Bonnes pratiques pour Azure Operational Security

  • Article

Cet article fournit un ensemble de meilleures pratiques opérationnelles pour protéger vos données, applications et autres ressources dans Azure.

Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure. Les opinions et technologies évoluent au fil du temps ; cet article est régulièrement mis à jour de manière à tenir compte de ces changements.

Définir et déployer des pratiques de sécurité opérationnelle renforcées

La sécurité opérationnelle Azure fait référence aux services, contrôles et fonctionnalités auxquels les utilisateurs ont accès pour protéger leurs données, leurs applications et d’autres ressources dans Azure. La sécurité opérationnelle Azure repose sur un framework qui intègre les connaissances acquises via des fonctionnalités propres à Microsoft, notamment Security Development Lifecycle (SDL), le programme Centre de réponse aux problèmes de sécurité Microsoft et une connaissance approfondie du paysage des cybermenaces.

Appliquer la vérification multifacteur pour les utilisateurs

Nous vous recommandons d’exiger une vérification en deux étapes pour tous vos utilisateurs. Cela inclut les administrateurs et les autres membres de votre organisation (par exemple, les responsables financiers) dont la compromission de leur compte pourrait avoir un impact significatif si leur compte est compromis.

Il existe plusieurs options pour exiger une vérification en deux étapes. La meilleure option pour vous dépend de vos objectifs, de l’édition de Microsoft Entra utilisée et de votre programme de licence. Consultez Comment exiger la vérification en deux étapes pour un utilisateur pour déterminer la meilleure option pour vous. Consultez les pages de tarification Microsoft Entra ID et l’authentification multifacteur Microsoft Entra pour plus d’informations concernant les licences et la tarification.

Voici les options et les avantages de la vérification en deux étapes :

Option 1 : Activez l’authentification multifacteur pour tous les utilisateurs et les méthodes de connexion avec les paramètres de sécurité par défaut de Microsoft Entra Avantage : Cette option vous permet d’intégrer aisément et rapidement l’authentification multifacteur pour tous les utilisateurs de votre environnement avec une stratégie rigoureuse pour :

  • Contester les comptes d’administration et les mécanismes d’ouverture de session d’administration
  • Exiger une stimulation MFA via Microsoft Authenticator pour tous les utilisateurs
  • Restreindre les protocoles d’authentification hérités.

Cette méthode est disponible pour tous les niveaux de licence, mais elle ne peut pas être combinée à des stratégies d’accès conditionnel existantes. Vous trouverez plus d’informations dans la section Paramètres de sécurité par défaut dans Microsoft Entra ID

Option 2 : Activez l’authentification multifacteur en modifiant l’état de l’utilisateur.
Avantage : C’est la méthode traditionnelle pour exiger une vérification en deux étapes. Elle fonctionne avec l’authentification multifacteur Microsoft Entra dans le cloud et le serveur Azure Multi-Factor Authentication. Cette méthode nécessite que les utilisateurs effectuent la vérification en deux étapes chaque fois qu’ils se connectent, puis remplace les stratégies d’accès conditionnel.

Pour déterminer où l’authentification multifacteur doit être activée, consultez Quelle version de l’authentification multifacteur Microsoft Entra est adaptée à mon organisation ?.

Option 3 : Activez l’authentification multifacteur avec une stratégie d’accès conditionnel. Avantage : Cette option permet de demander une vérification en deux étapes sous certaines conditions à l’aide de l’accès conditionnel. Les conditions spécifiques peuvent être une connexion de l’utilisateur à partir d’emplacements différents, d’appareils non approuvés ou d’applications que vous considérez comme risquées. Le fait de définir des conditions spécifiques pour une vérification en deux étapes vous permet d’éviter de la demander continuellement à vos utilisateurs, ce qui peut être désagréable.

Il s’agit de la méthode la plus souple pour activer la vérification en deux étapes pour vos utilisateurs. Activer une stratégie d’accès conditionnel fonctionne uniquement pour l’authentification multifacteur Microsoft Entra dans le cloud, et c’est une fonctionnalité Premium de Microsoft Entra ID. Vous pouvez trouver plus d’informations sur cette méthode dans Déployer l’authentification multifacteur Microsoft Entra basée sur le cloud.

Option 4 : Activez l’authentification multifacteur avec des stratégies d’accès conditionnel en évaluant des stratégies d’accès conditionnel en fonction des risques.
Avantage : Cette option permet de :

  • Détecter de potentielles vulnérabilités qui affectent les identités de votre organisation.
  • Configurer des réponses automatiques aux actions suspectes détectées qui sont liées aux identités de votre organisation.
  • Examiner les incidents suspects et prendre les mesures appropriées pour les résoudre.

Cette méthode utilise l’évaluation de risques de Microsoft Entra ID Protection pour déterminer si la vérification en deux étapes est exigée en se basant sur les risques de l’utilisateur et de la connexion pour toutes les applications cloud. Cette méthode nécessite des licences Microsoft Entra ID P2. Vous trouverez plus d’informations sur cette méthode dans Microsoft Entra ID Protection.

Remarque

L’option 2, qui consiste à activer l’authentification multifacteur en changeant l’état de l’utilisateur, remplace les stratégies d’accès conditionnel. Étant donné que les options 3 et 4 utilisent des stratégies d’accès conditionnel, vous ne pouvez pas utiliser l’option 2 avec elles.

Les organisations qui n’ajoutent pas de couches supplémentaires de protection d’identité, comme la vérification en deux étapes, sont plus sensibles au vol d’informations d’identification. Le vol d’informations d’identification peut entraîner une compromission des données.

Gérer et surveiller des mots de passe utilisateur

Le tableau suivant répertorie certaines meilleures pratiques relatives à la gestion des mots de passe utilisateur :

Bonne pratique : assurez-vous d’avoir le niveau de protection par mot de passe approprié dans le cloud.
Détails : Suivez les instructions du document Password Guidance (Instructions relatives aux mots de passe) de Microsoft, qui est limité aux utilisateurs des plateformes d’identité Microsoft (comptes Microsoft Entra ID, Active Directory et Microsoft).

Bonne pratique : surveillez les actions suspectes associées à vos comptes d’utilisateur.
Détails : Surveillez les utilisateurs à risque et les connexions risquées à l’aide des rapports de sécurité Microsoft Entra.

Bonne pratique : détectez et corrigez automatiquement les mots de passe présentant des risques élevés.
Détails : Microsoft Entra ID Protection est une fonctionnalité de l’édition P2 de Microsoft Entra ID qui vous permet d’effectuer les actions suivantes :

  • Détecter des vulnérabilités potentielles qui affectent les identités de votre organisation
  • Configurer des réponses automatiques aux actions suspectes détectées qui sont liées aux identités de votre organisation
  • Examiner les incidents suspects et prendre les mesures appropriées pour les résoudre

Recevoir des notifications d’incident de Microsoft

Garantir que l’équipe responsable des opérations de sécurité reçoit des notifications d’incidents Azure de la part de Microsoft. Une notification d’incident permet d’indiquer à votre équipe de sécurité que vous avez des ressources Azure compromises. Cette dernière peut ainsi réagir rapidement et corriger les risques de sécurité éventuels.

Dans le portail d’inscription Azure, vous pouvez vérifier que les informations de contact administrateur incluent des détails qui informent les opérations de sécurité. Les informations de contact correspondent à une adresse électronique et à un numéro de téléphone.

Organiser les abonnements dans des groupes d’administration

Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements. Vous organisez les abonnements en conteneurs appelés groupes d’administration et vous appliquez vos conditions de gouvernance aux groupes d’administration. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.

Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements dans un répertoire. Chaque annuaire reçoit un groupe d’administration de niveau supérieur unique appelé groupe d’administration racine. Ce groupe d’administration racine est intégré à la hiérarchie et contient tous les groupes d’administration et abonnements. Il permet d’appliquer des stratégies globales et des attributions de rôles Azure au niveau du répertoire.

Voici quelques meilleures pratiques pour l’utilisation de groupes d’administration :

Bonne pratique : assurez-vous que les nouveaux abonnements appliquent des éléments de gouvernance tels que les stratégies et les autorisations à mesure qu’ils sont ajoutés.
Détail : utilisez le groupe d’administration racine pour affecter des éléments de sécurité d’entreprise qui s’appliquent à toutes les ressources Azure. Les stratégies et les autorisations sont des exemples d’éléments.

Bonne pratique : alignez les niveaux supérieurs des groupes d’administration avec la stratégie de segmentation pour fournir un point destiné au contrôle et à la cohérence de la stratégie pour chaque segment.
Détail : créez un groupe d’administration unique pour chaque segment sous le groupe d’administration racine. Ne créez pas d’autres groupes d’administration au niveau racine.

Bonne pratique : limitez la profondeur du groupe d’administration pour éviter toute confusion qui ralentit les opérations et la sécurité.
Détail : limitez votre hiérarchie à trois niveaux, niveau racine compris.

Bonne pratique : sélectionnez soigneusement les éléments à appliquer à toute l’entreprise avec le groupe d’administration racine.
Détail : vérifiez que les éléments de groupe d’administration doivent vraiment s’appliquer à chaque ressource et qu’ils ont un impact faible.

Les candidats parfaits sont :

  • Les exigences réglementaires qui ont un impact métier clair (par exemple, les restrictions liées à la souveraineté des données)
  • Les exigences avec un impact potentiel négatif proche de zéro pour les opérations, comme la stratégie avec effet d’audit ou les affectations de mission Azure RBAC qui ont été consciencieusement étudiées

Bonne pratique : planifiez et testez scrupuleusement toutes les modifications à l’échelle de l’entreprise sur le groupe d’administration racine avant de les appliquer (stratégie, modèle Azure RBAC, etc.).
Détail : les modifications dans le groupe d’administration racine peuvent affecter toutes les ressources sur Azure. Même si elles permettent d’assurer la cohérence au sein de l’entreprise, les erreurs ou une utilisation incorrecte peuvent avoir un impact négatif sur les opérations de production. Testez toutes les modifications apportées au groupe d’administration racine dans un pilote de production ou un laboratoire de test.

Simplifier la création d’environnement avec des blueprints

Le service Azure Blueprints permet aux architectes cloud et aux membres de l’informatique centrale de définir un ensemble reproductible de ressources Azure qui implémentent et respectent les normes, modèles et exigences d’une organisation. Azure Blueprint permet aux équipes de développement de créer et de mettre en place rapidement de nouveaux environnements avec un ensemble de composants intégrés et en ayant la certitude de créer des environnements conformes à l’organisation.

Superviser les services de stockage pour détecter des changements inattendus du comportement

Il peut s’avérer plus complexe de diagnostiquer et de résoudre des problèmes dans une application distribuée hébergée dans un environnement cloud que dans des environnements traditionnels. Les applications peuvent être déployées dans une infrastructure PaaS ou IaaS, localement, sur un appareil mobile ou dans une combinaison de ces environnements. Le trafic réseau de votre application peut parcourir les réseaux publics et privés, et votre application peut utiliser différentes technologies de stockage.

Vous devez superviser en permanence les services de stockage utilisés par votre application afin de détecter tout changement de comportement inattendu (par exemple, des temps de réponse plus longs). Utilisez la journalisation pour collecter des données plus détaillées et analyser un problème en profondeur. Les informations de diagnostic obtenues par le biais de la supervision et de la journalisation vous aident à déterminer la cause première du problème rencontré par votre application. Vous pouvez alors résoudre le problème et déterminer la procédure appropriée pour y remédier.

Azure Storage Analytics effectue la journalisation et fournit les données de métriques d’un compte de stockage Azure. Nous vous recommandons d’utiliser ces données pour suivre les requêtes, analyser les tendances d’utilisation et diagnostiquer les problèmes liés à votre compte de stockage.

Prévenir, détecter et traiter les menaces

Microsoft Defender pour le cloud vous aide à prévenir, détecter et traiter les menaces en offrant une visibilité accrue (et un contrôle accru) de la sécurité de vos ressources Azure. Il fournit une supervision de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste ensemble de solutions de sécurité.

Le niveau gratuit de Defender pour le cloud offre une sécurité limitée pour vos ressources dans Azure, ainsi que pour les ressources avec Arc en dehors d’Azure. Les fonctionnalités de sécurité augmentées étendent ces fonctionnalités pour inclure la Gestion des menaces et des vulnérabilités, ainsi que les rapports de conformité réglementaire. Les plans Defender pour le cloud vous aident à rechercher et à corriger les vulnérabilités de sécurité, à appliquer des contrôles d’accès et d’application pour bloquer les activités malveillantes, à détecter les menaces à l’aide de l’analytique et de l’analyse décisionnelle et à répondre rapidement en cas d’attaque. Vous pouvez essayer Defender pour le cloud Standard gratuitement les 30 premiers jours. Nous vous recommandons d’activer les fonctionnalités de sécurité renforcée sur vos abonnements Azure dans Defender pour le cloud.

Utilisez Defender pour le cloud pour obtenir une vue centrale de l’état de sécurité de toutes vos ressources dans vos propres centres de données, Azure et autres clouds. Vérifiez d’un coup d’œil que les contrôles de sécurité appropriés sont en place et configurés correctement, et identifiez rapidement les ressources nécessitant votre attention.

Defender pour le cloud s’intègre également à Microsoft Defender for Endpoint, qui fournit des fonctionnalités complètes de protection évolutive des points de terminaison (EDR). Avec l’intégration Microsoft Defender pour point de terminaison, vous pouvez détecter les anomalies et les vulnérabilités. Vous pouvez également détecter et traiter les attaques avancées sur les points de terminaison de serveur supervisés par Defender pour le cloud.

Presque toutes les organisations d’entreprises ont un système Security Information and Event Management (SIEM) pour aider à identifier les menaces émergentes en consolidant les informations de journaux à partir de divers appareils de collecte de signaux. Les journaux sont ensuite analysés par un système d’analytique de données pour déterminer ce qui est « intéressant » à partir du bruit inévitable dans toutes les solutions d’analytique et de collecte de données.

Microsoft Sentinel est une solution native cloud et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Microsoft Sentinel fournit une analytique de sécurité intelligente et le renseignement sur les menaces via la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse automatisée face aux menaces.

Voici quelques meilleures pratiques pour prévenir, détecter et répondre aux menaces :

Bonne pratique : augmentez la vitesse et l’évolutivité de votre solution SIEM en optant pour une solution cloud.
Détails : examinez les fonctionnalités et capacités de Microsoft Sentinel et comparez-les avec les capacités de votre solution actuelle locale. Envisagez d’adopter Microsoft Sentinel si cette solution répond aux exigences SIEM de votre organisation.

Bonne pratique : recherchez les vulnérabilités de sécurité les plus graves afin de définir les priorités d’investigation.
Détails : examinez votre degré de sécurisation Azure pour consulter les recommandations résultant des stratégies Azure et des initiatives intégrées à Microsoft Defender pour le cloud. Ces recommandations peuvent aider à résoudre les principaux risques tels que les mises à jour de sécurité, la protection de point de terminaison, le chiffrement, les configurations de sécurité, le WAF manquant, les machines virtuelles connectées à Internet et bien plus encore.

Le degré de sécurisation, qui est basé sur les contrôles du Center for Internet Security (CIS), vous permet d’évaluer la sécurité Azure de votre organisation par rapport à des sources externes. Une validation externe permet de confirmer et d’enrichir la stratégie de sécurité de votre équipe.

Bonne pratique : surveillez la posture de sécurité des machines, réseaux, services de stockage et de données, et des applications pour découvrir d’éventuels problèmes de sécurité et les classer par ordre de priorité.
Détails : suivez les recommandations de sécurité de Defender pour le cloud en commençant par les éléments ayant la priorité la plus élevée.

Meilleure pratique : intégrez des alertes Defender pour le cloud dans votre solution SIEM (Security Information and Event Management).
Détail : la plupart des organisations avec une solution SIEM l’utilisent comme un centre d’échanges central pour les alertes de sécurité qui nécessitent la réponse d’un analyste. Les événements traités produits par Defender pour le cloud sont publiés dans le journal d’activité Azure, l’un des types de journaux disponibles avec Azure Monitor. Azure Monitor offre un pipeline centralisé pour router les données de monitoring dans un outil SIEM. Consultez Diffuser des alertes vers un système SIEM, SOAR ou une solution de gestion des services informatiques pour obtenir des instructions. Si vous utilisez Microsoft Sentinel, consultez Connecter Microsoft Defender pour le cloud.

Bonne pratique : intégrez les journaux Azure à votre solution SIEM.
Détail : utilisez Azure Monitor pour collecter et exporter des données. Cette pratique est critique pour permettre d’investiguer sur des incidents de sécurité, et la rétention des journaux en ligne est limitée. Si vous utilisez Microsoft Sentinel, consultez Connecter des sources de données.

Bonne pratique : accélérez vos processus d’investigation et de recherche et réduisez les faux positifs en intégrant des fonctionnalités de détection de point de terminaison et de réponse (EDR) dans votre examen de l’attaque.
Détails : activez l’intégration de Microsoft Defender pour point de terminaison par le biais de votre stratégie de sécurité Defender pour le cloud. Envisagez d’utiliser Microsoft Sentinel pour la chasse aux menaces et répondre aux incidents.

Superviser le réseau selon un scénario de bout en bout

Les clients créent un réseau de bout en bout dans Azure en combinant des ressources réseau comme un réseau virtuel, ExpressRoute, Application Gateway et des équilibreurs de charge. La surveillance est disponible sur chacune des ressources réseau.

Azure Network Watcher est un service régional. Utilisez ses outils de diagnostic et de visualisation pour superviser et diagnostiquer les conditions au niveau d’un réseau, dans, vers et à partir d’Azure.

Voici des bonnes pratiques pour la supervision du réseau et les outils disponibles.

Bonne pratique : Automatisez la surveillance réseau à distance avec la capture de paquets.
Détail : Surveillez et diagnostiquez les problèmes réseau sans vous connecter à vos machines virtuelles à l’aide de Network Watcher. Déclenchez la capture de paquets en définissant des alertes et bénéficiez d’un accès à des informations en temps réel sur le niveau de performance au niveau du paquet. Quand vous identifiez un problème, vous pouvez l’examiner en détail pour effectuer de meilleurs diagnostics.

Bonne pratique : Obtenez des insights sur votre trafic réseau en utilisant des journaux de flux.
Détail : Développez une meilleure compréhension de vos modèles de trafic réseau à l’aide des journaux de flux des groupes de sécurité réseau. Les informations contenues dans les journaux de flux vous aident à recueillir des données sur la conformité, l’audit et la supervision de votre profil de sécurité réseau.

Bonne pratique : Diagnostiquez les problèmes de connectivité d’un VPN.
Détail : Utilisez Network Watcher pour diagnostiquer les problèmes les plus courants liés aux connexions et à la passerelle VPN. Vous pouvez non seulement identifier le problème, mais également utiliser des journaux d’activité détaillés pour approfondir vos recherches.

Sécuriser le déploiement à l’aide d’outils DevOps éprouvés

Utilisez les bonnes pratiques DevOps suivantes pour garantir la productivité et l’efficacité de votre entreprise et de vos équipes.

Bonne pratique : Automatisez la génération et le déploiement des services.
Détail : L’infrastructure en tant que code est un ensemble de techniques et de pratiques qui aident les professionnels de l’informatique à supprimer la charge de travail que représentent la génération et la gestion quotidiennes d’une infrastructure modulaire. Elle permet aux professionnels de l’informatique de générer et de gérer leur environnement serveur moderne d’une façon similaire à celle dont les développeurs de logiciels génèrent et gèrent le code de l’application.

Vous pouvez utiliser Azure Resource Manager pour provisionner vos applications à l’aide d’un modèle déclaratif. Dans un modèle unique, vous pouvez déployer plusieurs services ainsi que leurs dépendances. Le même modèle vous permet de déployer plusieurs fois votre application à chaque phase du cycle de vie de l’application.

Bonne pratique : Générez et déployez automatiquement des applications web Azure ou des services cloud.
Détail : Vous pouvez configurer vos projets Azure DevOps Projects afin de les générer et de les déployer automatiquement sur des applications web Azure ou des services cloud. Azure DevOps déploie automatiquement les fichiers binaires après avoir effectué une génération sur Azure au terme de chaque archivage de code. Le processus de génération de package est équivalent à la commande Package de Visual Studio, et les étapes de la publication sont identiques à la commande Publier dans Visual Studio.

Bonne pratique : automatisez la gestion des mises en production.
Détail : Azure Pipelines est une solution pour automatiser le déploiement en plusieurs étapes et pour gérer le processus de mise en production. Créez des pipelines de déploiement gérés et continus pour des publications rapides, faciles et fréquentes. Avec Azure Pipelines, vous pouvez automatiser votre processus de mise en production et avoir des workflows d’approbation prédéfinis. Déployez localement et dans le cloud, étendez et personnalisez en fonction de vos besoins.

Bonne pratique : Vérifiez les performances de votre application avant de la lancer ou de déployer des mises à jour en production.
Détail : exécutez des tests de charge basés sur le cloud pour :

  • Rechercher des problèmes de performances dans votre application.
  • Améliorer la qualité du déploiement.
  • Garantir que votre application est toujours disponible.
  • Garantir que votre application peut gérer le trafic de votre prochaine campagne de lancement ou marketing.

Apache JMeter est un outil gratuit, populaire et open source soutenu par une forte communauté.

Bonne pratique : Surveillez les performances des applications.
Détail : Azure Application Insights est un service extensible de gestion des performances des applications destiné aux développeurs web sur de multiples plateformes. Utilisez Application Insights pour superviser votre application web en direct. Il détecte automatiquement les problèmes de performances. Il intègre des outils d’analyse pour vous aider à diagnostiquer les problèmes et à comprendre ce que font les utilisateurs avec votre application. Il a été conçu pour vous permettre d’améliorer continuellement les performances et la convivialité.

Prévenir les attaques DDoS et s’en protéger

DDoS (Distributed Denial of Service, déni de service distribué) est un type d’attaque qui tente d’épuiser les ressources d’une application. Son objectif est d’affecter la disponibilité de l’application et sa capacité à gérer des demandes légitimes. Ces attaques de plus en plus sophistiquées gagnent en importance et en impact. Elles peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.

La conception et la génération d’une résilience DDoS nécessitent la planification et la conception de divers modes d’échec. Voici les bonnes pratiques relatives à la création de services résistants aux attaques DDoS sur Azure.

Bonne pratique : Assurez-vous que la sécurité est une priorité tout au long du cycle de vie d’une application, de la conception et de l’implémentation au déploiement et aux opérations. Les applications peuvent contenir des bogues qui laissent un volume relativement faible de requêtes conçues utiliser beaucoup de ressources, ce qui entraîne une interruption de service.
Détail : Pour permettre de protéger un service fonctionnant sur Microsoft Azure, vous devez bien comprendre l’architecture de votre application et respecter les cinq piliers de la qualité logicielle. Vous devez avoir connaissance des volumes de trafic habituels, du modèle de connectivité entre l’application et d’autres applications, et des points de terminaison de service exposés à l’Internet public.

Il est extrêmement important que vous conceviez une application suffisamment résiliente pour surmonter une attaque ciblée par déni de service. La plateforme Azure intègre des fonctionnalités de sécurité et de confidentialité, à commencer par SDL (Security Development Lifecycle). SDL tient compte de la sécurité à chaque phase de développement et vérifie qu’Azure est continuellement mis à jour pour le rendre encore plus sécurisé.

Bonne pratique : Concevez vos applications de sorte qu’elles puissent être mises à l’échelle horizontalement pour répondre à la demande d’une charge amplifiée, en particulier dans le cadre d’une attaque DDoS. Si votre application repose sur une seule instance unique d’un service, cela crée un point de défaillance unique. L’approvisionnement de plusieurs instances rend votre système plus résilient et plus évolutif.
Détail : Pour Azure App Service, sélectionnez un plan App Service qui offre plusieurs instances.

Pour les Azure Cloud Services, configurez chacun de vos rôles de manière à utiliser plusieurs instances.

Pour Machines virtuelles Azure, vérifiez que votre architecture de machine virtuelle inclut plusieurs machines virtuelles et que chaque machine virtuelle est dans un groupe à haute disponibilité. Nous vous recommandons d’utiliser des groupes de machines virtuelles identiques pour les fonctionnalités de mise à l’échelle automatique.

Bonne pratique : Le fait de superposer des défenses dans une application réduit les chances de réussite d’une attaque. Implémentez des conceptions sécurisées pour vos applications à l’aide des fonctionnalités intégrées à la plateforme Azure.
Détail : Plus la taille (surface d’exposition) de l’application est importante, plus le risque d’attaque est élevé. Vous pouvez réduire la surface d’exposition en créant une liste d’approbation permettant de limiter l’espace d’adressage IP exposé et les ports d’écoute qui ne sont pas nécessaires sur les équilibreurs de charge (Azure Load Balancer et Azure Application Gateway).

Les groupes de sécurité réseau permettent également de réduire la surface d’attaque. Vous pouvez utiliser des balises de service et des groupes de sécurité d’application pour simplifier la création de règles de sécurité et configurer la sécurité réseau comme prolongement naturel de la structure d’une application.

Vous devez déployer les services Azure dans un réseau virtuel dans la mesure du possible. Les ressources de service peuvent ainsi communiquer par le biais d’adresses IP privées. Le trafic du service Azure à partir d’un réseau virtuel utilise des adresses IP publiques comme adresses IP source par défaut.

Le fait d’utiliser des points de terminaison de service force le trafic de service à utiliser des adresses privées de réseau virtuel comme adresses IP sources lors de l’accès au service Azure à partir d’un réseau virtuel.

Il arrive fréquemment que les ressources locales d’un client soient attaquées en même temps que ses ressources dans Azure. Si vous connectez un environnement local à Azure, réduisez l’exposition des ressources locales à l’Internet public.

Azure propose deux offres de service DDoS qui fournissent une protection contre les attaques réseau :

  • La protection de base est intégrée à Azure par défaut sans coût supplémentaire. De par son échelle et sa capacité, le réseau Azure déployé à l’échelle mondiale assure une défense contre les attaques courantes de la couche réseau. Cette défense est par ailleurs renforcée par le monitoring continu du trafic et l’atténuation en temps réel. La protection de base ne nécessite aucun changement de la part de l’utilisateur au niveau de configuration ou de l’application et permet de protéger tous les services Azure, notamment les services PaaS comme Azure DNS.
  • La protection standard fournit des fonctions d’atténuation DDoS avancées contre les attaques réseau. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques. La protection est facile à activer pendant la création de réseaux virtuels. Vous pouvez également l’activer après la création ; aucun changement au niveau de l’application ou de la ressource ne s’impose.

Activer Azure Policy

Azure Policy est un service d’Azure que vous utilisez pour créer, affecter et gérer des stratégies. Ces stratégies appliquent des règles et effets sur vos ressources, qui restent donc conformes aux normes et aux contrats de niveau de service de l’entreprise. en évaluant vos ressources pour vérifier leur conformité par rapport aux stratégies affectées.

Activez Azure Policy pour surveiller et appliquer la stratégie écrite de votre organisation. Cela permettra d’assurer la conformité aux exigences de sécurité obligatoires ou de votre société en gérant de façon centralisée les stratégies de sécurité dans toutes vos charges de travail cloud hybrides. Découvrez comment créer et gérer des stratégies pour assurer la conformité. Consultez Azure Policy definition structure (Structure de définition Azure Policy) pour une vue d’ensemble des éléments d’une stratégie.

Voici quelques meilleures pratiques de sécurité à suivre après avoir adopté Azure Policy :

Bonne pratique : la stratégie prend en charge plusieurs types d’effet. Vous pouvez en savoir plus en lisant l’article Azure Policy definition structure (Structure de définition Azure Policy). Les opérations métier peuvent se voir affecter par l’effet refuser et l’effet corriger. Nous vous conseillons donc de commencer par l’effet auditer pour réduire le risque d’impact négatif de la stratégie.
Détail : démarrez les déploiements de stratégie en mode audit, puis passez aux effets refuser ou corriger. Testez et passez en revue les résultats de l’effet auditer avant de passer aux effets refuser ou corriger.

Pour plus d’informations, consultez Didacticiel : Créer et gérer des stratégies pour appliquer la conformité.

Bonne pratique : identifiez les rôles responsables pour surveiller les violations de stratégie et garantir que l’action corrective appropriée est mise en œuvre rapidement.
Détail : attribuez le rôle de conformité de la surveillance via le portail Azure ou la ligne de commande.

Bonne pratique : Azure Policy est une représentation technique des stratégies écrites d’une organisation. Mappez toutes les définitions Azure Policy vers des stratégies organisationnelles pour éviter la confusion et améliorer la cohérence.
Détail : Mappage de document dans la documentation de votre organisation ou dans la définition Azure Policy elle-même en ajoutant une référence à la directive organisationnelle dans la définition de stratégie ou la description de la définition d’initiative.

Surveiller les rapports de risques Microsoft Entra

La grande majorité des violations de sécurité ont lieu lorsque des cybercriminels parviennent à accéder à un environnement en volant l’identité d’un utilisateur. Détecter les identités compromises n’est pas chose aisée. Microsoft Entra ID utilise les algorithmes Machine Learning et des modèles heuristiques adaptatifs pour détecter les actions suspectes liées aux comptes de votre utilisateur. Chaque action suspecte détectée est stockée dans un enregistrement appelé détection d’événement à risque. Les détections de risques sont enregistrées dans les rapports de sécurité Microsoft Entra. Pour plus d’informations, renseignez-vous sur le rapport sur la sécurité des utilisateurs courant un risque et le rapport de connexions risquées.

Étapes suivantes

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.

Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :