Vue d’ensemble – Appliquer les principes de la confiance zéro à la mise en réseau Azure

Cette série d’articles vous aide à appliquer les principes de Confiance Zéro à votre infrastructure réseau dans Microsoft Azure en fonction d’une approche multidisciplinaire. La confiance zéro est une stratégie de sécurité. Ce n’est ni un produit ni un service, mais plutôt une approche de conception et d’implémentation de l’ensemble des principes de sécurité suivants :

• Vérifier explicitement
• Utiliser le droit d'accès minimal
• Supposer une violation

L’implémentation de l’état d’esprit de Confiance Zéro qui consiste à « présumer une violation, ne jamais faire confiance, toujours vérifier » nécessite certaines modifications à l’infrastructure réseau cloud, à la stratégie de déploiement et à l’implémentation.

Les articles suivants vous montrent comment appliquer l’approche Confiance Zéro à la mise en réseau pour les services d’infrastructure Azure couramment déployés :

• Chiffrement
• Segmentation
• Obtenir une visibilité sur votre trafic réseau
• Abandonner les technologies héritées de sécurité réseau

Important

Ces conseils sur la Confiance Zéro explique comment utiliser et configurer plusieurs solutions et fonctionnalités de sécurité disponibles sur Azure pour une architecture de référence. Plusieurs autres ressources fournissent également des conseils de sécurité pour ces solutions et fonctionnalités, notamment :

• Microsoft Cloud Security Benchmark
• Base de référence de sécurité Microsoft Cloud

Pour décrire comment appliquer une approche Confiance Zéro, ce guide cible un modèle courant utilisé en production par de nombreuses organisations : une application basée sur des machines virtuelles hébergée dans un réseau virtuel (et une application IaaS). Il s’agit d’un modèle courant pour les organisations qui migrent des applications locales vers Azure. Cette procédure est également appelée « lift-and-shift ».

Protection contre les menaces avec Microsoft Defender pour le cloud

Pour les principes de Confiance Zéro Supposez une violation pour la mise en réseau Azure, Microsoft Defender pour le cloud est une solution de détection et de réponse étendue (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte dans votre environnement. Defender pour le cloud est destiné à être utilisé avec Microsoft Defender XDR pour fournir une protection corrélée plus vaste de votre environnement, tel qu’illustrée dans le diagramme suivant.

Comme le montre le diagramme :

• Defender pour le cloud est activé pour un groupe d'administration qui inclut plusieurs abonnements Azure.
• Microsoft Defender XDR est activé pour les applications et les données Microsoft 365, les applications SaaS intégrées à Microsoft Entra ID et les serveurs AD DS (Active Directory Domain Services) locaux.

Pour plus d'informations sur la configuration des groupes d'administration et l'activation de Defender pour le cloud, consultez :

• Organiser des abonnements en groupes d'administration et attribuer des rôles à des utilisateurs
• Activer Defender pour le cloud sur tous les abonnements d'un groupe d'administration

Ressources supplémentaires

Consultez ces articles supplémentaires pour appliquer des principes de Confiance Zéro à Azure IaaS :

• Pour Azure IaaS :
  • Azure Storage
  • Machines virtuelles
  • Réseaux virtuels Spoke
  • Réseaux virtuels Hub
  • Réseaux virtuels Spoke avec les services PaaS Azure
• Azure Virtual Desktop
• Azure Virtual WAN
• Applications IaaS dans Amazon Web Services
• Microsoft Sentinel et Microsoft Defender XDR