Considérations relatives à la planification d’une configuration sécurisée

  • 5 minutes

Étant donné que le déploiement de serveurs avec Arc englobe des milliers d’ordinateurs sur plusieurs bureaux qui gèrent des charges de travail critiques pour l’entreprise, la sécurité est à l’esprit pour Wide World Importers. Lors de la planification d’un déploiement sécurisé, il est important de réfléchir à la façon dont les rôles d’accès, les stratégies et les options de réseau peuvent être appliquées simultanément pour garantir la conformité et la protection des ressources.

Les serveurs avec Azure Arc bénéficient non seulement d’une sécurité intégrée avec partage de données et chiffrement minutieux dès la conception, mais aussi de toute une gamme de configurations de sécurité supplémentaires. Pour garantir un déploiement sécurisé, vous devrez peut-être préparer une zone d’atterrissage efficace pour les ressources avec Arc en configurant les contrôles d’accès, l’infrastructure de gouvernance et les options de réseau avancées appropriés. Dans cette unité, vous allez apprendre à :

  1. Configurer le contrôle d’accès en fonction du rôle (RBAC) : développez un plan d’accès pour contrôler qui peut accéder à la gestion des serveurs avec Azure Arc et consulter leurs données à partir d’autres services Azure.

  2. Développez un plan de gouvernance Azure Policy : déterminez comment implémenter la gouvernance des serveurs hybrides et des machines au niveau de l’étendue de l’abonnement ou du groupe de ressources avec Azure Policy.

  3. Sélectionnez options de mise en réseau avancée : déterminez si le serveur proxy ou Azure Private Link est nécessaire pour le déploiement de votre serveur avec Arc.

Sécuriser les identités et le contrôle d’accès

Chaque serveur avec Azure Arc a une identité managée dans le cadre d’un groupe de ressources à l’intérieur d’un abonnement Azure. Cette identité représente le serveur s’exécutant localement ou un autre environnement cloud. Le contrôle d’accès en fonction du rôle (RBAC) Azure standard contrôle l’accès à cette ressource. Un serveur avec Azure Arc a deux rôles spécifiques : Intégration Azure Connected Machine et Administrateur des ressources Azure Connected Machine.

Le rôle Intégration d’Azure Connected Machine est disponible pour l’intégration à grande échelle et il peut uniquement lire ou créer de nouveaux serveurs avec Azure Arc dans Azure. Il ne peut pas servir à supprimer des serveurs déjà inscrits ni à gérer des extensions. En tant que bonne pratique, nous vous recommandons d’attribuer ce rôle uniquement au principal du service Microsoft Entra utilisé pour l’intégration des machines à grande échelle.

Les utilisateurs disposant du rôle Administrateur de ressources de machine connectée Azure peuvent lire, modifier, réinscrire et supprimer une machine. Ce rôle est conçu pour prendre en charge la gestion des serveurs avec Azure Arc, mais pas d’autres ressources dans le groupe de ressources ou l’abonnement.

De plus, l’agent Azure Connected Machine utilise l’authentification par clé publique pour communiquer avec le service Azure. Après avoir intégré un serveur à Azure Arc, une clé privée est enregistrée sur le disque et utilisée chaque fois que l’agent communique avec Azure. En cas de vol, la clé privée peut être utilisée sur un autre serveur pour communiquer avec le service et faire comme s’il s’agissait du serveur d’origine. Une clé privée volée peut également accéder à l’identité affectée par le système et à toutes les ressources auxquelles cette identité a accès. Le fichier de la clé privée est protégé pour que le compte HIMDS ne puisse y accéder qu’en lecture. Pour empêcher les attaques hors connexion, nous vous recommandons vivement d’utiliser le chiffrement de disque complet (par exemple, BitLocker, dm-crypt, etc.) sur le volume du système d’exploitation de votre serveur.

Gouvernance Azure Policy

La conformité réglementaire Azure Policy fournit des définitions d’initiatives créées et gérées par Microsoft, qui sont dites intégrées, pour les domaines de conformité et les contrôles de sécurité associés à différents standards de conformité. Voici quelques stratégies Azure de conformité réglementaire :

  • Australian Government ISM PROTECTED
  • Azure Security Benchmark
  • Benchmark de sécurité Azure v1
  • PBMM du gouvernement fédéral canadien
  • CMMC de niveau 3
  • FedRAMP High
  • FedRAMP Moderate
  • HIPAA HITRUST 9.2
  • IRS 1075 septembre 2016
  • ISO 27001:2013
  • Nouvelle-Zélande ISM Restricted
  • NIST SP 800-171 R2
  • NIST SP 800-53 Rév. 4
  • NIST SP 800-53 Rev. 5
  • UK OFFICIAL et UK NHS

Avant de déployer des serveurs avec Azure Arc sur un groupe de ressources, vous pouvez définir et affecter des stratégies Azure avec leurs tâches de correction respectives au niveau du groupe de ressources, de l’abonnement ou du groupe d’administration. En configurant vos stratégies Azure en amont, vous vous assurez que les garde-fous d’audit et de conformité sont en place.

Au-delà du point de terminaison public, il existe deux autres options de sécurisation du réseau pour les serveurs avec Azure Arc : un serveur proxy et Azure Private Link.

Si votre ordinateur communique via un serveur proxy pour vous connecter à Internet, vous pouvez spécifier l’adresse IP du serveur proxy ou le nom et le numéro de port que l’ordinateur utilise pour communiquer avec le serveur proxy. Vous pouvez établir cette spécification directement dans le Portail Azure lors de la génération d’un script pour intégrer plusieurs machines à Arc.

Pour les scénarios avec une sécurité élevée, Azure Private Link vous permet de lier de manière sécurisée des services PaaS Azure à votre réseau virtuel en utilisant des points de terminaison privés. Pour de nombreux services, il vous suffit de configurer un point de terminaison par ressource. Vous pouvez ainsi connecter vos serveurs locaux ou multiclouds à Azure Arc et envoyer tout le trafic via Azure ExpressRoute ou une connexion VPN de site à site au lieu d'utiliser des réseaux publics. En utilisant Private Link avec des serveurs avec Arc, vous pouvez :

  • Connectez-vous en privé à Azure Arc sans ouvrir d’accès réseau public.
  • Vérifiez que les données de la machine ou du serveur avec Azure Arc sont accessibles uniquement via des réseaux privés autorisés.
  • Connectez en toute sécurité votre réseau local privé à Azure Arc à l’aide d’ExpressRoute et de Private Link.
  • Conservez tout le trafic au sein du réseau principal Microsoft Azure.

Illustration montrant un réseau sécurisé pour des serveurs avec Azure Arc grâce à Azure Private Link.