Présentation de la sécurité Azure

La sécurité est essentielle dans l’environnement cloud d’aujourd’hui. Les cybermenaces évoluent constamment et protègent vos données, applications et infrastructure nécessitent une approche complète multicouche. Nous savons que la sécurité est la priorité dans le cloud et combien il est important que vous trouviez des informations précises et à jour sur la sécurité Azure.

Cet article fournit une vue d’ensemble complète au niveau de la sécurité disponible avec Azure. Pour obtenir une vue de bout en bout de la sécurité Azure organisée par des fonctionnalités de protection, de détection et de réponse, consultez la sécurité de bout en bout dans Azure.

Approche de sécurité de défense en profondeur d’Azure

Azure utilise une stratégie de défense en profondeur, fournissant plusieurs couches de protection de la sécurité sur l’ensemble de la pile, des centres de données physiques au calcul, au stockage, à la mise en réseau, aux applications et à l’identité. Cette approche multicouche garantit que si une couche est compromise, d’autres couches continuent de protéger vos ressources.

L’infrastructure d’Azure a été méticuleusement conçue de toutes pièces, englobant tout, des installations physiques aux applications, afin d’héberger en toute sécurité des millions de clients simultanément. Cette base solide permet aux entreprises de répondre en toute confiance à leurs exigences en matière de sécurité. Pour plus d’informations sur la façon dont Microsoft sécurise la plateforme Azure elle-même, consultez Sécurité de l’infrastructure Azure. Pour plus d’informations sur la sécurité des centres de données physiques, consultez Sécurité physique Azure.

Azure est une plateforme de services de cloud public qui prend en charge un large éventail de systèmes d’exploitation, de langages de programmation, d’infrastructures, d’outils, de bases de données et d’appareils. Elle permet d’exécuter des conteneurs Linux avec l’intégration de Docker, de créer des applications avec JavaScript, Python, .NET, PHP, Java et Node.js, de créer des serveurs principaux pour des appareils iOS, Android et Windows. Les services de cloud public Azure prennent en charge les technologies auxquelles des millions de développeurs et de professionnels de l’informatique font déjà confiance.

Sécurité intégrée de la plateforme

Azure fournit des protections de sécurité par défaut intégrées à la plateforme qui aident à protéger vos ressources dès le moment où elles sont déployées. Pour obtenir des informations complètes sur les fonctionnalités de sécurité de la plateforme Azure, consultez la vue d’ensemble de la sécurité de la plateforme Azure.

• Protection réseau : Azure DDoS Protection protège automatiquement vos ressources contre les attaques par déni de service distribués
• Chiffrement par défaut : le chiffrement des données au repos est activé par défaut pour stockage Azure, SQL Database et de nombreux autres services
• Identity Security : Microsoft Entra ID fournit une authentification et une autorisation sécurisées pour tous les services Azure
• Détection des menaces : moniteurs intégrés de détection des menaces pour les activités suspectes dans vos ressources Azure
• Conformité : Azure maintient le plus grand portefeuille de conformité dans le secteur, ce qui vous aide à répondre aux exigences réglementaires

Ces contrôles de sécurité fondamentaux fonctionnent en continu en arrière-plan pour protéger votre infrastructure cloud, sans configuration supplémentaire requise pour la protection de base.

Responsabilité partagée dans le cloud

Bien qu’Azure assure une sécurité de plateforme robuste, la sécurité dans le cloud est une responsabilité partagée entre Microsoft et nos clients. La division des responsabilités dépend de votre modèle de déploiement (IaaS, PaaS ou SaaS) :

• Responsabilité de Microsoft : Azure sécurise l’infrastructure sous-jacente, notamment les centres de données physiques, le matériel, l’infrastructure réseau et le système d’exploitation hôte
• Votre responsabilité : vous êtes responsable de la sécurisation de vos données, applications, identités et gestion des accès

Chaque charge de travail et application est différente, avec des exigences de sécurité uniques basées sur les réglementations du secteur, la sensibilité des données et les besoins métier. C’est là que les services de sécurité avancés d’Azure entrent en jeu. Pour plus d’informations sur le modèle de responsabilité partagée, consultez Responsabilité partagée dans le cloud.

Services de sécurité avancés pour chaque charge de travail

Pour répondre à vos exigences de sécurité uniques, Azure fournit une suite complète de services de sécurité avancés que vous pouvez configurer et personnaliser pour vos besoins spécifiques. Ces services sont organisés dans six domaines fonctionnels : opérations, applications, stockage, mise en réseau, calcul et identité. Pour obtenir un catalogue complet de services et de technologies de sécurité, consultez les services et technologies de sécurité Azure.

En outre, Azure vous fournit un large éventail d’options de sécurité configurables et la possibilité de les contrôler afin que vous puissiez personnaliser la sécurité pour répondre aux exigences uniques des déploiements de votre organisation. Ce document vous permet de comprendre comment les fonctionnalités de sécurité d’Azure peuvent vous aider à répondre à ces besoins.

Pour obtenir une vue structurée des contrôles de sécurité et des bases de référence Azure, consultez le benchmark de sécurité cloud Microsoft, qui fournit des conseils de sécurité complets pour les services Azure. Pour plus d’informations sur les fonctionnalités de sécurité techniques d’Azure, consultez les fonctionnalités techniques de sécurité Azure.

Sécurité du calcul

La sécurisation de vos machines virtuelles et ressources de calcul est essentielle pour protéger vos charges de travail dans Azure. Azure fournit plusieurs couches de sécurité de calcul, des protections matérielles à la détection des menaces basée sur les logiciels. Pour obtenir des informations détaillées sur la sécurité des machines virtuelles, consultez la vue d’ensemble de la sécurité des machines virtuelles Azure.

Lancement sécurisé

Le démarrage sécurisé est la valeur par défaut pour les machines virtuelles Azure de génération 2 nouvellement créées et les ensembles de machines virtuelles identiques. Le lancement approuvé protège contre les techniques d’attaque avancées et persistantes, notamment les kits de démarrage, les rootkits et les programmes malveillants au niveau du noyau.

Le lancement sécurisé fournit :

• Démarrage sécurisé : protège contre l’installation des rootkits et kits de démarrage basés sur des programmes malveillants en garantissant que seuls les systèmes d’exploitation signés et les pilotes peuvent démarrer
• vTPM (Module de plateforme sécurisée virtuelle) : un coffre-fort sécurisé dédié aux clés et mesures qui permet la vérification de l’attestation et de l’intégrité du démarrage
• Surveillance de l’intégrité du démarrage : utilise l’attestation via Microsoft Defender pour Cloud pour vérifier l’intégrité de la chaîne de démarrage et l’alerte sur les défaillances

Le lancement sécurisé peut être activé sur des machines virtuelles existantes et des ensembles de machines virtuelles identiques.

Informatique confidentielle Azure

L’informatique confidentielle Azure est la dernière pièce du puzzle de protection des données. Elle vous permet de conserver vos données chiffrées à tout moment. Au repos, en mouvement via le réseau, et maintenant, même pendant le chargement en mémoire et en cours d’utilisation. En outre, en rendant l’attestation à distance possible, il vous permet de vérifier par chiffrement que la machine virtuelle que vous avez déployée en toute sécurité et est configurée correctement, avant de déverrouiller vos données.

Le spectre des options va de l’activation de scénarios « lift-and-shift » d’applications existantes, au contrôle total des fonctionnalités de sécurité. Pour Infrastructure as a Service (IaaS), vous pouvez utiliser :

• Machines virtuelles confidentielles alimentées par AMD SEV-SNP : chiffrement de la mémoire basée sur le matériel avec jusqu’à 256 Go de mémoire chiffrée
• Machines virtuelles confidentielles avec Intel TDX : Extensions de domaine d’approbation Intel fournissant des performances et une sécurité améliorées
• Machines virtuelles confidentielles avec GPU NVIDIA H100 : informatique confidentielle accélérée par GPU pour les charges de travail IA/ML
• Enclaves d’application confidentielles avec Intel SGX : isolation au niveau de l’application pour le code et les données sensibles

Pour Platform as a Service (PaaS), Azure propose plusieurs options d’informatique confidentielle basées sur des conteneurs, notamment les intégrations à Azure Kubernetes Service (AKS).

Logiciels anti-programmes malveillants et antivirus

Azure IaaS met à votre disposition des logiciels anti-programmes malveillants provenant de fournisseurs de sécurité tels que Microsoft, Symantec, Trend Micro, McAfee et Kaspersky. Ceux-ci permettent de protéger vos machines virtuelles contre les fichiers malveillants, les logiciels de publicité et d’autres menaces. Microsoft Antimalware pour machines virtuelles Azure est une fonctionnalité de protection qui permet d’identifier et de supprimer les virus, logiciels espions et autres logiciels malveillants. Microsoft Antimalware fournit des alertes configurables lorsqu’un logiciel malveillant ou indésirable connu tente de s’installer ou de s’exécuter sur vos systèmes Azure. Microsoft Antimalware peut également être déployé à l’aide de Microsoft Defender pour Cloud.

Module de sécurité matériel

Le chiffrement et l’authentification n’améliorent pas la sécurité, sauf si les clés elles-mêmes sont protégées. Vous pouvez simplifier la gestion et la sécurité de vos clés et clés secrètes critiques en les stockant dans Azure Key Vault. Key Vault offre la possibilité de stocker vos clés dans des modules de sécurité matériel (HSM) certifiés à des normes FIPS 140-3 de niveau 3 . Vos clés de chiffrement SQL Server pour la sauvegarde ou le chiffrement transparent des données peuvent toutes être stockées dans Key Vault avec les clés ou secrets de vos applications. Les autorisations et l’accès à ces éléments protégés sont gérés via Microsoft Entra ID.

Pour obtenir des informations complètes sur les options de gestion des clés, notamment Azure Key Vault, managed HSM et Payment HSM, consultez Gestion des clés dans Azure.

Sauvegarde de machine virtuelle

Sauvegarde Azure est une solution qui protège vos données d’application avec un investissement en capital nul et des coûts d’exploitation minimes. Les erreurs rencontrées par les applications peuvent endommager vos données, et les erreurs humaines peuvent introduire des bogues dans vos applications qui peuvent engendrer des problèmes de sécurité. Avec Sauvegarde Azure, vos machines virtuelles exécutant Windows et Linux sont protégées.

Azure Site Recovery

Une partie importante de la stratégie de continuité des activités et de récupération d’urgence (BCDR) de votre organisation consiste à savoir comment maintenir les charges de travail et les applications d’entreprise opérationnelles lorsque des interruptions planifiées et non planifiées se produisent. Azure Site Recovery permet de coordonner la réplication, le basculement et la récupération des charges de travail et des applications afin qu’elles soient disponibles à partir d’un site secondaire si votre site principal tombe en panne.

SQL VM TDE

Le chiffrement TDE (Transparent data encryption) et le chiffrement au niveau des colonnes (CLE) sont des fonctionnalités de chiffrement de serveur SQL. Cette forme de chiffrement nécessite que les clients gèrent et stockent les clés de chiffrement que vous utilisez pour le chiffrement.

Le service Azure Key Vault (coffre de clés Azure, AKV) est conçu pour optimiser la sécurité et la gestion de ces clés dans un emplacement sécurisé et hautement disponible. Le connecteur SQL Server permet à SQL Server d’utiliser ces clés depuis Azure Key Vault.

Si vous exécutez SQL Server sur des ordinateurs locaux, vous devez suivre la procédure d’accès à Azure Key Vault à partir de votre instance SQL Server locale. Mais, pour SQL Server dans des machines virtuelles Azure, vous pouvez gagner du temps à l’aide de la fonctionnalité Azure Key Vault Integration. Avec quelques applets de commande Azure PowerShell pour activer cette fonctionnalité, vous pouvez automatiser la configuration nécessaire pour qu'une machine virtuelle SQL puisse accéder à votre coffre de clés.

Pour obtenir la liste complète des meilleures pratiques en matière de sécurité de base de données, consultez la liste de contrôle de sécurité de la base de données Azure.

Chiffrement de disque de machine virtuelle

Pour le chiffrement de machine virtuelle moderne, Azure offre :

• Chiffrement sur l’hôte : fournit un chiffrement de bout en bout pour les données de machine virtuelle, y compris les disques temporaires et les caches de disque de système d’exploitation/de données
• Chiffrement de disque confidentiel : disponible avec des machines virtuelles confidentielles pour le chiffrement basé sur le matériel
• Chiffrement côté serveur avec des clés gérées par le client : gérez vos propres clés de chiffrement via Azure Key Vault

Pour plus d’informations, consultez Vue d’ensemble des options de chiffrement de disque managé.

Réseau virtuel

Les machines virtuelles nécessitent une connectivité réseau. Pour cela, les machines virtuelles doivent être connectées à un réseau virtuel Azure. Un réseau virtuel Azure est une construction logique basée sur le réseau physique Azure. Chaque réseau virtuel logique Azure est isolé des autres réseaux virtuels Azure. Cet isolement permet de s’assurer que le trafic réseau dans votre déploiement n’est pas accessible aux autres clients Microsoft Azure.

Mises à jour correctives

Les mises à jour correctives fournissent les références permettant de détecter et de corriger les problèmes potentiels et de simplifier le processus de gestion des mises à jour logicielles. Vous pouvez ainsi réduire le nombre de mises à jour logicielles à déployer dans votre entreprise et augmenter votre capacité à surveiller la conformité.

Gestion des stratégies de sécurité et création de rapports

Defender pour le cloud vous aide à prévenir, détecter et résoudre les menaces grâce à une visibilité et un contrôle accrus de la sécurité de vos ressources Azure. Il fournit une surveillance de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste écosystème de solutions de sécurité.

Sécurité des applications

La sécurité des applications se concentre sur la protection de vos applications contre les menaces tout au long de leur cycle de vie, du développement au déploiement et au runtime. Azure fournit des outils complets pour le développement, le test et la protection sécurisés des applications. Pour obtenir des conseils de développement d’applications sécurisés, consultez Développer des applications sécurisées sur Azure. Pour connaître les meilleures pratiques de sécurité spécifiques à PaaS, consultez La sécurisation des déploiements PaaS. Pour la sécurité du déploiement IaaS, consultez les meilleures pratiques de sécurité pour les charges de travail IaaS dans Azure.

Test de pénétration

Nous n’effectuons pas de test d’intrusion de votre application pour vous, mais nous comprenons que vous souhaitez et devons effectuer des tests sur vos propres applications. Même s’il n’est plus nécessaire de prévenir Microsoft d’une activité de test d’intrusion, les clients doivent toujours respecter les Règles d’engagement pour les tests d’intrusion du cloud Microsoft.

Pare-feu d’application web

Le pare-feu d’applications web (WAF) dans Azure Application Gateway offre une protection pour les applications web contre les attaques web courantes telles que l’injection SQL, les scripts intersites et le détournement de session. Il est préconfiguré pour se défendre contre les 10 principales vulnérabilités identifiées par le projet OWASP (Open Web Application Security Project).

Authentification et autorisation dans Azure App Service

L’authentification/autorisation App Service est une fonctionnalité qui permet à votre application de connecter les utilisateurs. Vous n’êtes ainsi donc pas obligé de modifier le code sur le serveur principal. Elle propose un moyen simple de protéger votre application et fonctionne avec des données par utilisateur.

Architecture de sécurité multiniveau

Dans la mesure où les environnements App Service fournissent un environnement d’exécution isolé déployé dans un réseau virtuel Azure, les développeurs peuvent créer une architecture de sécurité multiniveau offrant différents niveaux d’accès réseau pour chaque couche Application. Il est courant de masquer les back-ends d’API de l’accès Internet général et d’autoriser uniquement l’appel des API par les applications web en amont. Les groupes de sécurité réseau (NSG) peuvent être utilisés sur des sous-réseaux d’un réseau virtuel Azure contenant des environnements App Service pour restreindre l’accès public aux applications API.

App Service Web Apps offre des fonctionnalités de diagnostic robustes pour capturer les journaux à partir du serveur web et de l’application web. Ces diagnostics sont catégorisés en diagnostics de serveur web et en diagnostics d’application. Les diagnostics de serveur web incluent des avancées significatives pour diagnostiquer et dépanner des sites et des applications.

Pour la première nouvelle fonctionnalité, il s’agit des informations d’état en temps réel sur les pools d’applications, les processus Worker, les sites, les domaines d’application et les demandes en cours d’exécution. Quant à la seconde nouvelle fonctionnalité, il s’agit des événements de suivi détaillés qui effectuent le suivi d’une demande dans le processus complet des demandes/réponses.

Pour activer la collecte de ces événements de suivi, vous pouvez configurer IIS 7 afin de capturer automatiquement les journaux d’activité de suivi complets, au format XML, pour des requêtes spécifiques. La collection peut être basée sur le temps écoulé ou les codes de réponse d’erreur.

Sécurité du stockage

La sécurité du stockage est essentielle pour protéger vos données au repos et en transit. Azure fournit plusieurs couches de chiffrement, de contrôles d’accès et de surveillance pour garantir la sécurité de vos données. Pour plus d’informations sur le chiffrement des données, consultez la vue d’ensemble du chiffrement Azure. Pour connaître les options de gestion des clés, consultez Gestion des clés dans Azure. Pour connaître les meilleures pratiques de chiffrement des données, consultez les meilleures pratiques de sécurité et de chiffrement des données Azure.

Contrôle d’accès en fonction du rôle Azure (Azure RBAC)

Vous pouvez sécuriser votre compte de stockage avec un contrôle d’accès en fonction du rôle Azure (RBAC Azure). Restreindre l’accès en fonction des principes du besoin de connaître et du privilège minimum est impératif pour les organisations désireuses d’appliquer des stratégies de sécurité pour l’accès aux données. Ces droits d’accès sont octroyés en affectant le rôle Azure approprié aux groupes et aux applications, dans une étendue donnée. Vous pouvez utiliser les rôles intégrés Azure, comme Contributeur de compte de stockage, pour affecter des privilèges aux utilisateurs. L’accès aux clés de stockage pour un compte de stockage avec le modèle Azure Resource Manager peut être contrôlé via RBAC Azure.

Signature d’accès partagé

Une signature d’accès partagé (SAP) fournit un accès délégué aux ressources de votre compte de stockage. La SAP vous permet d’octroyer à un client des autorisations d’accès limité à des objets de votre compte de stockage pendant une période donnée et avec un ensemble défini d’autorisations. Vous pouvez accorder ces autorisations limitées sans partager les clés d’accès de votre compte.

Chiffrement en transit

Le chiffrement en transit est un mécanisme de protection des données transmises sur des réseaux. Le stockage Azure vous permet de sécuriser les données à l’aide des éléments suivants :

• Chiffrement au niveau du transport, tel que HTTPS lorsque vous transférez des données vers ou hors du stockage Azure.

• Chiffrement filaire, tel que le chiffrement SMB 3.0 pour les partages de fichiers Azure.

• Le chiffrement côté client, pour chiffrer les données avant leur transfert vers le stockage et les déchiffrer après leur transfert à partir du stockage.

Chiffrement au repos

Pour de nombreuses organisations, le chiffrement des données au repos est une étape obligatoire du processus de gestion de la confidentialité, de la conformité et de la souveraineté des données. Il existe trois fonctionnalités de sécurité du Stockage Azure qui fournissent un chiffrement des données au repos :

• Storage Service Encryption vous permet de demander que le service de stockage chiffre automatiquement les données lors de leur écriture dans Azure Storage.

• Le chiffrement côté client fournit également la fonctionnalité de chiffrement au repos.

• Azure Disk Encryption pour machines virtuelles Linux et Azure Disk Encryption pour machines virtuelles Windows vous permet de chiffrer les disques de système d’exploitation et les disques de données utilisés par une machine virtuelle IaaS.

Storage Analytics

L’analyse du stockage Azure effectue la journalisation et fournit les données d’indicateurs de performance d’un compte de stockage. Vous pouvez utiliser ces données pour suivre les demandes, analyser les tendances d'utilisation et diagnostiquer les problèmes liés à votre compte de stockage Storage Analytics enregistre des informations détaillées sur les demandes ayant réussi ou échoué pour un service de stockage. Ces informations peuvent servir à analyser des demandes individuelles et à diagnostiquer les problèmes au niveau d'un service de stockage. Les demandes sont enregistrées sur la base du meilleur effort. Les types de demandes authentifiées suivants sont enregistrés :

• Demandes réussies.
• Demandes ayant échoué, y compris les erreurs de délai d'expiration, limitation, réseau, autorisation et autres erreurs.
• Demandes utilisant une signature d'accès partagé (SAS), y compris les demandes ayant réussi et ayant échoué.
• Demandes de données d'analyse.

Activation de clients basés sur le navigateur à l’aide de CORS

Le partage de ressources inter-origines (CORS) est un mécanisme qui permet aux domaines de se donner l’autorisation d’accéder aux ressources des uns des autres. L’agent utilisateur envoie des en-têtes supplémentaires pour s’assurer que le code JavaScript chargé à partir d’un domaine est autorisé à accéder aux ressources situées dans un autre domaine. Ce dernier domaine répond alors avec des en-têtes supplémentaires qui autorisent ou refusent l’accès du domaine d’origine à ses ressources.

Les services de stockage Azure prennent désormais en charge CORS. Ainsi, une fois que vous avez défini les règles CORS du service, une demande correctement authentifiée exécutée auprès du service à partir d’un autre domaine est évaluée pour déterminer si elle est autorisée conformément aux règles que vous avez spécifiées.

Sécurité réseau

La sécurité réseau contrôle la façon dont le trafic transite vers et depuis vos ressources Azure. Azure fournit un ensemble complet de services de sécurité réseau, du pare-feu de base à la protection avancée contre les menaces et à l’équilibrage de charge global. Pour obtenir des informations complètes sur la sécurité réseau, consultez la vue d’ensemble de la sécurité réseau Azure. Pour connaître les meilleures pratiques en matière de sécurité réseau, consultez les meilleures pratiques en matière de sécurité réseau Azure.

Contrôles de la couche réseau

Le contrôle d’accès réseau consiste à limiter la connectivité vers et depuis certains appareils ou sous-réseaux, et représente le cœur de la sécurité réseau. Le contrôle d’accès réseau permet de vous assurer que seuls les utilisateurs et appareils autorisés peuvent accéder à vos machines virtuelles et à vos services.

Network Security Group

Un groupe de sécurité réseau est un pare-feu de base de filtrage des paquets avec état qui vous permet de contrôler l’accès sur la base d’un tuple à 5 éléments. Les groupes de sécurité réseau n’effectuent pas d’inspection de la couche d’application ni de contrôles d’accès authentifiés. Ils permettent de contrôler le trafic entre les sous-réseaux d’un réseau virtuel Azure et le trafic entre un réseau virtuel Azure et Internet.

Azure Firewall

Le Pare-feu Azure est un service de sécurité de pare-feu réseau natif et intelligent qui offre une protection contre les menaces pour vos charges de travail cloud s’exécutant dans Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud. Il fournit l’inspection du trafic Est-Ouest et Nord-Sud.

Le Pare-feu Azure est proposé dans trois références SKU : De base, Standard et Premium :

• Pare-feu Azure De base - Conçu pour les petites et moyennes entreprises, offrant une protection essentielle à un prix abordable
• Pare-feu Azure Standard : offre un filtrage des couches L3 à L7 et des flux de veilles mes menaces provenant directement de Microsoft Cyber Security et peut effectuer une mise à l’échelle jusqu’à 30 Gbits/s
• Pare-feu Azure Premium - Protection avancée contre les menaces pour les environnements hautement sensibles et réglementés avec :
  • Inspection TLS : déchiffre le trafic sortant, le traite pour les menaces, puis rechiffre avant d’envoyer à la destination
  • IDPS (Système de détection et de prévention des intrusions) : IDPS basé sur des signatures avec plus de 67 000 signatures dans plus de 50 catégories, mis à jour avec 20 à 40 nouvelles règles par jour
  • Filtrage d’URL : étend le filtrage de nom de domaine complet pour prendre en compte l’intégralité du chemin d’URL
  • Catégories web avancées : catégorisation améliorée basée sur des URL complètes pour le trafic HTTP et HTTPS
  • Performances améliorées : permet d’effectuer un scale-up jusqu’à 100 Gbits/s avec une prise en charge du flux FAT de 10 Gbits/s
  • Conformité PCI DSS : répond aux exigences standard de sécurité des données du secteur des cartes de paiement

Le Pare-feu Azure Premium est essentiel pour la protection contre les ransomwares, car il peut détecter et bloquer la connectivité commande et contrôle (C&C) utilisée par ransomware pour récupérer des clés de chiffrement. En savoir plus sur la protection contre les ransomwares avec le Pare-feu Azure.

Protection DDoS dans Azure

Azure DDoS Protection, associé aux meilleures pratiques de conception des applications, offre des fonctionnalités améliorées pour se défendre contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques dans un réseau virtuel. L'activation de la protection est simple sur tout réseau virtuel nouveau ou existant et ne nécessite aucune modification de vos applications ou ressources.

Azure DDoS Protection offre deux niveaux : Protection DDoS réseau et Protection DDoS IP.

• Protection réseau DDoS : fournit des fonctionnalités améliorées pour se défendre contre les attaques par déni de service distribué (DDoS). Il fonctionne sur les couches réseau 3 et 4 et inclut des fonctionnalités avancées telles que la prise en charge de la réponse rapide DDoS, la protection des coûts et les remises sur le pare-feu d’applications web (WAF).

• Protection IP DDoS : suit un modèle d’adresse IP protégée par paiement. Elle inclut les mêmes fonctionnalités d’ingénierie de base que la protection réseau DDoS, mais n’offre pas les services supplémentaires tels que la prise en charge de la réponse rapide DDoS, la protection des coûts et les remises WAF.

Contrôle du routage et tunneling forcé

La possibilité de contrôler le comportement de routage sur vos réseaux virtuels Azure est une fonctionnalité essentielle en matière de contrôle d’accès et de sécurité réseau. Par exemple, si vous voulez vous assurer que tout le trafic vers et depuis votre réseau virtuel Azure passe par cette appliance de sécurité virtuelle, vous devez être en mesure de contrôler et de personnaliser le comportement du routage. Pour ce faire, vous pouvez configurer des itinéraires définis par l’utilisateur dans Azure.

User-Defined Routes vous permettent de personnaliser les chemins entrants et sortants pour le trafic entrant et sortant des machines virtuelles ou sous-réseaux individuels afin de garantir la route la plus sécurisée possible. Le tunneling forcé est un mécanisme que vous pouvez utiliser pour vous assurer que vos services ne sont pas autorisés à lancer une connexion à des appareils sur Internet.

Cela n’empêche pas les services d’accepter des connexions entrantes ni d’y répondre. Les serveurs web frontaux doivent pouvoir répondre aux demandes provenant d’hôtes Internet, ce qui explique pourquoi le trafic Internet est autorisé à entrer sur ces serveurs web et pourquoi les serveurs web peuvent y répondre.

Le tunneling forcé est fréquemment utilisé pour forcer le trafic sortant vers Internet à passer par des pare-feu et proxys de sécurité locaux.

Appliances de sécurité de réseau virtuel

Bien que les groupes de sécurité réseau, les routes définies par l'utilisateur et le tunneling forcé vous fournissent un niveau de sécurité aux niveaux réseau et transport du modèle OSI, vous pourriez souhaiter activer la sécurité à des niveaux supérieurs de la pile. Vous pouvez accéder à ces fonctionnalités avancées de sécurité réseau via une solution d’appliance de sécurité réseau de partenaire Azure. Vous trouverez les solutions de sécurité réseau des partenaires Azure les plus actuelles en visitant la Place de marché Azure et en recherchant la sécurité et la sécurité réseau.

Réseau virtuel Azure

Un réseau virtuel Azure (VNet) est une représentation de votre propre réseau dans le cloud. Il s’agit d’un isolement logique de la structure de réseau Azure dédiée à votre abonnement. Vous pouvez contrôler complètement les blocs d’adresses IP, les paramètres DNS, les stratégies de sécurité et les tables de routage de ce réseau. Vous pouvez segmenter votre réseau virtuel en sous-réseaux et placer des machines virtuelles IaaS Azure sur des réseaux virtuels Azure.

En outre, vous pouvez connecter le réseau virtuel à votre réseau local à l’aide de l’une des options de connectivité disponibles dans Azure. En bref, vous pouvez développer votre réseau sur Azure et maîtriser totalement vos blocs d’adresses IP avec les que procurent la mise à l’échelle d’entreprise d’Azure.

La mise en réseau Azure prend en charge différents scénarios d’accès à distance sécurisé, entres autres :

• Connecter des stations de travail à un réseau virtuel Azure

• Connecter un réseau local à un réseau virtuel Azure à l’aide d’un VPN

• Connecter un réseau local à un réseau virtuel Azure à l’aide d’une liaison réseau étendu dédiée

• Connecter des réseaux virtuels Azure entre eux

Gestionnaire de réseau virtuel Azure

Azure Virtual Network Manager fournit une solution centralisée pour la gestion et la sécurisation de vos réseaux virtuels à grande échelle. Il utilise des règles d’administration de sécurité pour définir et appliquer de manière centralisée des stratégies de sécurité dans l’ensemble de votre organisation. Les règles d’administration de sécurité sont prioritaires sur les règles de groupe de sécurité réseau (NSG) et sont appliquées sur le réseau virtuel. Cela permet aux organisations d'appliquer des politiques de base avec des règles d'administration de sécurité, tout en permettant aux équipes en aval d'adapter les NSG en fonction de leurs besoins spécifiques au niveau du sous-réseau et de la carte réseau.

Selon les besoins de votre organisation, vous pouvez utiliser Autoriser, Refuser ou Toujours Autoriser pour appliquer des stratégies de sécurité :

Dans Azure Virtual Network Manager, les groupes de réseaux vous permettent de regrouper des réseaux virtuels pour la gestion centralisée et l’application des stratégies de sécurité. Les groupes de réseaux sont un regroupement logique de réseaux virtuels en fonction de vos besoins du point de vue de la topologie et de la sécurité. Vous pouvez mettre à jour manuellement l’appartenance au réseau virtuel de vos groupes réseau ou définir des instructions conditionnelles avec Azure Policy pour mettre à jour dynamiquement les groupes réseau afin de mettre automatiquement à jour votre appartenance à un groupe réseau.

Azure Private Link

Azure Private Link vous permet d’accéder aux services Azure PaaS (par exemple Stockage Azure et SQL Database) ainsi qu’aux services de partenaires ou de clients hébergés par Azure sur un point de terminaison privé dans votre réseau virtuel. La configuration et la consommation à l’aide d’Azure Private Link est cohérente entre le service Azure PaaS, les services appartenant au client et les services de partenaires partagés. Le trafic à partir de votre réseau virtuel vers le service Azure reste toujours sur le réseau principal Microsoft Azure.

Les points de terminaison privés vous permettent de sécuriser vos ressources de service Azure critiques uniquement sur vos réseaux virtuels. Azure Private Endpoint utilise une adresse IP privée de votre réseau virtuel pour vous connecter de manière privée et sécurisée à un service basé sur Azure Private Link, ce qui permet de placer le service dans votre réseau virtuel. L’exposition de votre réseau virtuel à l’Internet public n’est plus nécessaire pour utiliser les services sur Azure.

Vous pouvez également créer votre propre service de liaison privée dans votre réseau virtuel. Le service Azure Private Link est la référence à votre propre service Azure Private Link. L’accès Private Link peut être activé pour un service qui s’exécute derrière Azure Standard Load Balancer. De cette façon, les utilisateurs du service pourront y accéder à l’aide d’une connexion privée, à partir de leurs propres réseaux virtuels. Vos clients peuvent créer un point de terminaison privé dans leur réseau virtuel et le mapper dans ce service. Il n’est plus nécessaire d’exposer votre service à l’Internet public pour rendre des services sur Azure.

VPN Gateway

Pour envoyer du trafic réseau entre votre réseau virtuel Azure et votre site local, vous devez créer une passerelle VPN pour votre réseau virtuel Azure. Une passerelle VPN est un type de passerelle de réseau virtuel qui envoie le trafic chiffré sur une connexion publique. Vous pouvez également utiliser des passerelles VPN pour envoyer du trafic entre les réseaux virtuels Azure via la structure de réseau Azure.

ExpressRoute

Microsoft Azure ExpressRoute est un lien WAN dédié qui vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via une connexion privée dédiée facilitée par un fournisseur de connectivité.

Avec ExpressRoute, vous pouvez établir des connexions aux services de cloud computing Microsoft, comme Microsoft Azure et Microsoft 365. La connectivité peut provenir d’un réseau universel (IP VPN), d’un réseau Ethernet point à point ou d’une interconnexion virtuelle via un fournisseur de connectivité dans un centre de colocalisation.

Les connexions ExpressRoute ne transitent pas par l’Internet public et peuvent donc être considérées comme plus sécurisées que les solutions VPN. Elles offrent ainsi de meilleurs niveaux de fiabilité, de rapidité, de latence et de sécurité que les connexions classiques sur Internet.

Application Gateway

Microsoft Azure Application Gateway intègre Application Delivery Controller (ADC) en tant que service, offrant diverses fonctionnalités d’équilibrage de charge de couche 7 pour votre application.

Ce service vous permet d’optimiser la productivité de la batterie de serveurs web en déchargeant une terminaison TLS gourmande en ressources processeur vers la passerelle Application Gateway (processus également appelé déchargement TLS ou pontage TLS). Elle fournit également d’autres fonctionnalités de routage de couche 7, notamment la distribution en tourniquet (round robin) du trafic entrant, l’affinité de session basée sur les cookies, le routage basé sur le chemin d’accès de l’URL et la possibilité d’héberger plusieurs sites web derrière une seule passerelle Application Gateway. La passerelle Azure Application Gateway est un équilibreur de charge de couche 7.

Elle assure l’exécution des requêtes HTTP de basculement et de routage des performances entre serveurs locaux ou dans le cloud.

L’application fournit de nombreuses fonctionnalités ADC (Application Delivery Controller), notamment l’équilibrage de charge HTTP, l’affinité de session basée sur les cookies, le déchargement TLS, les sondes d’intégrité personnalisées, la prise en charge de plusieurs sites et bien d’autres.

Pare-feu d’applications web

Le pare-feu d’applications web est une fonctionnalité de la passerelle Azure Application Gateway qui offre une protection pour les applications web qui utilisent la passerelle d’application pour les fonctions Application Delivery Control (ADC) standard. Le pare-feu d’applications web le fait en les protégeant contre la plupart des 10 plus courantes vulnérabilités web de l’OWASP.

• Protection contre les injections de code SQL

• Protection contre les attaques web courantes telles que l’injection de commandes, la contrebande de requêtes HTTP, le fractionnement de réponse HTTP et l’inclusion de fichiers distants

• Protection contre les violations de protocole HTTP

• Protection contre les anomalies de protocole HTTP, telles que l’hôte manquant, l’agent utilisateur et les en-têtes d’acceptation

• Protection contre les robots, les crawlers et les scanneurs

• Détection de configurations incorrectes d’application courantes (par exemple, Apache, IIS)

Un pare-feu d’applications web centralisé (WAF) simplifie la gestion de la sécurité et améliore la protection contre les attaques web. Il offre une meilleure assurance contre les menaces d’intrusion et peut répondre plus rapidement aux menaces de sécurité en mettant à jour les vulnérabilités connues de manière centralisée, plutôt que de sécuriser chaque application web individuelle. Les passerelles d’application existantes peuvent être facilement mises à niveau pour inclure un pare-feu d’applications web.

Azure Front Door - Service de passerelle réseau de Microsoft

Azure Front Door est un point d’entrée global et évolutif qui utilise le réseau de périphérie global de Microsoft pour créer des applications web rapides, sécurisées et largement évolutives. Front Door fournit :

• Équilibrage de charge global : répartir le trafic entre plusieurs back-ends dans différentes régions
• Pare-feu d’applications web intégré : protéger contre les vulnérabilités et attaques web courantes
• Protection DDoS : protection intégrée contre les attaques par déni de service distribué
• Déchargement SSL/TLS : gestion centralisée des certificats et chiffrement du trafic
• Routage basé sur l’URL : acheminer le trafic vers différents back-ends en fonction des modèles d’URL

Front Door combine la distribution de contenu, l’accélération de l’application et la sécurité en un seul service.

Traffic Manager

Microsoft Azure Traffic Manager vous permet de contrôler la distribution du trafic utilisateur pour les points de terminaison de service dans différents centres de données. Les points de terminaison de service pris en charge par Traffic Manager incluent des machines virtuelles Azure, des applications web et des services cloud. Vous pouvez également utiliser Traffic Manager avec des points de terminaison externes non-Azure.

Traffic Manager utilise le système DNS (Domain Name System) pour diriger les requêtes clientes vers le point de terminaison le plus approprié en fonction d’une méthode de routage du trafic et de l’intégrité des points de terminaison. Traffic Manager fournit une gamme de méthodes de routage du trafic pour répondre à différents besoins d’application, à la surveillance de l’intégrité des points de terminaison et au basculement automatique. Traffic Manager est résilient aux défaillances, notamment à l’échec d’une région Azure entière.

Azure Load Balancer

Azure Load Balancer offre une haute disponibilité et des performances réseau élevées pour vos applications. Il s’agit d’un équilibreur de charge Layer-4 (TCP, UDP) qui distribue le trafic entrant parmi des instances saines de services définis dans un jeu à charge équilibrée. Azure Load Balancer peut être configuré pour :

• équilibrer la charge du trafic Internet entrant sur les machines virtuelles. Cette configuration est appelée Équilibrage de charge public.

• équilibrer le trafic entre des machines virtuelles dans un réseau virtuel, entre des machines virtuelles dans les services cloud ou entre des ordinateurs locaux et des machines virtuelles dans un réseau virtuel entre différents locaux. Cette configuration est appelée équilibrage de charge interne.

• Transférer du trafic externe vers une instance spécifique de machine virtuelle

DNS interne

Vous pouvez gérer la liste des serveurs DNS utilisés dans un réseau virtuel à partir du portail de gestion ou du fichier de configuration réseau. Le client peut ajouter jusqu’à 12 serveurs DNS par réseau virtuel. Quand vous spécifiez des serveurs DNS, assurez-vous de les indiquer dans l’ordre approprié pour l’environnement du client. Les listes de serveurs DNS ne fonctionnent pas sur le modèle du tourniquet (round-robin). Elles sont utilisées dans l’ordre où elles sont spécifiées. Si le premier serveur DNS de la liste est accessible, le client utilise ce serveur DNS, qu’il fonctionne correctement ou non. Pour modifier l’ordre des serveurs DNS pour le réseau virtuel du client, supprimez-les de la liste et rajoutez-les dans l’ordre souhaité par le client. DNS prend en charge la notion de disponibilité dans la triade relative à la sécurité : confidentialité, intégrité et disponibilité.

Azure DNS

Le DNS (Domain Name System) se charge de traduire (ou résoudre) un nom de site web ou de service en une adresse IP. Azure DNS est un service d’hébergement pour les domaines DNS, fournissant une résolution de noms à l’aide de l’infrastructure Microsoft Azure. En hébergeant vos domaines dans Azure, vous pouvez gérer vos enregistrements DNS avec les mêmes informations d’identification, les mêmes API, les mêmes outils et la même facturation que vos autres services Azure. DNS prend en charge l’aspect de disponibilité du triad de sécurité « CIA ».

Groupe de sécurité réseau de Journaux Azure Monitor

Vous pouvez activer les catégories de journaux de diagnostic suivantes pour les groupes de sécurité réseau :

• Événement : contient les entrées pour lesquelles des règles NSG sont appliquées aux machines virtuelles et aux rôles d’instance en fonction de l’adresse MAC. L’état de ces règles est collecté toutes les 60 secondes.

• Compteur de règles : contient les entrées correspondant au nombre de fois où chaque règle NSG a été appliquée pour refuser ou autoriser le trafic.

Microsoft Defender for Cloud

Microsoft Defender pour le cloud analyse en continu l’état de la sécurité de vos ressources Azure en guise de bonnes pratiques pour la sécurité réseau. Lorsque Defender pour Cloud identifie les vulnérabilités de sécurité potentielles, il crée des recommandations qui vous guident tout au long du processus de configuration des contrôles nécessaires pour renforcer et protéger vos ressources.

Services avancés de mise en réseau de conteneurs (ACNS)

Les services avancés de mise en réseau de conteneurs (ACNS) sont une suite complète conçue pour améliorer l’efficacité opérationnelle de vos clusters Azure Kubernetes Service (AKS). Elle fournit des fonctionnalités avancées de sécurité et d’observabilité pour répondre aux complexités de la gestion de l’infrastructure de microservices à grande échelle.

Ces fonctionnalités sont divisées en deux piliers principaux :

• Sécurité : Pour les clusters utilisant Azure CNI optimisé par Cilium, les stratégies réseau incluent le filtrage de nom de domaine complet (FQDN) pour résoudre les complexités de la maintenance de la configuration.

• Observabilité : cette fonctionnalité de la suite Advanced Container Networking Services offre la puissance du plan de contrôle de Hubble aux plans de données Cilium et non-Cilium Linux, ce qui offre une visibilité améliorée sur la mise en réseau et les performances.

Opérations de sécurité et gestion

La gestion et la surveillance de la sécurité de votre environnement Azure sont essentielles pour maintenir une posture de sécurité forte. Azure fournit des outils complets pour les opérations de sécurité, la détection des menaces et la réponse aux incidents. Pour obtenir une couverture détaillée de la gestion et de la surveillance de la sécurité, consultez la vue d’ensemble de la gestion et de la surveillance de la sécurité Azure. Pour connaître les meilleures pratiques de sécurité opérationnelle, consultez les meilleures pratiques de sécurité opérationnelle Azure. Pour obtenir une vue d’ensemble complète de la sécurité opérationnelle, consultez la vue d’ensemble de la sécurité opérationnelle Azure.

Microsoft Sentinel

Microsoft Sentinel est une solution native cloud évolutive de Gestion des informations et des événements de sécurité (SIEM) et de réponse automatisée d’orchestration de la sécurité (SOAR). Microsoft Sentinel assure une analyse de sécurité intelligente et fournit des renseignements sur les menaces dans l’ensemble de l’entreprise. Elle constitue une solution unique pour la détection des attaques, la visibilité des menaces, la chasse proactive et la réponse aux menaces.

Microsoft Sentinel est désormais disponible dans le portail Microsoft Defender pour tous les clients, offrant une expérience unifiée des opérations de sécurité qui simplifie les flux de travail et améliore la visibilité. L’intégration à Security Copilot permet aux analystes d’interagir avec les données Microsoft Sentinel à l’aide du langage naturel, de générer des requêtes de chasse et d’automatiser les enquêtes pour accélérer la réponse aux menaces.

Microsoft Defender for Cloud

Microsoft Defender pour le cloud vous aide à prévenir, détecter et résoudre les menaces avec une visibilité et un contrôle accrus sur la sécurité de vos ressources Azure. Microsoft Defender pour Cloud fournit une surveillance intégrée de la sécurité et la gestion des stratégies sur vos abonnements Azure, permet de détecter les menaces qui pourraient passer inaperçues et fonctionne avec un large écosystème de solutions de sécurité.

Microsoft Defender pour Cloud offre une protection complète avec des plans spécifiques à la charge de travail, notamment :

• Defender pour serveurs - Protection avancée contre les menaces pour les serveurs Windows et Linux
• Defender pour conteneurs - Sécurité pour les applications conteneurisées et Kubernetes
• Defender pour le stockage - Détection des menaces avec analyse des programmes malveillants et découverte de données sensibles
• Defender pour bases de données - Protection pour Azure SQL, Azure Database pour MySQL et PostgreSQL
• Defender pour AI Services - Protection du runtime pour les services Azure AI contre les tentatives de jailbreak, l’exposition des données et les modèles d’accès suspects
• Defender CSPM - Gestion de la posture de sécurité cloud avec analyse des chemins d’attaque, gouvernance de la sécurité et gestion de la posture de sécurité IA

En outre, Defender pour le cloud facilite les opérations de sécurité en vous fournissant un tableau de bord unique qui présente les alertes et les suggestions qui peuvent être traitées immédiatement. L’intégration de Security Copilot fournit des résumés, des scripts de correction et des fonctionnalités de délégation générés par l’IA pour accélérer la correction des risques.

Pour obtenir des fonctionnalités complètes de détection des menaces dans Azure, consultez La protection contre les menaces Azure.

Azure Resource Manager

Azure Resource Manager vous permet de travailler avec les ressources de votre solution en tant que groupe. Vous pouvez déployer, mettre à jour ou supprimer toutes les ressources de votre solution dans le cadre d’une opération unique et coordonnée. Vous utilisez un modèle Azure Resource Manager de déploiement pouvant fonctionner dans différents environnements (environnements de test, intermédiaire et de production). Le gestionnaire de ressources assure la sécurité, les fonctions d’audit et de balisage pour vous aider à gérer vos ressources après le déploiement.

Les déploiements basés sur un modèle Azure Resource Manager contribuent à améliorer la sécurité des solutions déployées dans Azure, car des paramètres de contrôle de sécurité standard peuvent être intégrés aux déploiements basés sur un modèle standardisé. Les modèles réduisent le risque d’erreurs de configuration de sécurité qui peuvent se produire lors de déploiements manuels.

Application Insights

Application Insights est un service APM (Application Performance Management) flexible conçu pour les développeurs web. Il vous permet de surveiller vos applications web dynamiques et de détecter automatiquement des anomalies dans les performances. Doté de puissants outils d’analyse, il vous permet de diagnostiquer les problèmes et d’obtenir des insights sur les interactions des utilisateurs avec vos applications. Application Insights surveille votre application en continu, du développement à la production en passant par les tests.

Application Insights génère des graphiques et des tableaux perspicaces qui révèlent les pics d’activité des utilisateurs, la réactivité de l’application et le niveau de performance des services externes sur lesquels elle s’appuie.

En cas d’incidents, d’échecs ou de problèmes de performances, vous pouvez effectuer une recherche dans les données pour diagnostiquer la cause en détail. Et le service vous envoie des messages électroniques si des modifications sont apportées à la disponibilité et à la performance de votre application. Application Insights devient donc un outil de sécurité précieux, car il apporte la « disponibilité » dans la triade relative à la sécurité : confidentialité, intégrité et disponibilité.

Azure Monitor

Azure Monitor offre la visualisation, la requête, le routage, l’alerte, la mise à l’échelle automatique et l’automatisation des données à partir de l’abonnement Azure (journal d’activité) et de chaque ressource Azure (journaux de ressources). Vous pouvez utiliser Azure Monitor pour vous alerter sur les événements liés à la sécurité qui sont générés dans les journaux d’activité Azure.

Journaux d’activité Azure Monitor

Les journaux Azure Monitor fournissent une solution de gestion informatique pour l’infrastructure cloud locale et tierce (comme Amazon Web Services) en plus des ressources Azure. Les données issues d’Azure Monitor peuvent être acheminées directement dans Journaux Azure Monitor, afin que vous puissiez voir les métriques et les journaux pour l’ensemble de votre environnement en un seul endroit.

La solution Journaux Azure Monitor peut se révéler un outil utile dans l’analyse d’investigation et dans les autres analyses de la sécurité, car il vous permet d’effectuer rapidement des recherches dans de grandes quantités d’entrées liées à la sécurité, avec une approche de type requête flexible. Par ailleurs, des journaux de pare-feu et proxy locaux peuvent être exportés dans Azure, et mis à disposition pour analyse avec Journaux Azure Monitor.

Azure Advisor

Azure Advisor est un consultant cloud personnalisé qui vous aide à optimiser vos déploiements Azure. Elle analyse les données de configuration et d’utilisation de vos ressources. Il recommande ensuite des solutions pour améliorer les performances, la sécurité et la fiabilité de vos ressources tout en recherchant des opportunités pour réduire vos dépenses Azure globales. Azure Advisor fournit des recommandations en termes de sécurité, qui peuvent améliorer sensiblement votre sécurité globale pour les solutions que vous déployez dans Azure. Ces recommandations sont tirées de l’analyse de sécurité effectuée par Microsoft Defender pour le cloud.

Gestion de l’identité et de l’accès

L’identité est le périmètre de sécurité principal dans le cloud computing. La protection des identités et le contrôle de l’accès aux ressources est fondamentale pour sécuriser votre environnement Azure. Microsoft Entra ID fournit des fonctionnalités complètes de gestion des identités et des accès. Pour plus d’informations, consultez la vue d’ensemble de la gestion des identités Azure. Pour connaître les meilleures pratiques de gestion des identités, consultez les meilleures pratiques de gestion des identités et de contrôle d’accès Azure. Pour obtenir des conseils sur la sécurisation de l’infrastructure d’identité, consultez Cinq étapes pour sécuriser votre infrastructure d’identité.

Microsoft Entra ID (système d'identification de Microsoft)

Microsoft Entra ID est le service de gestion des identités et des accès cloud de Microsoft. Il offre :

• Authentification unique (Sign-On SSO) : permettre aux utilisateurs d’accéder à plusieurs applications avec un ensemble d’informations d’identification
• Multi-Factor Authentication (MFA) : Exiger plusieurs formes de vérification pour se connecter
• Accès conditionnel : contrôler l’accès aux ressources en fonction de l’utilisateur, de l’appareil, de l’emplacement et du risque
• Identity Protection : détecter et répondre aux risques basés sur l’identité
• Privileged Identity Management (PIM) : fournir un accès privilégié juste-à-temps aux ressources Azure
• Gouvernance des identités : gérer le cycle de vie des identités et les droits d’accès

Contrôle d’accès en fonction du rôle

Le contrôle d’accès en fonction du rôle Azure (RBAC) vous aide à gérer qui a accès aux ressources Azure, à ce qu’ils peuvent faire avec ces ressources et aux domaines auxquels ils ont accès. RBAC fournit une gestion des accès affinée pour les ressources Azure, ce qui vous permet d’accorder aux utilisateurs uniquement les droits dont ils ont besoin pour effectuer leurs travaux.

Microsoft Entra Privileged Identity Management

Microsoft Entra Privileged Identity Management (PIM) vous permet de gérer, contrôler et surveiller l’accès aux ressources importantes de votre organisation. PIM fournit une activation de rôle basée sur le temps et basée sur l’approbation pour atténuer les risques d’autorisations d’accès excessives, inutiles ou incorrectes.

Identités managées pour les ressources Azure

Les identités gérées pour les ressources Azure fournissent aux services Azure une identité gérée automatiquement dans Microsoft Entra ID. Vous pouvez utiliser cette identité pour vous authentifier auprès de n’importe quel service prenant en charge l’authentification Microsoft Entra, sans avoir d’informations d’identification dans votre code.

Les mises à jour correctives fournissent les références permettant de détecter et de corriger les problèmes potentiels et de simplifier le processus de gestion des mises à jour logicielles. Vous pouvez ainsi réduire le nombre de mises à jour logicielles à déployer dans votre entreprise et augmenter votre capacité à surveiller la conformité.

Gestion des stratégies de sécurité et création de rapports

Defender pour le cloud vous aide à prévenir, détecter et résoudre les menaces grâce à une visibilité et un contrôle accrus de la sécurité de vos ressources Azure. Il fournit une surveillance de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste écosystème de solutions de sécurité.

Identité sécurisée

Microsoft a recours à plusieurs technologies et pratiques de sécurité dans ses produits et services pour gérer les identités et les accès.

• L’authentification multifacteur nécessite que les utilisateurs utilisent plusieurs méthodes pour l’accès, localement et dans le cloud. Elle fournit une authentification forte avec un éventail d’options de vérification conviviales tout en proposant aux utilisateurs un processus de connexion simple.

• Microsoft Authenticator offre une expérience d’authentification multifacteur conviviale qui fonctionne avec les comptes Microsoft Entra ID et Microsoft, et inclut la prise en charge des approbations basées sur les empreintes digitales et les appareils portables.

• L’application de la stratégie de mot de passe renforce la sécurité des mots de passe traditionnels en imposant des exigences de longueur et de complexité, une rotation périodique forcée et un verrouillage de compte après des tentatives d’authentification en échec.

• L’authentification basée sur les jetons permet l’authentification via l’ID Microsoft Entra.

• Le contrôle d’accès en fonction du rôle Azure (Azure RBAC) vous permet d’accorder un accès en fonction du rôle de l’utilisateur. Vous pouvez ainsi donner facilement aux utilisateurs uniquement le niveau d’accès dont ils ont besoin pour effectuer leurs tâches. Vous pouvez personnaliser RBAC Azure en fonction du modèle d’entreprise et de la tolérance au risque de votre organisation.

• La gestion d’identité intégrée (identité hybride) vous permet de gérer le contrôle d’accès des utilisateurs dans plusieurs plateformes cloud et centres de données internes, en créant une identité de l’utilisateur unique pour l’authentification et l’autorisation sur toutes les ressources.

Sécuriser les applications et données

Microsoft Entra ID, solution cloud complète de gestion des identités et des accès, permet de sécuriser l’accès aux données des applications localement et dans le cloud et simplifie la gestion des utilisateurs et des groupes. Elle combine des services d’annuaire essentiels, la gouvernance avancée des identités, la sécurité et la gestion des accès aux applications, et permet aux développeurs d’intégrer facilement la gestion d’identité basée sur des stratégies à leurs applications. Pour enrichir votre expérience Microsoft Entra ID, vous pouvez ajouter des fonctionnalités payantes à l’aide des éditions De base, Premium P1 et Premium P2 de Microsoft Entra.

• Cloud App Discovery est une fonctionnalité Premium de Microsoft Entra ID qui vous permet d’identifier les applications cloud utilisées par les employés de votre organisation.

• Protection des ID Microsoft Entra est un service de sécurité qui utilise les fonctionnalités de détection d’anomalie de Microsoft Entra pour fournir une vue consolidée des détections des risques et des vulnérabilités potentielles qui pourraient affecter les identités de votre organisation.

• La fonctionnalité Microsoft Entra Domain Services vous permet de joindre des machines virtuelles Azure à un domaine sans avoir à déployer de contrôleurs de domaine. Les utilisateurs se connectent à ces machines virtuelles à l’aide de leurs informations d’identification Active Directory d’entreprise et accèdent aux ressources en toute transparence.

• Pour les applications utilisées par les consommateurs, Microsoft Entra B2C offre un service de gestion de l’identité global et hautement disponible, qui s’adapte à des centaines de millions d’identités et s’intègre aux plateformes mobiles et web. Vos clients peuvent se connecter à toutes vos applications via des expériences personnalisables qui utilisent les comptes de réseaux sociaux existants. Vous pouvez également créer des informations d’identification autonomes.

• Microsoft Entra B2B Collaboration est une solution d’intégration de partenaire sécurisée qui prend en charge les relations interentreprises en permettant aux partenaires d’accéder de façon sélective à vos applications et données d’entreprise à l’aide de leurs identités autogérées.

• L’option Joint à Microsoft Entra vous permet d’étendre les fonctionnalités du cloud aux appareils Windows 10 en vue d’une gestion centralisée. Cette fonctionnalité permet aux utilisateurs de se connecter au cloud d’entreprise ou d’organisation via Microsoft Entra ID, et simplifie l’accès aux applications et aux ressources.

• Le proxy d’application Microsoft Entra offre une authentification unique et un accès à distance sécurisé pour les applications web hébergées localement.

Étapes suivantes

• Comprendre votre responsabilité partagée dans le cloud.

• Découvrez la manière dont Microsoft Defender pour le cloud vous aide à anticiper, à détecter et à traiter des menaces grâce à une visibilité et un contrôle accrus de la sécurité de vos ressources Azure.

• Explorez les meilleures pratiques et les modèles de sécurité Azure pour obtenir des recommandations de sécurité supplémentaires.

• Passez en revue le benchmark de sécurité cloud Microsoft pour obtenir des conseils de sécurité complets.

• Consultez la sécurité de bout en bout dans Azure pour obtenir une vue de protection, de détection et de réponse de l’architecture de sécurité Azure.