Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La confiance zéro est une stratégie de sécurité qui suppose une violation et vérifie chaque requête comme si elle provient d’un réseau non contrôlé. Cet article explique comment appliquer des principes de confiance zéro à l’infrastructure et aux services Microsoft Azure.
Pour obtenir des informations complètes sur la confiance Zéro en tant que modèle de sécurité et son application sur les produits Microsoft, consultez Qu’est-ce que la confiance zéro ?.
Principes de confiance zéro pour Azure
Aujourd’hui, les organisations ont besoin d’un modèle de sécurité qui s’adapte efficacement à la complexité de l’environnement moderne, embrasse la main-d’œuvre mobile et protège les personnes, les appareils, les applications et les données où qu’elles se trouvent.
Le modèle de sécurité Confiance Zéro repose sur trois principes directeurs :
- Vérifiez explicitement : authentifiez et autorisez toujours en fonction de tous les points de données disponibles, notamment l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil et le service ou la charge de travail.
- Utilisez l’accès au privilège minimum : limitez l’accès utilisateur avec Just-In-Time et Just-Enough-Access (JIT/JEA), les stratégies adaptatives basées sur les risques et la protection des données.
- Supposons une compromission : réduisez le rayon d'impact et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.
Application de principes aux charges de travail Azure
Lors de l’implémentation de Confiance Zéro dans Azure, ces principes se traduisent en modèles architecturaux spécifiques :
Vérifiez explicitement que chaque demande d’accès aux ressources Azure doit être authentifiée et autorisée à l’aide de l’ID Microsoft Entra, avec des stratégies d’accès conditionnel évaluant les risques en fonction de plusieurs signaux, notamment l’utilisateur, l’appareil, l’emplacement et le contexte de charge de travail.
L’utilisation de l’accès au privilège minimum nécessite l’utilisation du contrôle d’accès en fonction du rôle (RBAC) avec des autorisations minimales, l’accès Juste-In-Time (JIT) pour les opérations d’administration et les identités managées au lieu de stocker des informations d’identification.
Supposer une compromission favorise la segmentation du réseau pour limiter le déplacement latéral, le chiffrement des données au repos et en transit, la surveillance continue et la détection des menaces, ainsi que la création de sauvegardes immuables pour se protéger contre les attaques destructrices.
Architecture confiance zéro dans Azure
Une approche Confiance Zéro s’étend dans l’ensemble du patrimoine numérique et sert de philosophie de sécurité intégrée et de stratégie de bout en bout. Lorsqu’elle est appliquée à Azure, elle nécessite une approche multidisciplinaire qui traite systématiquement l’infrastructure, la mise en réseau, l’identité et la protection des données.
Cette illustration fournit une représentation des éléments principaux qui contribuent à Confiance nulle.
Dans l’illustration :
- L’application de la stratégie de sécurité est au centre d’une architecture Confiance Zéro. Cela inclut l’authentification multifacteur avec l’accès conditionnel qui prend en compte les risques de compte d’utilisateur, l’état de l’appareil et d’autres critères et stratégies que vous définissez.
- Les identités, les appareils (également appelés points de terminaison), les données, les applications, le réseau et d’autres composants d’infrastructure sont tous configurés avec une sécurité appropriée. Les stratégies configurées pour chacun de ces composants sont coordonnées avec votre stratégie globale Confiance Zéro.
- La protection contre les menaces et les renseignements surveillent l’environnement, exposent les risques actuels et prennent des mesures automatisées pour corriger les attaques.
De la sécurité périmétrique à la confiance zéro
L’approche traditionnelle du contrôle d’accès pour l’informatique est basée sur la restriction de l’accès à un périmètre de réseau d’entreprise. Ce modèle limite toutes les ressources à une connexion réseau appartenant à l’entreprise et est devenu trop restrictif pour répondre aux besoins d’une entreprise dynamique.
Dans les environnements Azure, le passage à confiance zéro est particulièrement important, car les ressources cloud existent en dehors des périmètres de réseau traditionnels. Les organisations doivent adopter une approche Confiance Zéro pour contrôler l’accès, car elles adoptent le travail à distance et utilisent la technologie cloud pour transformer leur modèle métier.
Les principes de confiance zéro permettent d’établir et d’améliorer en permanence les garanties de sécurité tout en conservant la flexibilité nécessaire dans les environnements cloud modernes. La plupart des parcours Confiance Zéro commencent par le contrôle d’accès et se concentrent sur l’identité comme contrôle préféré et principal. La technologie de sécurité réseau reste un élément clé, mais elle n’est pas l’approche dominante dans une stratégie de contrôle d’accès complète.
Pour plus d’informations sur la transformation confiance zéro du contrôle d’accès dans Azure, consultez le contrôle d’accès du Framework d’adoption du cloud.
Implémentation d’une confiance zéro pour l’infrastructure Azure
L’application d’une confiance zéro à Azure nécessite une approche méthode qui traite différentes couches de votre infrastructure, des éléments fondamentaux jusqu’à des charges de travail complètes.
Composants d’infrastructure et IaaS Azure
La confiance zéro pour Azure IaaS traite la pile d’infrastructure complète : services de stockage avec chiffrement et contrôles d’accès, machines virtuelles avec lancement approuvé et chiffrement de disque, réseaux spoke avec microsegmentation, réseaux hub avec services de sécurité centralisés et intégration PaaS via des points de terminaison privés. Pour obtenir des instructions détaillées, consultez Appliquer les principes de confiance zéro à la vue d’ensemble d’Azure IaaS.
Mise en réseau Azure
La sécurité réseau se concentre sur quatre domaines clés : chiffrement de tout le trafic réseau, segmentation à l’aide de groupes de sécurité réseau et pare-feu Azure, visibilité par le biais de la surveillance du trafic et interruption des contrôles vpn hérités en faveur des approches centrées sur l’identité. Pour obtenir des instructions détaillées, consultez Appliquer des principes de confiance zéro à la mise en réseau Azure.
Identité en tant que plan de contrôle
L’identité est le plan de contrôle principal pour la confiance zéro dans Azure. L’accès conditionnel sert de moteur de stratégie principal, en évaluant les demandes d’accès en fonction de plusieurs signaux pour accorder, limiter ou bloquer l’accès. Pour plus d’informations, consultez La vue d’ensemble de l’accès conditionnel pour la confiance zéro et la sécurité de gestion des identités Azure.
Protection des données et garantir la disponibilité
La protection des données dans Azure nécessite plusieurs couches : chiffrement au repos et en transit, contrôles d’accès basés sur l’identité à l’aide d’identités managées et RBAC, et pour les charges de travail hautement sensibles, l’informatique confidentielle pour protéger les données pendant le traitement. La résilience contre les attaques destructrices nécessite des verrous de ressources, des sauvegardes immuables, la géoréplication et la protection de l’infrastructure de récupération elle-même. Pour obtenir des conseils détaillés, consultez Protéger vos ressources Azure contre les cyberattaques destructrices.
Détection et réponse aux menaces
La confiance zéro nécessite une surveillance continue avec l’hypothèse selon laquelle les menaces peuvent déjà être présentes. Microsoft Defender pour Cloud fournit une gestion unifiée de la sécurité et la protection contre les menaces pour les ressources Azure, tandis que l’intégration à Microsoft Defender XDR permet la détection corrélée dans l’ensemble de votre environnement. Pour plus d’informations, consultez la vue d’ensemble de la détection des menaces Azure et Microsoft Sentinel et Microsoft Defender XDR.
Responsabilité partagée et sécurité Azure
La sécurité dans Azure est une responsabilité partagée entre Microsoft et les clients. Microsoft sécurise l’infrastructure physique et la plateforme Azure, tandis que les clients sont responsables de l’identité, des données et de la sécurité des applications, avec la division variable par modèle de service (IaaS, PaaS, SaaS). L’implémentation de Confiance Zéro nécessite de coordonner les contrôles au niveau de la plateforme avec les choix de configuration du client. Pour plus d’informations, consultez Responsabilité partagée dans le cloud.
Fonctionnalités de sécurité Azure
Bien que cet article se concentre sur l’application conceptuelle de Confiance Zéro à Azure, il est important de comprendre l’étendue des fonctionnalités de sécurité disponibles. Azure fournit des services de sécurité complets sur toutes les couches de votre infrastructure.
Pour obtenir une vue d’ensemble des fonctionnalités de sécurité d’Azure organisées par zone fonctionnelle, consultez Présentation de la sécurité Azure. Pour une vue de la sécurité Azure organisée par les fonctionnalités de protection, de détection et de réponse, consultez la sécurité de bout en bout dans Azure.
Des instructions détaillées supplémentaires sont disponibles pour des domaines spécifiques :
- Identité et accès - Vue d’ensemble de la sécurité de la gestion des identités Azure
- Sécurité - réseauVue d’ensemble de la sécurité réseau Azure
- Protection des données - Vue d’ensemble du chiffrement Azure et sécurité d’Azure Key Vault
- Sécurité - du calculVue d’ensemble de la sécurité des machines virtuelles Azure
- Sécurité de la - plateformeVue d’ensemble de la sécurité de la plateforme Azure
- Détection des - menacesVue d’ensemble de la détection des menaces Azure
- Gestion et surveillance - Vue d’ensemble de la gestion et de la supervision de la sécurité Azure
Développement d’applications et confiance zéro
Les applications déployées sur Azure doivent s’authentifier et autoriser chaque requête plutôt que de s’appuyer sur une approbation implicite à partir de l’emplacement réseau. Les principes clés incluent l’utilisation de l’ID Microsoft Entra pour la vérification d’identité, la demande d’autorisations minimales, la protection des données sensibles et l’utilisation d’identités managées au lieu des informations d’identification stockées. Pour obtenir des conseils complets, consultez Développer en utilisant les principes de Zero Trust et Créer des applications prêtes pour Zero Trust à l’aide de la plateforme d’identités Microsoft.
Étapes suivantes
Pour implémenter Zero Trust dans votre environnement Azure, commencez par les ressources suivantes :
- Appliquer des principes de confiance zéro à la vue d’ensemble des services Azure - Commencez ici pour obtenir une vue complète de l’application d’une confiance Zéro sur différents types de services Azure
- Appliquer des principes de confiance zéro à la vue d’ensemble d’Azure IaaS - Aide détaillée pour les charges de travail d’infrastructure
- Appliquer des principes de confiance zéro à la mise en réseau Azure - Conseils d’implémentation de la sécurité réseau
- Protéger vos ressources Azure contre les cyberattaques destructrices - Résilience et planification de la récupération
- Qu'est-ce que la Confiance Zéro ? - Conseils complets sur la confiance zéro dans les produits Microsoft
Pour les ressources Microsoft Zero Trust plus larges :
- Guides de déploiement Zero Trust - Objectifs de déploiement spécifiques à la technologie
- Infrastructure d’adoption de confiance zéro - Conseils d’implémentation axés sur les résultats métier
- Confiance zéro pour Microsoft 365 - Conseils sur la charge de travail SaaS et la productivité