Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les meilleures pratiques en matière de sécurité pour les machines virtuelles et les systèmes d’exploitation.
Les meilleures pratiques proviennent d’un consensus d’opinion et fonctionnent avec les fonctionnalités et les ensembles de fonctionnalités actuels de la plateforme Azure. Étant donné que les opinions et les technologies peuvent changer au fil du temps, cet article est mis à jour pour refléter ces changements.
Dans la plupart des scénarios IaaS (Infrastructure en tant que service), les machines virtuelles Azure représentent la principale charge de travail pour les organisations qui utilisent l’informatique cloud. Cela est particulièrement vrai dans les scénarios hybrides où les organisations souhaitent migrer lentement les charges de travail vers le cloud. Dans ces cas, suivez les considérations générales de sécurité pour IaaS et appliquez les meilleures pratiques de sécurité à toutes vos machines virtuelles.
Protéger les machines virtuelles à l’aide de l’authentification et du contrôle d’accès
Pour protéger vos machines virtuelles, assurez-vous que seuls les utilisateurs autorisés peuvent configurer de nouvelles machines virtuelles et accéder aux machines virtuelles existantes.
Remarque
Pour améliorer la sécurité des machines virtuelles Linux sur Azure, vous pouvez intégrer l’authentification Microsoft Entra. Lorsque vous utilisez l’authentification Microsoft Entra pour les machines virtuelles Linux, vous contrôlez et appliquez de façon centralisée des stratégies qui autorisent ou refusent l’accès aux machines virtuelles.
Meilleure pratique : contrôler l’accès aux machines virtuelles. Procédure détaillée : utilisez des stratégies Azure pour établir des conventions pour les ressources de votre organisation et créer des stratégies personnalisées. Appliquez ces stratégies à vos ressources, telles que les groupes de ressources. Les machines virtuelles qui appartiennent à un groupe de ressources héritent des stratégies de ce dernier.
Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements. Vous organisez les abonnements en groupes d’administration (conteneurs) et vous appliquez vos conditions de gouvernance à ces groupes. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées au groupe. Les groupes d’administration vous permettent une gestion de qualité professionnelle à grande échelle, quel que soit le type de vos abonnements.
Meilleure pratique : réduire la variabilité au niveau de la configuration et du déploiement des machines virtuelles. Procédure détaillée : utilisez les modèles Azure Resource Manager pour renforcer vos choix de déploiement, mais aussi gérer et répertorier plus facilement les machines virtuelles dans votre environnement.
Meilleure pratique : sécuriser l’accès privilégié. Procédure détaillée : utilisez une approche du moindre privilège et des rôles Azure intégrés pour permettre aux utilisateurs de créer des machines virtuelles et d’y accéder :
- Collaborateur de machine virtuelle : peut gérer les machines virtuelles, mais pas le réseau virtuel ou le compte de stockage auquel elles sont connectées.
- Collaborateur de machine virtuelle classique : peut gérer les machines virtuelles créées avec le modèle de déploiement classique, mais pas le réseau virtuel ou le compte de stockage auquel elles sont connectées.
- Administrateur de sécurité : dans Defender pour le cloud uniquement, peut afficher des stratégies de sécurité, afficher des états de sécurité, modifier des stratégies de sécurité, afficher des alertes et des suggestions, ignorer des alertes et suggestions.
- Utilisateur de DevTest Labs : peut tout afficher et connecter, démarrer, redémarrer et arrêter les machines virtuelles.
Les administrateurs d’abonnement et les coadministrateurs peuvent modifier ce paramètre, ce qui les rend administrateurs de toutes les machines virtuelles d’un abonnement. Faites confiance à tous vos administrateurs d’abonnement et coadmins pour vous connecter à l’une de vos machines.
Remarque
Consolidez les machines virtuelles avec le même cycle de vie dans le même groupe de ressources. Les groupes de ressources vous aident à déployer et surveiller vos ressources, tout en compilant leur coût.
Les organisations qui contrôlent l’accès aux machines virtuelles et leur configuration renforcent la sécurité globale de leurs machines virtuelles.
Utiliser des Virtual Machine Scale Sets pour une haute disponibilité
Si votre machine virtuelle exécute des applications critiques nécessitant une haute disponibilité, utilisez des ensembles de machines virtuelles.
Les Microsoft Azure Virtual Machine Scale Sets vous permettent de créer et de gérer un groupe de machines virtuelles à charge équilibrée. Le nombre d’instances de machine virtuelle peut augmenter ou diminuer automatiquement en fonction d’une demande ou d’un calendrier défini. Les ensembles d'échelle fournissent une haute disponibilité à vos applications, et vous pouvez gérer, configurer et mettre à jour de nombreuses machines virtuelles de façon centralisée. Il n’y a aucun coût pour l’ensemble de mise à l’échelle lui-même, vous payez uniquement pour chaque instance de VM que vous créez.
Vous pouvez déployer des machines virtuelles dans un groupe d'échelle dans plusieurs zones de disponibilité, une seule zone de disponibilité ou à l'échelle régionale.
Se protéger des programmes malveillants
Installez la protection contre les logiciels malveillants pour identifier et supprimer les virus, logiciels espions et autres logiciels malveillants. Vous pouvez installer Microsoft Antimalware ou une solution de protection des points de terminaison d’un partenaire de Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender ou System Center Endpoint Protection).
Le logiciel Microsoft Antimalware inclut des fonctionnalités telles que la protection en temps réel, l’analyse planifiée, la correction des logiciels malveillants, la mise à jour des signatures, la mise à jour des moteurs, des exemples de création de rapport et la collecte d’événements d’exclusion. Pour les environnements hébergés séparément de votre environnement de production, utilisez une extension anti-programme malveillant pour protéger vos machines virtuelles et vos services cloud.
Vous pouvez intégrer Microsoft Antimalware et des solutions de partenaires avec Microsoft Defender pour le cloud pour bénéficier d’un déploiement simplifié et de fonctionnalités de détection intégrées (alertes et incidents).
Meilleure pratique : installer une solution anti-programme malveillant pour se protéger des logiciels malveillants.
Procédure détaillée : Installer une solution de partenaire Microsoft ou Microsoft Antimalware
Meilleure pratique : intégrer votre solution anti-programme malveillant avec Defender pour le cloud afin de surveiller l’état de votre protection.
Détail : gérer les problèmes de protection du point de terminaison avec Defender pour le cloud.
Gérer les sauvegardes des machines virtuelles
Les machines virtuelles Azure, comme toutes les machines virtuelles locales, sont destinées à être gérées par l’utilisateur. Azure ne leur envoie donc pas les mises à jour Windows. Vous devez gérer vous-même les mises à jour de vos machines virtuelles.
Meilleure pratique : veiller à ce que les machines virtuelles soient toujours à jour.
Procédure détaillée : utilisez la solution Update Management dans Azure Automation pour gérer les mises à jour du système d’exploitation de vos ordinateurs Windows et Linux déployés dans Azure, des environnements locaux ou d’autres fournisseurs cloud. Vous pouvez rapidement évaluer l’état des mises à jour disponibles sur tous les ordinateurs d’agent et gérer le processus d’installation des mises à jour requises pour les serveurs.
Les ordinateurs gérés par Update Management utilisent les configurations suivantes pour effectuer l’évaluation et les déploiements de mises à jour :
- Microsoft Monitoring Agent (MMA) pour Windows ou Linux
- PowerShell DSC (Desired State Configuration, configuration d’état souhaité) pour Linux
- Runbook Worker hybride Automation
- Services Microsoft Update ou Windows Server Update (WSUS) pour ordinateurs Windows
Si vous utilisez Windows Update, veillez à ce que la configuration automatique de Windows Update reste activée.
Meilleure pratique : s’assurer, au moment du déploiement, que les images créées incluent les dernières mises à jour Windows.
Procédure détaillée : recherchez et installez toutes les mises à jour Windows au début de chaque déploiement. Cette phase est particulièrement importante lorsque vous déployez les images que vous avez créées ou issues de votre propre bibliothèque. Bien que les images obtenues via la Place de marché Microsoft Azure soient automatiquement mises à jour par défaut, il peut y avoir un décalage (jusqu’à plusieurs semaines) après la publication d’une version publique.
Meilleure pratique : redéployer régulièrement ses machines virtuelles pour actualiser la version du système d’exploitation.
Procédure détaillée : définissez votre machine virtuelle à l’aide d’un modèle Azure Resource Manager afin de faciliter son redéploiement. L’utilisation d’un modèle vous permet de bénéficier d’une machine virtuelle corrigée et sécurisée lorsque vous en avez besoin.
Bonne pratique: appliquez rapidement les mises à jour de sécurité aux machines virtuelles.
Détail : activer Microsoft Defender pour le cloud (niveau Gratuit ou Standard) pour identifier les mises à jour de sécurité manquantes et les appliquer.
Meilleure pratique : installer les dernières mises à jour de sécurité.
Procédure détaillée : parmi les premières charges de travail que nos clients déplacent vers Azure figurent les labos et les systèmes accessibles de l’extérieur. Si vos machines virtuelles Azure hébergent des applications ou des services qui doivent être accessibles par Internet, soyez vigilant sur les mises à jour correctives. Installez les correctifs au-delà du système d’exploitation. Des vulnérabilités non corrigées sur des applications partenaires peuvent également entraîner des problèmes pouvant être facilement évités avec une gestion efficace des correctifs.
Meilleure pratique : déployer et tester une solution de sauvegarde.
Procédure détaillée : la sauvegarde doit être gérée de la même façon que les autres opérations. Cette gestion est vraie pour les systèmes qui font partie de votre environnement de production qui s’étendent au cloud.
Les systèmes de développement et de test doivent suivre des stratégies de sauvegarde capables de fournir des capacités de restauration similaires à ce à quoi les utilisateurs se sont habitués au cours de leur expérience avec des environnements sur site. Les charges de travail migrées vers Azure doivent s’intégrer avec les solutions de sauvegarde existantes lorsque cela est possible. Vous pouvez également utiliser Azure Backup pour répondre à vos exigences de sauvegarde.
Les organisations qui n’appliquent pas de stratégies de mise à jour logicielle s’exposent davantage aux menaces qui exploitent les vulnérabilités connues, déjà corrigées. Pour se conformer aux réglementations en vigueur, les entreprises doivent prouver leur diligence et la mise en place de contrôles appropriés visant à améliorer la sécurité de leurs charges de travail dans le cloud.
En matière de mise à jour logicielle, les meilleures pratiques sont relativement similaires entre un centre de données traditionnel et un environnement IaaS Azure. Évaluez vos stratégies de mise à jour logicielle actuelles pour inclure des machines virtuelles situées dans Azure.
Gérer l’état de sécurité des machines virtuelles
Les cyberthréats évoluent toujours. La protection de vos machines virtuelles requiert des fonctionnalités de supervision capables de détecter les menaces, d’empêcher les accès non autorisés à vos ressources, de déclencher des alertes et de limiter les faux positifs.
Pour surveiller la sécurité de vos machines virtuelles Windows et Linux, utilisez Microsoft Defender pour le cloud. Dans Defender pour le cloud, protégez vos machines virtuelles en tirant parti des fonctionnalités suivantes :
- Appliquer les paramètres de sécurité du système d’exploitation avec les règles de configuration recommandées
- Rechercher et télécharger les mises à jour critiques et les mises à jour de sécurité qui peuvent être manquantes
- Mettre en œuvre les recommandations de protection contre les logiciels malveillants
- Valider le chiffrement des disques
- Évaluer et corriger les vulnérabilités
- Détecter les menaces
Defender pour cloud peut surveiller activement les menaces et les alertes de sécurité exposent des menaces potentielles. Les menaces corrélées sont regroupées sous la forme d’un incident de sécurité.
Defender pour le cloud stocke les données dans des journaux Azure Monitor. Les journaux Azure Monitor fournissent un langage de requête et le moteur analytique vous donne des insights sur le fonctionnement de vos applications et de vos ressources. Les données sont également collectées à partir d’Azure Monitor, de solutions de gestion et d’agents installés sur des machines virtuelles hébergées dans le cloud ou localement. Cette fonctionnalité partagée vous permet de constituer une image complète de votre environnement.
Si vous n’appliquez pas de sécurité forte pour vos machines virtuelles, vous ne connaissez pas les tentatives potentielles des utilisateurs non autorisés pour contourner les contrôles de sécurité.
Analyser les performances des machines virtuelles
Parfois, une machine virtuelle consomme trop de ressources, ce qui peut poser problème. Une machine virtuelle insuffisamment performante peut entraîner une interruption de service, réduisant ainsi la disponibilité. Ce problème est particulièrement important pour les machines virtuelles qui hébergent IIS ou d’autres serveurs web, car une utilisation élevée du processeur ou de la mémoire peut indiquer une attaque par déni de service (DoS). Il est impératif de surveiller l’accès aux machines virtuelles non seulement en cas de problème, mais également de manière proactive par rapport aux performances de référence mesurées pendant l’opération normale.
Utilisez Azure Monitor pour obtenir une visibilité de l’intégrité de votre ressource. Fonctionnalités d’Azure Monitor :
- Fichiers journaux de diagnostic des ressources : surveille vos ressources de machine virtuelle et identifie les problèmes potentiels susceptibles de compromettre les performances et la disponibilité.
- Extension Diagnostics Azure : fournit des fonctionnalités de supervision et de diagnostic pour les machines virtuelles Windows. Vous pouvez activer ces fonctionnalités en intégrant l’extension dans le modèle Azure Resource Manager.
Si vous ne surveillez pas les performances des machines virtuelles, vous ne pouvez pas déterminer si certaines modifications des modèles de performances sont normales ou anormales. Une machine virtuelle qui consomme plus de ressources que la normale peut indiquer une attaque à partir d’une ressource externe ou d’un processus compromis s’exécutant dans la machine virtuelle.
Chiffrer les fichiers de disque dur virtuel
Chiffrez vos disques durs virtuels pour protéger votre volume de démarrage et vos volumes de données au repos, ainsi que vos clés de chiffrement et secrets.
Important
Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.
Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrer d’Azure Disk Encryption vers le chiffrement sur l’hôte .
Le chiffrement sur l’hôte fournit un chiffrement de bout en bout pour vos données de machine virtuelle par défaut, le chiffrement des disques temporaires, des caches de disque de système d’exploitation et des disques de données et des flux de données vers stockage Azure. Par défaut, le chiffrement sur l’hôte utilise des clés gérées par la plateforme sans configuration supplémentaire requise. Si vous le souhaitez, vous pouvez configurer la solution pour utiliser des clés gérées par le client stockées dans Azure Key Vault ou azure Key Vault Managed HSM lorsque vous devez contrôler et gérer vos propres clés de chiffrement de disque. La solution garantit que toutes les données sur les disques de machine virtuelle sont chiffrées au repos dans stockage Azure.
Les meilleures pratiques suivantes vous aident à utiliser le chiffrement sur l’hôte :
Bonne pratique : activez le chiffrement sur l’hôte sur les machines virtuelles par défaut.
Détail : le chiffrement sur l’hôte est activé par défaut pour les nouvelles machines virtuelles et fournit un chiffrement transparent à l’aide de clés gérées par la plateforme sans nécessiter de configuration supplémentaire. Si vous choisissez d’utiliser des clés gérées par le client, stockez-les dans Azure Key Vault ou azure Key Vault Managed HSM. L’authentification Microsoft Entra est requise pour l’accès. Pour l’authentification, vous pouvez utiliser soit l’authentification par secret client, soit l’authentification Microsoft Entra par certificat client.
Bonne pratique : lors de l’utilisation de clés gérées par le client, utilisez une clé de chiffrement de clé (KEK) pour une couche supplémentaire de sécurité pour les clés de chiffrement.
Détail : lors de l’utilisation de clés gérées par le client, utilisez l’applet de commande Add-AzKeyVaultKey pour créer une clé de chiffrement de clé dans Azure Key Vault ou un HSM managé. Vous pouvez également importer une clé KEK à partir de votre module de sécurité matériel local (HSM). Pour plus d’informations, consultez la documentation relative à Key Vault. Lorsque vous spécifiez une clé de chiffrement principale, le chiffrement sur l’hôte utilise cette clé pour envelopper les secrets de chiffrement. La conservation d’une copie de cette clé dans un HSM de gestion de clés local offre une protection supplémentaire contre la suppression accidentelle de clés.
Bonne pratique : Prenez un instantané et/ou une sauvegarde avant d’apporter des modifications de configuration de chiffrement. Les sauvegardes fournissent une option de récupération si une défaillance inattendue se produit.
Détail : Sauvegardez régulièrement des machines virtuelles avec des disques managés. Pour plus d’informations sur la façon de sauvegarder et de restaurer des machines virtuelles chiffrées, consultez l’article Sauvegarde Azure.
Bonne pratique : lorsque vous utilisez des clés gérées par le client, assurez-vous que les secrets de chiffrement ne dépassent pas les limites régionales en localisant votre service de gestion des clés et vos machines virtuelles dans la même région.
Détail : lors de l’utilisation de clés gérées par le client, créez et utilisez un coffre de clés ou un HSM managé qui se trouve dans la même région que la machine virtuelle à chiffrer.
Lorsque vous appliquez le chiffrement sur l’hôte, vous pouvez répondre aux besoins métier suivants :
- Les machines virtuelles IaaS sont sécurisées au repos via une technologie de chiffrement standard permettant de répondre aux exigences de sécurité et de conformité des organisations.
- Les machines virtuelles IaaS démarrent sous des clés et des stratégies contrôlées par le client, et vous pouvez auditer leur utilisation dans votre service de gestion des clés.
Limiter la connectivité Internet directe
Surveillez et limitez la connectivité Internet directe des machines virtuelles. Les attaquants analysent constamment les plages d’adresses IP du cloud public pour rechercher des ports de gestion ouverts et tentent des attaques « faciles », telles que les mots de passe courants et les vulnérabilités non corrigées connues. Le tableau suivant répertorie les meilleures pratiques contribuant à protéger les utilisateurs contre ces attaques :
Bonne pratique: empêcher une exposition involontaire au routage et à la sécurité du réseau.
Détail: utiliser Azure RBAC pour garantir que seul le groupe central de mise en réseau possède l'autorisation d'accès aux ressources réseau.
Bonne pratique : identifiez et corrigez les machines virtuelles exposées qui autorisent l’accès à partir de l’adresse IP source « n’importe quelle ».
Détails : utiliser Microsoft Defender pour le cloud. Defender pour Cloud vous recommande de restreindre l’accès via des points de terminaison accessibles sur Internet si l’un de vos groupes de sécurité réseau a une ou plusieurs règles de trafic entrant qui autorisent l’accès à partir d’une adresse IP source « n’importe quelle ». Defender pour Cloud vous recommande de modifier ces règles de trafic entrant pour restreindre l’accès aux adresses IP sources qui ont réellement besoin d’un accès.
Bonne pratique: restreindre les ports de gestion (RDP, SSH).
Détail : Utilisez l’accès juste-à-temps à la machine virtuelle (JIT) pour verrouiller le trafic entrant vers vos machines virtuelles Azure. Elle réduit l’exposition aux attaques tout en fournissant un accès facile à la connexion aux machines virtuelles si nécessaire. Lorsque vous activez JIT, Defender pour Cloud verrouille le trafic entrant vers vos machines virtuelles Azure en créant une règle de groupe de sécurité réseau. Vous sélectionnez les ports sur la machine virtuelle vers laquelle le trafic entrant est verrouillé. La solution JIT contrôle ces ports.
Étapes suivantes
Pour plus de bonnes pratiques de sécurité à utiliser lorsque vous concevez, déployez et gérez vos solutions cloud à l’aide d’Azure, consultez les meilleures pratiques et modèles de sécurité Azure.
Les ressources suivantes fournissent des informations plus générales sur la sécurité Azure et les services Microsoft associés :
- Blog de l’équipe de sécurité Azure - pour up-to-date des dernières informations sur la sécurité Azure
- Centre de réponse à la sécurité Microsoft : où vous pouvez signaler des vulnérabilités de sécurité Microsoft, notamment des problèmes liés à Azure, ou envoyer un e-mail à secure@microsoft.com