Considérations en matière de sécurité pour Azure Stack HCI
S’applique à : Azure Stack HCI, versions 22H2 et 21H2 ; Windows Server 2022, Windows Server 2019
Cette rubrique contient des considérations en matière de sécurité et des recommandations relatives au système d’exploitation Azure Stack HCI :
- La première partie couvre les outils de sécurité et les technologies de base permettant de durcir le système d’exploitation et de protéger les données et les identités afin de créer une solide fondation pour votre organisation.
- La partie 2 couvre les ressources disponibles via le Microsoft Defender pour le cloud. Consultez Microsoft Defender présentation du cloud.
- La troisième partie couvre des considérations en matière de sécurité avancée visant à durcir encore davantage la posture de sécurité de votre organisation dans ces domaines.
Pourquoi les considérations en matière de sécurité sont-elles importantes ?
La sécurité affecte tous les membres de votre organisation, des cadres de Direction jusqu’aux travailleurs de l’information. Une sécurité insuffisante est un risque réel pour les organisations, car une violation de la sécurité peut potentiellement perturber toutes les activités normales et mettre fin à vos organization. Plus tôt vous pouvez détecter une attaque potentielle, plus rapidement vous pouvez réduire le risque de compromettre la sécurité.
Après avoir étudié les points faibles d’un environnement afin de les exploiter, une personne malveillante peut généralement, dans les 24 à 48 heures, escalader les privilèges pour prendre le contrôle des systèmes sur le réseau. Des mesures de sécurité adéquates durcissent les systèmes de l’environnement afin de prolonger le temps nécessaire à une personne malveillante pour prendre le contrôle (des semaines, voire des mois, plutôt que quelques heures) en bloquant les mouvements de l’attaquant. L’implémentation des recommandations de sécurité fournies dans cette rubrique permet à votre organisation de se positionner afin de détecter les attaques et d’y répondre le plus rapidement possible.
Première partie : Créer une solide fondation
Les sections suivantes recommandent des outils et des technologies de sécurité permettant de créer une solide fondation pour les serveurs qui exécutent le système d’exploitation Azure Stack HCI dans votre environnement.
Durcir l’environnement
Cette section explique comment protéger les services et les machines virtuelles qui s’exécutent sur le système d’exploitation :
Le matériel certifié Azure Stack HCI fournit des paramètres de démarrage sécurisé, UEFI et TPM cohérents. La combinaison de la sécurité basée sur la virtualisation et du matériel certifié contribue à protéger les charges de travail sensibles à la sécurité. Vous pouvez également connecter cette infrastructure approuvée à Microsoft Defender pour le cloud afin d’activer l’analytique comportementale et la création de rapports afin de prendre en compte les charges de travail et les menaces qui évoluent rapidement.
- Le démarrage sécurisé est une norme de sécurité développée par l’industrie du PC pour aider à garantir qu’un appareil démarre en utilisant uniquement les logiciels approuvés par le fabricant OEM (Original Equipment Manufacturer). Pour plus d’informations, consultez Démarrage sécurisé.
- United Extensible Firmware Interface (UEFI) contrôle le processus de démarrage du serveur, puis transmet le contrôle à Windows ou à un autre système d’exploitation. Pour plus d’informations, consultez les exigences relatives au microprogramme UEFI.
- La technologie de Module de plateforme sécurisée (TPM) fournit des fonctions matérielles liées à la sécurité. Une puce TPM est un processeur à chiffrement sécurisé qui génère, stocke et limite l’utilisation des clés de chiffrement. Pour plus d’informations, consultez Vue d’ensemble de la technologie de module de plateforme sécurisée.
Pour en savoir plus sur les fournisseurs de matériel certifiés Azure Stack HCI, consultez le site web des solutions Azure Stack HCI .
L’outil de sécurité est disponible en mode natif dans Windows Admin Center pour les clusters à serveur unique et Azure Stack HCI afin de faciliter la gestion et le contrôle de la sécurité. L’outil centralise certains paramètres de sécurité clés pour les serveurs et les clusters, notamment la possibilité d’afficher l’état du noyau sécurisé des systèmes.
Pour plus d’informations, consultez Serveur à noyau sécurisé.
Device Guard et Credential Guard. Device Guard offre une protection contre les programmes malveillants sans signature connue, le code non signé et les logiciels malveillants qui accèdent au noyau pour capturer des informations sensibles ou endommager le système. Windows Defender Credential Guard utilise la sécurité basée sur la virtualisation pour isoler les secrets afin que seuls les logiciels système privilégiés puissent y accéder.
Pour plus d’informations, consultez Gérer Windows Defender Credential Guard et téléchargez l’outil de préparation du matériel de Device Guard et Credential Guard.
Les mises à jour de Windows et du microprogramme sont essentielles sur les clusters, les serveurs (y compris les machines virtuelles invitées) et les PC pour garantir la protection du système d’exploitation et du matériel système contre les attaquants. Vous pouvez utiliser l’outil Mises à jour de Windows Admin Center pour appliquer des mises à jour à des systèmes individuels. Si votre fournisseur de matériel inclut Windows Admin Center prise en charge de l’obtention des mises à jour du pilote, du microprogramme et de la solution, vous pouvez obtenir ces mises à jour en même temps que les mises à jour Windows ; sinon, obtenez-les directement auprès de votre fournisseur.
Pour plus d’informations, consultez Mettre à jour le cluster.
Pour gérer les mises à jour sur plusieurs clusters et serveurs à la fois, abonnez-vous au service facultatif Azure Update Management, qui est intégré à Windows Admin Center. Pour plus d’informations, consultez Azure Update Management using Windows Admin Center.
Protéger les données
Cette section explique comment utiliser Windows Admin Center pour protéger les données et les charges de travail sur le système d’exploitation :
BitLocker pour les espaces de stockage protège les données au repos. Vous pouvez utiliser BitLocker pour chiffrer le contenu des volumes de données des espaces de stockage sur le système d’exploitation. L’utilisation de BitLocker pour protéger les données peut aider les organisations à rester conformes aux normes gouvernementales, régionales et sectorielles, telles que FIPS 140-2 et HIPAA.
Pour en savoir plus sur l’utilisation de BitLocker dans Windows Admin Center, consultez Activer le chiffrement, la déduplication et la compression des volumes.
Le chiffrement SMB pour la mise en réseau Windows protège les données en transit. SMB (Server Message Block) est un protocole de partage de fichiers réseau qui permet aux applications sur un ordinateur de lire et d’écrire des fichiers et de demander des services à des programmes serveur sur un réseau informatique.
Pour activer le chiffrement SMB, consultez Améliorations en matière de sécurité SMB.
Windows Defender Antivirus protège le système d’exploitation sur les clients et les serveurs contre les virus, programmes malveillants, logiciels espions et autres menaces. Pour plus d’informations, consultez antivirus Microsoft Defender sur Windows Server.
Protéger les identités
Cette section explique comment utiliser Windows Admin Center pour protéger les identités privilégiées :
Le contrôle d’accès peut améliorer la sécurité de votre environnement de gestion. Si vous utilisez un serveur Windows Admin Center (plutôt qu’un PC Windows 10), vous pouvez contrôler deux niveaux d’accès à Windows Admin Center proprement dit : les utilisateurs de la passerelle et les administrateurs de la passerelle. Les options du fournisseur d’identité d’administrateur de passerelle sont les suivantes :
- Groupes d’ordinateurs locaux ou Active Directory pour appliquer l’authentification par carte à puce
- Microsoft Entra ID pour appliquer l’accès conditionnel et l’authentification multifacteur.
Pour plus d’informations, consultez Options d’accès utilisateur avec Windows Admin Center et Configurer les autorisations et le contrôle d’accès utilisateur.
Le trafic du navigateur vers Windows Admin Center utilise le protocole HTTPS. Le trafic de Windows Admin Center vers les serveurs managés utilise PowerShell standard et WMI (Windows Management Instrumentation) sur WinRM (Windows Remote Management). Windows Admin Center prend en charge la solution de mot de passe d’administrateur local (LAPS), la délégation contrainte basée sur les ressources, le contrôle d’accès à la passerelle à l’aide d’Active Directory (AD) ou d’un ID de Microsoft Entra et le contrôle d’accès en fonction du rôle (RBAC) pour la gestion de la passerelle Windows Admin Center.
Windows Admin Center prend en charge Microsoft Edge (Windows 10, version 1709 ou ultérieure), Google Chrome et Microsoft Edge Insider sur Windows 10. Vous pouvez installer Windows Admin Center sur un PC Windows 10 ou un serveur Windows.
Si vous installez Windows Admin Center sur un serveur, il s’exécute en tant que passerelle, sans interface utilisateur sur le serveur hôte. Dans ce scénario, les administrateurs peuvent se connecter au serveur via une session HTTPS, sécurisée par un certificat de sécurité auto-signé sur l’hôte. Toutefois, il est préférable d’utiliser un certificat SSL approprié d’une autorité de certification approuvée pour le processus d’authentification, car les navigateurs pris en charge traitent une connexion auto-signée comme non sécurisée, même si la connexion est à une adresse IP locale via un VPN approuvé.
Pour en savoir plus sur les options d’installation pour votre organisation, consultez Quel type d’installation vous convient ?.
CredSSP est un fournisseur d’authentification que Windows Admin Center utilise dans certains cas pour transmettre les informations d’identification aux ordinateurs au-delà du serveur spécifique dont vous ciblez la gestion. Windows Admin Center exige actuellement CredSSP pour :
- Créer un cluster.
- Accéder à l’outil Mises à jour pour utiliser la fonctionnalité Clustering de basculement ou Mise à jour adaptée aux clusters.
- Gérer le stockage SMB désagrégé sur des machines virtuelles.
Pour plus d’informations, consultez Windows Admin Center utilise-t-il CredSSP ?
Les outils de sécurité dans Windows Admin Center que vous pouvez utiliser pour gérer et protéger les identités incluent Active Directory, Certificats, Pare-feu, Utilisateurs et groupes locaux, et bien plus encore.
Pour plus d’informations, consultez Gérer des serveurs à l’aide de Windows Admin Center.
Partie 2 : Utiliser Microsoft Defender pour le cloud (MDC)
Microsoft Defender pour le cloud est un système unifié de gestion de la sécurité de l’infrastructure qui renforce la posture de sécurité de vos centres de données et fournit une protection avancée contre les menaces sur vos charges de travail hybrides dans le cloud et localement. Defender pour le cloud vous fournit des outils pour évaluer la sécurité status de votre réseau, protéger les charges de travail, déclencher des alertes de sécurité et suivre des recommandations spécifiques pour corriger les attaques et traiter les menaces futures. Defender pour le cloud exécute tous ces services à grande vitesse dans le cloud sans surcharge de déploiement via l’approvisionnement automatique et la protection avec les services Azure.
Defender pour le cloud protège les machines virtuelles pour les serveurs Windows et linux en installant l’agent Log Analytics sur ces ressources. Azure met en corrélation les événements collectés par les agents dans des recommandations (tâches de durcissement) que vous effectuez pour sécuriser vos charges de travail. Les tâches de durcissement basées sur les bonnes pratiques en matière de sécurité incluent la gestion et l’application de stratégies de sécurité. Vous pouvez ensuite suivre les résultats et gérer la conformité et la gouvernance au fil du temps grâce à la surveillance de Defender pour le cloud tout en réduisant la surface d’attaque sur toutes vos ressources.
La gestion des personnes autorisées à accéder à vos ressources et abonnements Azure constitue une partie importante de votre stratégie de gouvernance Azure. Azure RBAC est la principale méthode de gestion de l’accès dans Azure. Pour en savoir plus, consultez Gérer l’accès à votre environnement Azure avec des contrôles d’accès en fonction du rôle.
L’utilisation de Defender pour le cloud via Windows Admin Center nécessite un abonnement Azure. Pour commencer, consultez Protéger les ressources Windows Admin Center avec Microsoft Defender pour le cloud. Pour commencer, consultez Planifier votre déploiement Defender pour le serveur. Pour les licences de Defender pour les serveurs (plans serveur), consultez Sélectionner un plan Defender pour les serveurs.
Après l’inscription, accédez à MDC dans Windows Admin Center : dans la page Toutes les connexions, sélectionnez un serveur ou une machine virtuelle, sous Outils, sélectionnez Microsoft Defender pour le cloud, puis se connecter à Azure.
Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour le cloud ?
Troisième partie : Ajouter une sécurité avancée
Les sections suivantes recommandent des outils de sécurité avancée et des technologies permettant de durcir les serveurs exécutant le système d’exploitation Azure Stack HCI dans votre environnement.
Durcir l’environnement
Les bases de référence de sécurité Microsoft sont basées sur des recommandations de sécurité de Microsoft obtenues par le biais d’un partenariat avec des organisations commerciales et des agences du gouvernement des États-Unis telles que le Ministère de la défense. Les bases de référence de sécurité incluent des paramètres de sécurité recommandés pour le Pare-feu Windows, Windows Defender et bien d’autres.
Les bases de référence de sécurité sont fournies sous forme de sauvegardes d’objets de stratégie de groupe (GPO) que vous pouvez importer dans services de domaine Active Directory (AD DS), puis les déployer sur des serveurs joints à un domaine pour renforcer l’environnement. Vous pouvez également utiliser les outils de script local pour configurer des serveurs autonomes (non joints à un domaine) avec des bases de référence de sécurité. Pour commencer à utiliser les bases de référence de sécurité, téléchargez Microsoft Security Compliance Toolkit 1.0.
Pour plus d’informations, consultez Bases de référence de sécurité Microsoft.
Protection des données
Le durcissement de l’environnement Hyper-V nécessite le durcissement de Windows Server exécuté sur une machine virtuelle, comme vous le feriez pour durcir le système d’exploitation qui s’exécute sur un serveur physique. Les environnements virtuels ayant généralement plusieurs machines virtuelles qui partagent le même hôte physique, il est impératif de protéger à la fois l’hôte physique et les machines virtuelles qui s’y exécutent. Une personne malveillante qui compromet un hôte peut affecter plusieurs machines virtuelles avec un impact plus important sur les charges de travail et les services. Cette section décrit les méthodes suivantes que vous pouvez appliquer pour renforcer Windows Server dans un environnement Hyper-V :
Le module vTPM (Virtual Trusted Platform Module) dans Windows Server prend en charge le module de plateforme sécurisée pour les machines virtuelles, qui vous permet d’utiliser des technologies de sécurité avancée telles que BitLocker dans des machines virtuelles. Vous pouvez activer la prise en charge du module de plateforme sécurisée sur n’importe quelle machine virtuelle Hyper-V de Génération 2 à l’aide du Gestionnaire Hyper-V ou de l’applet de commande Windows PowerShell
Enable-VMTPM.Notes
L’activation de vTPM aura un impact sur la mobilité des machines virtuelles : des actions manuelles seront nécessaires pour permettre à la machine virtuelle de démarrer sur un hôte différent de celui que vous avez activé vTPM à l’origine.
Pour plus d’informations, consultez Enable-VMTPM.
SDN (Software Defined Networking) dans Azure Stack HCI et Windows Server centralise la configuration et la gestion des périphériques réseau virtuels, tels que l’équilibreur de charge logiciel, le pare-feu de centre de données, les passerelles et les commutateurs virtuels de votre centre de données. Les éléments de réseau virtuel, tels que le commutateur virtuel Hyper-V, la virtualisation de réseau Hyper-V et la passerelle RAS, sont conçus pour être des éléments intégraux de votre infrastructure SDN.
Pour plus d’informations, consultez Mise en réseau SDN (Software Defined Networking).
Remarque
Les machines virtuelles protégées par Host Guardian Service ne sont pas prises en charge dans Azure Stack HCI.
Protéger les identités
La Solution de mot de passe d’administrateur local (LAPS) est un mécanisme léger pour les systèmes joints à un domaine Active Directory qui affecte périodiquement une nouvelle valeur aléatoire et unique comme mot de passe du compte d’administrateur local de chaque ordinateur. Les mots de passe sont stockés dans un attribut confidentiel sécurisé sur l’objet ordinateur correspondant dans Active Directory, où seuls les utilisateurs spécifiquement autorisés peuvent les récupérer. LAPS utilise les comptes locaux pour la gestion des ordinateurs distants d’une manière qui offre des avantages par rapport à l’utilisation des comptes de domaine. Pour plus d’informations, consultez Remote Use of Local Accounts: LAPS Changes Everything (Utilisation à distance de comptes locaux : LAPS change tout).
Pour commencer à utiliser LAPS, téléchargez Local Administrator Password Solution (LAPS).
Microsoft Advanced Threat Analytics (ATA) est un produit local que vous pouvez utiliser pour détecter les tentatives de compromission des identités privilégiées par des attaquants. ATA analyse le trafic réseau à la recherche des protocoles d’authentification, d’autorisation et de collecte d’informations, tels que Kerberos et DNS. ATA utilise les données recueillies pour créer des profils de comportement des utilisateurs et d’autres entités sur le réseau, afin de détecter les anomalies et les modèles d’attaque connus.
Pour plus d’informations, consultez Qu’est-ce qu’Advanced Threat Analytics ?
Windows Defender Remote Credential Guard protège les informations d’identification sur une connexion Bureau à distance en redirigeant les requêtes Kerberos vers l’appareil qui demande la connexion. Il fournit également l’authentification unique pour les sessions Bureau à distance. Au cours d’une session Bureau à distance, si l’appareil cible est compromis, vos informations d’identification ne sont pas exposées car les informations d’identification et leurs dérivés ne sont jamais transmis sur le réseau à l’appareil cible.
Pour plus d’informations, consultez Gérer Windows Defender Credential Guard.
Microsoft Defender pour Identités vous aide à protéger les identités privilégiées en surveillant le comportement et les activités des utilisateurs, en réduisant la surface d’attaque, en protégeant Active Directory Federal Service (AD FS) dans un environnement hybride et en identifiant les activités suspectes et les attaques avancées dans la chaîne d’attaque de cyber-attaque.
Pour plus d’informations, consultez Qu’est-ce que Microsoft Defender pour Identity ?.
Étapes suivantes
Pour plus d’informations sur la sécurité et la conformité réglementaire, consultez :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour