Contrôle de sécurité V2 : Sécurité réseau

La sécurité réseau couvre les contrôles permettant de sécuriser et de protéger les réseaux Azure. Cela inclut la sécurisation des réseaux virtuels, l’établissement de connexions privées, la prévention et l’atténuation des attaques externes et la sécurisation du DNS.

Pour afficher les stratégies intégrées applicables d'Azure Policy, consultez les détails de l'initiative intégrée à la conformité réglementaire du benchmark de sécurité Azure : sécurité réseau.

NS-1 : Implémenter la sécurité pour le trafic interne

Assurez-vous que tous les réseaux virtuels Azure suivent un principe de segmentation d’entreprise qui s’aligne sur les risques métier. Tout système susceptible d’entraîner un risque plus élevé pour l’organisation doit être isolé au sein de son propre réseau virtuel et suffisamment sécurisé avec un groupe de sécurité réseau (NSG) et/ou un pare-feu Azure.

En fonction de vos applications et stratégie de segmentation d’entreprise, limitez ou autorisez le trafic entre les ressources internes en fonction des règles de groupe de sécurité réseau. Pour des applications spécifiques bien définies (par exemple, une application à 3 niveaux), il peut s’agir d’une approche « refuser par défaut, autoriser par exception » hautement sécurisée. Cela peut ne pas être correctement mis à l’échelle si vous avez de nombreuses applications et points de terminaison qui interagissent entre eux. Vous pouvez également utiliser le Pare-feu Azure dans les cas où la gestion centralisée est requise sur un grand nombre de segments d’entreprise ou de spokes (dans une topologie hub/spoke).

Utilisez le renforcement du réseau adaptatif Azure Security Center pour recommander des configurations de groupe de sécurité réseau qui limitent les ports et les adresses IP sources en fonction des règles de trafic réseau externe.

Utilisez Azure Sentinel pour découvrir l’utilisation de protocoles non sécurisés hérités tels que SSL/TLSv1, SMBv1, LM/NTLMv1, wDigest, liaisons LDAP non signées et chiffrements faibles dans Kerberos.

• Comment créer un groupe de sécurité réseau avec des règles de sécurité

• Comment déployer et configurer le Pare-feu Azure

• Renforcement du réseau adaptatif dans Azure Security Center

• Classeur de protocoles non sécurisés Azure Sentinel

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps

NS-2 : Connecter des réseaux privés ensemble

Utilisez Azure ExpressRoute ou un réseau privé virtuel Azure (VPN) pour créer des connexions privées entre les centres de données Azure et l’infrastructure locale dans un environnement de colocalisation. Les connexions ExpressRoute ne passent pas par l’Internet public et offrent plus de fiabilité, de vitesses plus rapides et de latences inférieures à celles des connexions Internet classiques. Pour un VPN de point à site et un VPN de site à site, vous pouvez connecter des appareils ou des réseaux locaux à un réseau virtuel à l’aide de n’importe quelle combinaison de ces options VPN et d’Azure ExpressRoute.

Pour connecter deux réseaux virtuels ou plus dans Azure, utilisez le peering de réseaux virtuels ou Private Link. Le trafic réseau entre les réseaux virtuels appairés est privé et est conservé sur le réseau principal Azure.

• Présentation des modèles de connectivité ExpressRoute

• Vue d’ensemble du VPN Azure

• Peering de réseaux virtuels

• Azure Private Link

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps

NS-3 : Établir un accès réseau privé aux services Azure

Utilisez Azure Private Link pour activer l’accès privé aux services Azure à partir de vos réseaux virtuels, sans traverser Internet. Dans les situations où Azure Private Link n’est pas encore disponible, utilisez des points de terminaison de service de réseau virtuel Azure. Les points de terminaison de service de réseau virtuel Azure fournissent un accès sécurisé aux services via un itinéraire optimisé sur le réseau principal Azure.

L’accès privé est une mesure de défense supplémentaire en profondeur en plus de l’authentification et de la sécurité du trafic offerte par les services Azure.

• Comprendre Azure Private Link

• Comprendre les points de terminaison de service de réseau virtuel

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps

NS-4 : Protéger les applications et les services contre les attaques réseau externes

Protégez les ressources Azure contre les attaques à partir de réseaux externes, notamment les attaques par déni de service distribué (DDoS), les attaques spécifiques à l’application et le trafic Internet non sollicité et potentiellement malveillant. Azure inclut des fonctionnalités natives pour ceci :

• Utilisez le Pare-feu Azure pour protéger les applications et les services contre le trafic potentiellement malveillant à partir d’Internet et d’autres emplacements externes.

• Utilisez des fonctionnalités de pare-feu d’applications web (WAF) dans Azure Application Gateway, Azure Front Door et Azure Content Delivery Network (CDN) pour protéger vos applications, services et API contre les attaques de couche application.

• Protégez vos ressources contre les attaques DDoS en activant la protection standard DDoS sur vos réseaux virtuels Azure.

• Utilisez Azure Security Center pour détecter les risques de configuration incorrects liés à ce qui précède.

• Documentation sur le pare-feu Azure

• Guide pratique pour déployer Azure WAF

• Gérer Azure DDoS Protection Standard à l’aide du portail Azure

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps

NS-5 : Déployer des systèmes de détection d’intrusion/prévention des intrusions (IDS/IPS)

Utilisez le filtrage basé sur le renseignement sur les menaces du Pare-feu Azure pour alerter et/ou bloquer le trafic vers et depuis des adresses IP et des domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence. Lorsque l’inspection de la charge utile est requise, vous pouvez utiliser la fonctionnalité IDPS Premium du Pare-feu Azure ou déployer un système de détection d’intrusion/prévention des intrusions tiers (IDS/IPS) à partir de la Place de marché Azure avec des fonctionnalités d’inspection de charge utile. Vous pouvez également utiliser des ID/IPS basés sur l’hôte ou une solution de détection et de réponse basée sur l’hôte (EDR) conjointement avec ou au lieu d’ID/IPS basés sur le réseau.

Remarque : Si vous disposez d’une réglementation ou d’une autre exigence pour l’utilisation d’IDS/IPS, assurez-vous qu’elle est toujours paramétrée pour fournir des alertes de haute qualité à votre solution SIEM.

• Comment déployer le Pare-feu Azure

• La Place de marché Azure comprend des fonctionnalités d’IDS tiers

• Capacité Microsoft Defender pour Endpoint

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps

NS-6 : Simplifier les règles de sécurité réseau

Simplifiez les règles de sécurité réseau en tirant parti des balises de service et des groupes de sécurité d’application (ASG).

Utilisez des balises de service de réseau virtuel pour définir des contrôles d’accès réseau sur des groupes de sécurité réseau ou un pare-feu Azure. Vous pouvez utiliser des balises de service à la place des adresses IP spécifiques lors de la création de règles de sécurité. En spécifiant le nom de l’étiquette de service dans le champ source ou de destination d’une règle, vous pouvez autoriser ou refuser le trafic pour le service correspondant. Microsoft gère les préfixes d’adresses englobés par la balise de service et met automatiquement à jour la balise de service à mesure que les adresses changent.

Vous pouvez également utiliser des groupes de sécurité d’application pour simplifier la configuration de sécurité complexe. Au lieu de définir une stratégie basée sur des adresses IP explicites dans des groupes de sécurité réseau, les groupes de sécurité d’application vous permettent de configurer la sécurité réseau comme extension naturelle de la structure d’une application, ce qui vous permet de regrouper des machines virtuelles et de définir des stratégies de sécurité réseau basées sur ces groupes.

• Comprendre et utiliser des balises de service

• Comprendre et utiliser des groupes de sécurité d’application

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps

NS-7 : Service de noms de domaine sécurisé (DNS)

Suivez les meilleures pratiques pour la sécurité DNS afin d’atténuer les attaques courantes telles que le DNS pendant, les attaques d’amplification DNS, l’empoisonnement DNS et le spoofing DNS, etc.

Quand Azure DNS est utilisé comme service DNS faisant autorité, vérifiez que les zones et enregistrements DNS sont protégés contre les modifications accidentelles ou malveillantes à l’aide d’Azure RBAC et de verrous de ressources.

• Vue d’ensemble d’Azure DNS

• Guide de déploiement dns (Secure Domain Name System)

• Empêcher les enregistrements DNS orphelins et éviter la prise de contrôle des sous-domaines

Responsabilité : Client

Parties prenantes de la sécurité des clients (en savoir plus) :

• architecture de sécurité

• Gestion de la posture

• Sécurité des applications et DevOps