Vue d’ensemble de la sécurité des machines virtuelles Azure

Cet article fournit une vue d’ensemble des principales fonctionnalités de sécurité Azure pour les machines virtuelles.

Les machines virtuelles Azure vous permettent de déployer un large éventail de solutions informatiques de manière agile. Le service prend en charge Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP et Azure BizTalk Services. Vous pouvez déployer n’importe quelle charge de travail et n’importe quelle langue sur presque n’importe quel système d’exploitation.

Les machines virtuelles Azure offrent la flexibilité de la virtualisation sans acheter et maintenir du matériel physique. Vous pouvez créer et déployer des applications avec l’assurance que vos données sont protégées dans des centres de données hautement sécurisés.

À l’aide d’Azure, vous pouvez créer des solutions de sécurité améliorées et conformes qui :

• Protéger les machines virtuelles contre les virus et les programmes malveillants
• Chiffrer les données sensibles
• Sécuriser le trafic réseau
• Identifier et détecter les menaces
• respectent les exigences en matière de conformité

Lancement sécurisé

Le démarrage sécurisé est la valeur par défaut pour les machines virtuelles Azure de génération 2 nouvellement créées et les ensembles de machines virtuelles identiques. Le lancement approuvé protège contre les techniques d’attaque avancées et persistantes, notamment les kits de démarrage, les rootkits et les programmes malveillants au niveau du noyau.

Le lancement sécurisé fournit :

• Démarrage sécurisé : protège contre l’installation des rootkits et kits de démarrage basés sur des programmes malveillants en garantissant que seuls les systèmes d’exploitation signés et les pilotes peuvent démarrer
• vTPM (module de plateforme sécurisée virtuelle) : coffre-fort sécurisé dédié aux clés et mesures qui permet la vérification de l’attestation et de l’intégrité du démarrage
• Surveillance de l’intégrité du démarrage : utilise l’attestation via Microsoft Defender pour Cloud pour vérifier l’intégrité de la chaîne de démarrage et l’alerte sur les défaillances

Vous pouvez activer le lancement sécurisé sur les machines virtuelles existantes et les groupes de machines virtuelles à mise à l'échelle. Pour plus d’informations, consultez Lancement approuvé pour les machines virtuelles Azure.

Informatique confidentielle

L’informatique confidentielle Azure protège les données lors de l’utilisation via des environnements d’exécution approuvés basés sur le matériel. Les machines virtuelles confidentielles utilisent la technologie AMD SEV-SNP pour créer une limite matérielle appliquée entre votre application et la pile de virtualisation.

Les machines virtuelles confidentielles fournissent :

• Isolation matérielle : entre les machines virtuelles, l’hyperviseur et le code de gestion de l’hôte.
• Chiffrement de disque du système d’exploitation confidentiel : lie les clés de chiffrement de disque au module TPM de la machine virtuelle, ce qui rend le contenu du disque accessible uniquement à la machine virtuelle.
• Version de clé sécurisée : liaison de chiffrement entre l’attestation de plateforme et les clés de chiffrement de machine virtuelle.
• Attestation : stratégies personnalisables pour garantir la conformité de l’hôte avant le déploiement.

Pour plus d’informations, consultez machines virtuelles confidentielles Azure.

Chiffrement du disque de machine virtuelle

Azure propose plusieurs options de chiffrement pour les disques managés :

• Chiffrement côté serveur (SSE) : également appelé chiffrement au repos ou chiffrement stockage Azure, SSE est toujours activé et chiffre automatiquement les données sur des disques managés Azure (disques de système d’exploitation et de données) lors de la conservation des clusters de stockage. Les données sont chiffrées de manière transparente à l’aide du chiffrement AES 256 bits, qui est conforme à FIPS 140-2. SSE n’affecte pas les performances du disque et n’a aucun coût supplémentaire. Toutefois, SSE ne chiffre pas les disques temporaires ou les caches de disque.

• Chiffrement sur l’hôte : améliore SSE en chiffrant les disques temporaires et les caches de disque au repos, avec des données qui circulent de manière chiffrée vers des clusters de stockage. Ce chiffrement fournit un chiffrement de bout en bout pour vos données de machine virtuelle. Le chiffrement sur l’hôte n’utilise pas l’UC de votre machine virtuelle et n’affecte pas les performances. Les disques temporaires et les disques de système d’exploitation éphémères sont chiffrés avec des clés gérées par la plateforme. Les caches de disque de données et de système d’exploitation sont chiffrés avec des clés gérées par le client ou gérées par la plateforme, en fonction du type de chiffrement de disque.

• Chiffrement de disque confidentiel : pour les machines virtuelles confidentielles, ce chiffrement lie les clés de chiffrement de disque au module TPM de la machine virtuelle, ce qui rend le contenu de disque protégé accessible uniquement à la machine virtuelle.

Par défaut, les disques managés utilisent des clés gérées par la plateforme sans configuration supplémentaire requise. Pour les clés gérées par le client, vous pouvez utiliser Azure Key Vault, Azure Key Vault Managed HSM ou Azure Cloud HSM pour contrôler et gérer vos propres clés de chiffrement.

Pour plus d’informations, consultez Vue d’ensemble des options de chiffrement de disque managé et du chiffrement côté serveur du stockage disque Azure.

Gestion des clés

Azure Key Vault fournit un stockage sécurisé pour les clés de chiffrement, les secrets et les certificats. Azure offre plusieurs solutions de gestion de clés avec différents niveaux de sécurité :

• Azure Key Vault Standard : FIPS 140-2 Niveau 1 validé, service multilocataire avec des clés protégées par logiciel.
• Azure Key Vault Premium : FIPS 140-3 Niveau 3 validé, service multilocataire avec des clés protégées par HSM.
• Azure Key Vault Managed HSM : FIPS 140-3 Niveau 3 validé, service monolocataire qui fournit un contrôle client total sur le HSM et la souveraineté des clés.

Pour les machines virtuelles, ces services peuvent stocker :

• Clés de chiffrement de disque : clés gérées par le client pour chiffrer les disques managés via des jeux de chiffrement de disque.
• Clés de chiffrement SQL Server : clés pour le chiffrement transparent des données sur les machines virtuelles SQL Server.
• Secrets d’application : clés et secrets utilisés par les applications s’exécutant sur vos machines virtuelles.

Vous gérez les autorisations et l’accès aux éléments protégés via l’ID Microsoft Entra. Vous pouvez auditer l’utilisation des clés et conserver un contrôle total sur vos clés de chiffrement.

Pour plus d’informations, consultez Qu’est-ce qu’Azure Key Vault ?, Qu’est-ce qu’Azure Key Vault Managed HSM ? et la gestion des clés dans Azure.

Sauvegarde de machine virtuelle

Sauvegarde Azure est une solution évolutive qui protège vos données de machine virtuelle avec un investissement en capital nul et des coûts d’exploitation minimes. Les erreurs d’application peuvent endommager vos données, et les erreurs humaines peuvent introduire des bogues. Avec Sauvegarde Azure, vos machines virtuelles exécutant Windows et Linux sont protégées.

Azure Backup fournit :

• Sauvegardes indépendantes et isolées : les sauvegardes sont stockées dans un coffre Recovery Services, qui fournit une gestion intégrée des points de récupération et protège contre la destruction accidentelle des données
• Points de récupération cohérents avec les applications : capture l’état des données d’application au moment de la sauvegarde des machines virtuelles en cours d’exécution
• Aucune connectivité sortante explicite requise : toutes les communications et le transfert de données se produisent sur le réseau principal Azure
• Protection contre la suppression réversible : les données de sauvegarde supprimées sont conservées pendant 14 jours supplémentaires, ce qui permet la récupération sans perte de données
• Restauration inter-régions : Restaurez des machines virtuelles Azure dans une région Azure secondaire jumelée pour les scénarios de reprise après sinistre.

Pour plus d’informations, consultez La faq sur la sauvegarde Azure et le service Sauvegarde Azure.

Azure Site Recovery (Récupération de site Azure)

Azure Site Recovery permet d’orchestrer la réplication, le basculement et la récupération des charges de travail et des applications afin qu’elles soient disponibles à partir d’un emplacement secondaire si votre emplacement principal tombe en panne.

Site Recovery :

• Simplifie la stratégie BCDR : facilite la gestion de la réplication, du basculement et de la récupération de plusieurs charges de travail et applications métier à partir d’un emplacement unique
• Fournit une réplication flexible : répliquer des charges de travail s’exécutant sur des machines virtuelles Hyper-V, des machines virtuelles VMware et des serveurs physiques Windows/Linux
• Prend en charge le basculement et la reprise : fournit des basculements de test pour les récupération d’urgence après sinistre sans affecter les environnements de production
• Élimine les centres de données secondaires : répliquer vers Azure, en éliminant le coût et la complexité de la maintenance d’un site secondaire

Pour plus d’informations, consultez Qu’est-ce qu’Azure Site Recovery ?, Comment fonctionne Azure Site Recovery etquelles charges de travail sont protégées par Azure Site Recovery ?.

Réseau virtuel

Les machines virtuelles nécessitent une connectivité réseau. Azure nécessite que les machines virtuelles soient connectées à un réseau virtuel Azure.

Un réseau virtuel Azure est une construction logique basée sur le réseau physique Azure. Chaque réseau virtuel logique Azure est isolé des autres réseaux virtuels Azure. Cette isolation permet de garantir que le trafic réseau dans vos déploiements n’est pas accessible aux autres clients Microsoft Azure.

Pour plus d’informations, consultez vue d’ensemble de la sécurité réseau Azure et Vue d’ensemble du réseau virtuel.

Gestion des stratégies de sécurité

Microsoft Defender pour Cloud vous aide à prévenir, détecter et répondre aux menaces. Defender pour le cloud offre une visibilité et un contrôle complets sur la sécurité de vos ressources Azure. Il fournit des fonctions intégrées de surveillance de la sécurité et de gestion des stratégies sur vos abonnements Azure.

Defender pour Cloud vous aide à optimiser et à surveiller la sécurité des machines virtuelles en :

• Fournir des recommandations de sécurité pour les machines virtuelles
• Surveillance de l’état de vos machines virtuelles
• Fournir à Microsoft Defender pour serveurs une protection avancée contre les menaces

Microsoft Defender pour serveurs inclut les éléments suivants :

• Intégration de Microsoft Defender for Endpoint pour la détection et la réponse des points de terminaison
• Évaluation des vulnérabilités pour identifier les faiblesses de sécurité
• Accès juste-à-temps aux machines virtuelles pour réduire la surface d’attaque
• Surveillance de l’intégrité des fichiers pour détecter les modifications apportées aux fichiers critiques
• Contrôles d’application adaptatifs pour les applications approuvées

Pour plus d’informations, consultez Présentation de Microsoft Defender pour cloud, Microsoft Defender pour serveurs et Microsoft Defender pour cloud forum aux questions.

Conformité

Azure Virtual Machines bénéficie des certifications FISMA, FedRAMP, HIPAA, PCI DSS Level 1 et de celles d’autres programmes majeurs de conformité. Cette certification facilite la conformité de vos applications Azure et permet à votre entreprise de répondre aux exigences réglementaires nationales et internationales.

Pour plus d’informations, consultez le Centre de gestion de la confidentialité Microsoft : Conformité et documentation de conformité Azure.

Étapes suivantes

Découvrez les meilleures pratiques de sécurité pour les machines virtuelles et les systèmes d’exploitation.