine virtuelle avec isolation matérielle imposée par l'hyperviseur et le code de gestion de l'hôte. |
| Microsoft Defender pour les serveurs | Détection des menaces avec l’intégration de Microsoft Defender pour point de terminaison, l’évaluation des vulnérabilités, l’accès juste-à-temps aux machines virtuelles et la surveillance de l’intégrité des fichiers. |
| Accès aux machines virtuelles juste à temps (JIT) | Réduit la surface d’attaque en verrouillant le trafic entrant et en activant un accès limité au temps aux ports de gestion à la demande. |
| Contrôles d’application adaptative | L’application basée sur le machine learning permet de contrôler les applications qui peuvent s’exécuter sur vos machines virtuelles. |
| Sauvegarde Azure | Sauvegardes indépendantes isolées avec protection contre les ransomwares, suppression réversible et gestion des coffres Recovery Services. |
| Azure Site Recovery | Orchestration de reprise après sinistre pour la réplication, le basculement et la récupération vers Azure ou un site secondaire. |
Pour obtenir des instructions et des fonctionnalités complètes de sécurité des machines virtuelles, consultez la vue d’ensemble de la sécurité des machines virtuelles Azure.
Sécurité du conteneur
| Service | Descriptif |
|---|---|
| Microsoft Defender pour les conteneurs | Protection du runtime, évaluation des vulnérabilités et détection des menaces Kubernetes sur les clusters AKS, EKS, GKE et locaux. |
| Azure Container Registry | Registre de conteneurs managé avec analyse des vulnérabilités, approbation de contenu (signature d’image), géoréplication et points de terminaison privés. |
| Sécurité d’Azure Kubernetes Service (AKS) | Kubernetes managés avec l’intégration de Microsoft Entra, Azure RBAC, les stratégies réseau, la sécurité des pods et la gestion des secrets. |
| Conteneurs confidentiels sur ACI | Protection TEE basée sur le matériel à l’aide d’AMD SEV-SNP avec des stratégies d’exécution vérifiables et une attestation à distance. |
| Déploiement contrôlé par Kubernetes | Contrôle d’admission empêchant le déploiement d’images de conteneur qui enfreignent les règles de sécurité en mode d'audit ou refus. |
| Analyse de l’image de conteneur | Évaluation des vulnérabilités sans agent pour les images de conteneur dans les registres et les conteneurs d’exécution dans des clusters AKS. |
Pour obtenir des conseils complets sur la sécurité des conteneurs, consultez La sécurité des conteneurs dans Microsoft Defender pour cloud.
Sécurité de la base de données
| Service | Descriptif |
|---|---|
| Sécurité d’Azure SQL Database | Sécurité complète avec l’isolation réseau, l’authentification Microsoft Entra, le chiffrement TDE, Always Encrypted et l’audit. |
| Microsoft Defender pour SQL | Protection avancée contre les menaces détectant l’injection SQL, les attaques par force brute, les activités anormales et les attaques de vulnérabilité. |
| Évaluation des vulnérabilités SQL | Détecte, suit et aide à corriger les vulnérabilités de base de données avec des recommandations de sécurité exploitables. |
| Sécurité au niveau des lignes (RLS) | Limite l’accès aux lignes en fonction de l’identité de l’utilisateur, du rôle ou du contexte d’exécution pour le contrôle d’accès aux données affiné. |
| Masquage dynamique des données | Masque les données sensibles aux utilisateurs non privilégiés sans modifier les données sous-jacentes, ce qui réduit le risque d’exposition. |
| Registre Azure SQL Database | Fonctionnalités de sécurité anti-altération avec des enregistrements de transactions immuables pour la vérification de l’intégrité des données et conformité. |
| Sécurité Azure Cosmos DB | Chiffrement au repos et en transit, isolation réseau, RBAC et journalisation d’audit pour les charges de travail NoSQL et multimodèles. |
Pour obtenir une liste de contrôle complète de sécurité de la base de données, consultez la liste de contrôle de sécurité de la base de données Azure.
Sécurité DevOps
| Service | Descriptif |
|---|---|
| Microsoft Defender pour DevOps | Sécurité DevOps unifiée qui connecte Azure DevOps et GitHub à l’analyse du code, à l’analyse iaC (infrastructure as-code) et à la détection des secrets. |
| Intégration de GitHub Advanced Security | Suivi des vulnérabilités du code au cloud avec la hiérarchisation du contexte d’exécution et la correction Copilot Autofix alimentée par l’IA. |
| Analyse du conteneur dans le pipeline | Analyse des vulnérabilités des conteneurs via la ligne de commande (CLI) avec des retours en temps réel avant le push vers le registre, pendant les flux de travail CI/CD. |
| Analyse des vulnérabilités des dépendances | La détection via Trivy des vulnérabilités de système d’exploitation et de bibliothèque dans les référentiels GitHub et Azure DevOps. |
Pour connaître les meilleures pratiques de sécurité DevOps, consultez la sécurité DevOps dans Defender pour cloud.
Surveillance et gouvernance
| Service | Descriptif |
|---|---|
| Azure Monitor. | Surveillance complète avec des métriques, des journaux, des espaces de travail Log Analytics, Application Insights, des alertes et des classeurs. |
| Azure Policy | Service de gouvernance appliquant des normes organisationnelles avec des définitions de stratégie, des initiatives, des rapports de conformité et une correction automatique. |
| Conformité réglementaire Microsoft Defender for Cloud | Évaluations de conformité intégrées et personnalisées alignées sur le benchmark de sécurité cloud Microsoft, ISO 27001, NIST, PCI DSS et d’autres normes. |
| Journal d’activité Azure | Le journal d’audit au niveau de l’abonnement enregistre les opérations administratives, les événements relatifs à la santé du service et les modifications des ressources, avec une conservation des données pendant 90 jours. |
| Gestionnaire de mises à jour Azure | Gestion unifiée des correctifs pour les machines virtuelles Windows et Linux sur Azure, sur site et multicloud, avec mise à jour corrective planifiée et hotpatching. |
| Azure Resource Graph | Requête rapide inter-abonnements pour identifier les ressources avec des configurations spécifiques ou des dispositions de sécurité à grande échelle. |
| Microsoft Cost Management | Surveillance des coûts, budgets et détection des anomalies pour identifier les déploiements de ressources non autorisés susceptibles d’indiquer des incidents de sécurité. |
Pour obtenir des fonctionnalités détaillées de gestion de la sécurité et des bonnes pratiques, consultez la vue d’ensemble de la gestion et de la surveillance de la sécurité Azure.
Sauvegarde et récupération d'urgence
| Service | Descriptif |
|---|---|
| Sauvegarde Azure | Sauvegardes indépendantes et isolées avec aucun investissement en capital, protection contre les ransomwares, suppression réversible et restauration inter-régions. |
| Azure Site Recovery | Orchestration de continuité d’activité et reprise d’activité (BCDR) pour la réplication, le basculement et la récupération vers Azure ou un site secondaire. |
Pour obtenir des instructions complètes sur la sauvegarde, consultez la documentation sauvegarde Azure.
Sécurité du déploiement PaaS
Pour obtenir des conseils sur la sécurisation des déploiements de plateforme en tant que service, notamment App Service, Azure Functions et les services de conteneur, consultez Sécurisation des déploiements PaaS.
Étapes suivantes
- Sécurité de bout en bout dans Azure - Vue d’ensemble complète de l’architecture et des fonctionnalités de sécurité d’Azure
- Meilleures pratiques et modèles de sécurité Azure - Collection de bonnes pratiques de sécurité pour différents scénarios
- Benchmark de sécurité cloud Microsoft - Conseils de sécurité complets pour les services Azure
- Responsabilité partagée dans le cloud - Comprendre les responsabilités de sécurité partagées entre vous et Microsoft