Résumé

Effectué

Dans ce module, vous avez appris à planifier et à implémenter des mesures de sécurité avancées pour les ressources de calcul Azure afin de vous protéger contre les vulnérabilités et les menaces de sécurité en constante évolution.

Apprentissages clés

Vous avez exploré des stratégies de sécurité complètes sur plusieurs services de calcul Azure :

Sécuriser l’accès à distance

• Azure Bastion fournit un accès RDP/SSH sécurisé sans exposer de machines virtuelles à l’Internet public, avec quatre niveaux de référence SKU :
  • Référence SKU : option économique pour les scénarios de développement/test (deux connexions simultanées)
  • Référence SKU de base : Accès à distance sécurisé standard (aucune prise en charge native du client)
  • Standard SKU : fonctionnalités améliorées, notamment la prise en charge du client natif et les liens pouvant être partagés
  • SKU Premium : fonctionnalités avancées, notamment l’enregistrement de session, le déploiement privé, uniquement, et le support des ports personnalisés
• L’accès aux machines virtuelles juste-à-temps (JIT) réduit les surfaces d’attaque en fournissant un accès limité au temps aux machines virtuelles

Sécurité d’Azure Kubernetes Service (AKS)

• L’identité de charge de travail avec la fédération OIDC fournit une authentification sécurisée aux ressources Azure (remplace l’identité gérée par pod obsolète).
• L’isolation du réseau via des stratégies de mise en réseau permet de contrôler la communication entre les pods.
• Les normes de sécurité des pods appliquent les stratégies de sécurité au niveau des pods.
• AKS Automatic offre une configuration de cluster simplifiée et prête pour la production
• Azure Linux 3 doit être utilisé car le support d'Azure Linux 2.0 se termine le 30 novembre 2025.

Sécurité et surveillance des conteneurs

• Microsoft Defender pour conteneurs offre une protection complète contre les menaces sur cinq domaines principaux :
  • Gestion de la posture de sécurité cloud
  • Évaluation des vulnérabilités optimisée par Microsoft Defender Vulnerability Management (MDVM)
  • Détection des menaces au moment de l’exécution
  • Renforcement de l’environnement Kubernetes
  • Protection de la chaîne d’approvisionnement logicielle
• Les aperçus sur les conteneurs (une fonctionnalité d’Azure Monitor) permettent de surveiller les performances et l’intégrité des charges de travail des conteneurs.
• Le déploiement contrôlé (GA) empêche le déploiement d’images vulnérables en production
• L’analyse des conteneurs d’exécution (GA) analyse continuellement les vulnérabilités.

Sécurité du registre de conteneurs

• Azure Container Registry (ACR) prend en charge sept rôles RBAC intégrés pour le contrôle d’accès granulaire
• Les méthodes d’authentification incluent les identités Microsoft Entra, les autorisations délimitées au référentiel et les comptes d’administrateur
• L’intégration avec l’ID Microsoft Entra permet de centraliser la gestion des identités

Protection de données

• Azure Disk Encryption (ADE) utilise BitLocker (Windows) et dm-crypt (Linux) pour chiffrer les disques de machine virtuelle
• Le chiffrement sur l’hôte fournit un chiffrement de bout en bout pour les données de machine virtuelle
• Le chiffrement de disque confidentiel protège les charges de travail sensibles avec la sécurité matérielle
• Azure Key Vault sert de gestion centralisée des clés et des certificats
• Le chiffrement d’enveloppe avec la hiérarchie DEK/KEK fournit une protection des données en couches

Sécurité des API

• La base de référence de sécurité gestion des API Azure s’aligne sur microsoft Cloud Security Benchmark (préversion disponible)
• L’intégration de réseau virtuel active les configurations réseau internes ou externes
• Les points de terminaison privés fournissent un accès sécurisé sans exposition publique
• L’intégration d’ID Microsoft Entra active l’authentification OAuth 2.0 pour les API
• Les identités managées simplifient l’accès sécurisé aux ressources Azure telles que Key Vault

Meilleures pratiques appliquées

Tout au long de ce module, vous avez appris à appliquer les meilleures pratiques de sécurité :

• Utilisez l’identité de charge de travail à la place de l’identité gérée par pod en état d’obsolescence pour l’authentification AKS.
• Favoriser l’authentification par ID Microsoft Entra plutôt que les méthodes d’authentification locales autant que possible.
• Implémenter l’accès au privilège minimum à l’aide d’Azure RBAC pour un contrôle d’autorisation granulaire
• Utiliser des identités managées pour éviter de stocker les informations d’identification dans le code ou la configuration
• Activer le chiffrement au repos et le chiffrement en transit pour toutes les données sensibles
• Déployer des points de terminaison privés pour empêcher le trafic hors de l’Internet public
• Surveiller avec Microsoft Defender pour conteneurs et Container Insights pour une visibilité complète
• Appliquer des stratégies réseau pour appliquer la micro-segmentation dans les clusters AKS
• Stocker des secrets et des clés dans Azure Key Vault plutôt que dans le code d’application
• Utiliser Azure Policy pour appliquer des configurations de sécurité entre les ressources

Étapes suivantes

Pour continuer à renforcer votre expertise en matière de sécurité Azure :

• Explorer Microsoft Defender pour le Cloud pour la gestion unifiée de la sécurité
• Passez en revue les bases de référence de sécurité Azure pour obtenir des conseils spécifiques au service
• Implémenter des contrôles Microsoft Cloud Security Benchmark dans votre environnement
• En savoir plus sur l’informatique confidentielle Azure pour protéger les données en cours d’utilisation
• Configurer Azure Policy pour appliquer des normes de sécurité organisationnelles