Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Application Gateway est un équilibreur de charge du trafic web qui vous permet de gérer le trafic vers vos applications web. En tant que composant essentiel dans votre infrastructure réseau, Application Gateway gère les requêtes entrantes et les route vers les services back-end, ce qui permet d’implémenter des mesures de sécurité appropriées pour vous protéger contre les menaces et garantir la conformité aux exigences de sécurité de l’organisation.
Cet article fournit des conseils sur la meilleure sécurisation de votre déploiement Azure Application Gateway.
Sécurité réseau
La sécurité réseau pour Application Gateway implique de contrôler le flux de trafic, d’implémenter une segmentation appropriée et de sécuriser les communications entre les clients et les services principaux.
Déployer dans un sous-réseau dédié : placez votre passerelle Application Gateway dans un sous-réseau dédié au sein de votre réseau virtuel pour fournir une isolation réseau et activer un contrôle de trafic granulaire. Cette séparation permet de contenir des incidents de sécurité potentiels et permet des stratégies de sécurité ciblées.
Appliquer des groupes de sécurité réseau : utilisez des groupes de sécurité réseau (NSG) pour restreindre le trafic par port, protocole, adresse IP source ou adresse IP de destination. Créez des règles de groupe de sécurité réseau pour limiter l’accès aux ports requis uniquement et empêcher l’accès aux ports de gestion à partir de réseaux non approuvés. Pour en savoir plus, reportez-vous aux groupes de sécurité réseau.
Configurer des points de terminaison privés : déployez des points de terminaison privés pour votre passerelle Application Gateway lorsqu’ils sont pris en charge pour établir des points d’accès privés qui éliminent l’exposition à l’Internet public. Cela réduit votre surface d’attaque en conservant le trafic au sein de votre réseau virtuel. Pour plus d’informations, consultez Configurer Azure Application Gateway Private Link (préversion).
Activer la protection DDoS : déployez la protection réseau Azure DDoS sur le réseau virtuel hébergeant votre instance Application Gateway pour vous protéger contre les attaques DDoS à grande échelle. Cela fournit des fonctionnalités d’atténuation DDoS améliorées, notamment le réglage adaptatif et les notifications d’attaque. Pour plus d’informations, consultez Protéger votre passerelle d’application avec Azure DDoS Network Protection.
Implémenter une configuration d’infrastructure appropriée : suivez la configuration d’infrastructure recommandée d’Azure pour vous assurer que votre passerelle Application Gateway est déployée avec les meilleures pratiques de sécurité. Cela inclut le dimensionnement de sous-réseau approprié, la configuration de la table de routage et les dépendances réseau. Pour plus d’informations, consultez Configuration de l’infrastructure Application Gateway.
Protection des applications web
Le pare-feu d’applications web offre une protection essentielle contre les vulnérabilités et attaques web courantes ciblant vos applications.
Déployer le pare-feu d’applications web : activez WAF sur votre application Gateway pour vous protéger contre les 10 principales menaces OWASP, notamment l’injection SQL, les scripts intersites et d’autres attaques web courantes. Démarrez en mode Détection pour comprendre les modèles de trafic, puis basculez vers le mode prévention pour bloquer activement les menaces. Pour plus d’informations, consultez Présentation du pare-feu d’applications web Azure sur Azure Application Gateway ?
Configurer des règles WAF personnalisées : créez des règles personnalisées pour traiter des menaces spécifiques ciblant vos applications, notamment la limitation de débit, le blocage IP et le filtrage géographique. Les règles personnalisées fournissent une protection ciblée au-delà des ensembles de règles managés. Pour plus d’informations, consultez Créer et utiliser des règles personnalisées v2.
Activer la protection des bots : utilisez l’ensemble de règles managées de protection des bots pour identifier et bloquer les bots malveillants tout en autorisant le trafic légitime à partir des moteurs de recherche et des outils de surveillance. Pour plus d’informations, consultez Configurer la protection des bots.
Implémenter la limitation du débit : configurez des règles de limitation de débit pour empêcher les attaques d’abus et DDoS en contrôlant le nombre de requêtes autorisées à partir d’adresses IP individuelles dans les fenêtres de temps spécifiées. Pour plus d’informations, consultez Vue d’ensemble de la limitation du débit.
Gestion de l’identité et de l’accès
Les contrôles d’authentification et d’autorisation appropriés garantissent que seuls les utilisateurs et systèmes autorisés peuvent accéder à votre application Gateway et à sa configuration.
Configurer l’authentification mutuelle : implémentez l’authentification TLS mutuelle pour vérifier les certificats clients, fournissant une couche supplémentaire de sécurité pour les applications sensibles. Cela garantit que le client et le serveur s’authentifient mutuellement. Pour plus d’informations, consultez Configurer l’authentification mutuelle avec Application Gateway via le portail.
Utiliser Azure RBAC pour l’accès à la gestion : appliquez le contrôle d’accès en fonction du rôle pour limiter les personnes pouvant modifier les configurations d’Application Gateway. Attribuez les autorisations minimales nécessaires aux utilisateurs et aux comptes de service. Pour plus d’informations, voir Rôles intégrés Azure.
Protection de données
La protection des données pour Application Gateway se concentre sur la sécurisation des données en transit et la gestion des certificats et des secrets correctement.
Activer le chiffrement TLS : configurez l’arrêt TLS pour chiffrer les données en transit entre les clients et votre application Gateway. Vérifiez que vous utilisez la dernière version pour vous protéger contre les vulnérabilités connues. Pour plus d’informations, consultez Présentation de la terminaison TLS et du chiffrement TLS de bout en bout sur la passerelle Application Gateway.
Stocker des certificats dans Azure Key Vault : utilisez Azure Key Vault pour stocker et gérer en toute sécurité vos certificats TLS au lieu de les incorporer dans des fichiers de configuration. Cela permet la rotation automatique des certificats et la gestion centralisée des secrets. Pour plus d'informations, consultez Arrêt de TLS avec des certificats Key Vault.
Configurer la gestion sécurisée des certificats : configurez la rotation automatique des certificats dans Azure Key Vault en fonction d’une planification définie ou lors de l’expiration. Vérifiez que la génération de certificats respecte les normes de sécurité avec des tailles de clés suffisantes et des périodes de validité appropriées. Pour plus d’informations, consultez Configurer une passerelle Application Gateway avec arrêt TLS à l’aide du portail Azure.
Implémenter la redirection HTTP vers HTTPS : configurez la redirection automatique de HTTP vers HTTPS pour vous assurer que tout le trafic est chiffré. Cela empêche la transmission de données sensibles en texte clair. Pour plus d’informations, consultez Créer une passerelle d’application avec la redirection HTTP vers HTTPS à l’aide du portail Azure.
Configurer le protocole TLS de bout en bout : activez le chiffrement TLS entre Application Gateway et les serveurs principaux pour une protection maximale des données tout au long du chemin de communication. Pour plus d’informations, consultez Présentation de la terminaison TLS et du chiffrement TLS de bout en bout sur la passerelle Application Gateway.
Surveillance et détection des menaces
La journalisation et la surveillance offrent une visibilité sur les opérations Application Gateway et aident à détecter les menaces de sécurité potentielles.
Activer la journalisation des diagnostics : configurez les journaux de ressources Azure pour capturer des informations détaillées sur les opérations Application Gateway, notamment les modèles d’accès, les métriques de performances et les événements de sécurité. Envoyez ces journaux à un espace de travail Log Analytics ou un compte de stockage à des fins d’analyse. Pour obtenir plus d’informations, consultez Journaux de diagnostic et de l’intégrité du back-end pour la passerelle Application Gateway.
Configurer des sondes d’intégrité personnalisées : configurez des sondes d’intégrité personnalisées pour surveiller l’intégrité du serveur principal plus efficacement que les sondes par défaut. Les sondes personnalisées peuvent détecter les problèmes au niveau de l’application et garantir que le trafic atteint uniquement des serveurs sains. Pour plus d’informations, consultez la vue d’ensemble des sondes d’intégrité Application Gateway.
Configurer la surveillance et les alertes : créez des alertes basées sur les métriques et journaux Application Gateway pour détecter des modèles de trafic inhabituels, des tentatives d’authentification ayant échoué ou des anomalies de performances susceptibles d’indiquer des problèmes de sécurité. Utilisez Azure Monitor pour établir les performances de référence et identifier les écarts.
Implémenter la gestion centralisée des journaux : intégrez les journaux Application Gateway à votre système SIEM (Security Information and Event Management) pour mettre en corrélation les événements dans votre infrastructure et activer la détection et la réponse automatisées des menaces.
Surveiller l’intégrité du back-end : utilisez la fonctionnalité d’intégrité du serveur principal pour surveiller en permanence l’état de vos serveurs principaux et identifier rapidement les problèmes potentiels de sécurité ou de disponibilité. Pour plus d’informations, consultez Afficher l’intégrité du back-end via le portail.
Gestion des ressources
La gestion des ressources garantit que vos configurations Application Gateway sont correctement surveillées et conformes aux stratégies organisationnelles.
Implémenter la gouvernance Azure Policy : Utilisez Azure Policy pour auditer et appliquer des configurations dans vos déploiements Application Gateway. Créez des stratégies qui empêchent les configurations non sécurisées et garantissent la conformité aux normes de sécurité. Pour plus d’informations, consultez les définitions intégrées d’Azure Policy pour les services de mise en réseau Azure.
Surveiller la conformité de la configuration : utilisez Microsoft Defender for Cloud pour surveiller en permanence vos configurations Application Gateway et recevoir des alertes lorsque des écarts par rapport aux bases de référence de sécurité sont détectés. Configurez la correction automatisée si possible pour maintenir une posture de sécurité cohérente.