Conception d’architecture de sécurité

La sécurité des informations a toujours été un sujet complexe, qui évolue rapidement du fait de la créativité et des implémentations des attaquants et des chercheurs en sécurité.

La sécurité est l’un des aspects les plus importants d’une architecture. Une sécurité efficace offre des garanties de confidentialité, d’intégrité et de disponibilité contre les attaques délibérées et l’exploitation abusive de vos données et systèmes très précieux. La perte de ces garanties peut nuire à vos activités, à vos revenus et à la réputation de votre organisation.

Voici quelques points à prendre en considération au moment de concevoir un système de sécurité :

Azure offre une large gamme d’outils et de fonctionnalités de sécurité. Voici quelques-uns des principaux services de sécurité disponibles dans Azure :

• Microsoft Defender pour le cloud. Système unifié de gestion de la sécurité de l’infrastructure qui renforce la posture de sécurité de vos centres de données. Il assure en outre une protection avancée contre les menaces pesant sur vos charges de travail hybrides dans le cloud et localement.
• Microsoft Entra ID. Un service Microsoft basé sur le cloud qui gère les identités et les accès.
• Azure Front Door. Point d’entrée mondial et scalable qui utilise le réseau de périmètre mondial de Microsoft pour créer des applications web rapides, hautement sécurisées et largement scalables.
• Pare-feu Azure. Service de sécurité de pare-feu réseau natif cloud intelligent qui offre une protection contre les menaces pour les charges de travail cloud qui s’exécutent dans Azure.
• Azure Key Vault. Un magasin de secrets haute sécurité pour les jetons, les mots de passe, les certificats, les clés API et autres secrets. Vous pouvez aussi utiliser Key Vault pour créer et contrôler les clés de chiffrement utilisées pour chiffrer vos données.
• Azure Private Link. Service qui vous permet d’accéder aux services Azure PaaS, aux services hébergés par Azure dont vous êtes propriétaire ou à des services partenaires via un point de terminaison privé de votre réseau virtuel.
• Azure Application Gateway : Un équilibreur de charge avancé pour le trafic web qui vous permet de gérer le trafic vers vos applications web.
• Azure Policy. Service qui vous aide à appliquer des standards organisationnels et à évaluer la conformité.

Pour obtenir une description plus complète des outils et des fonctionnalités de sécurité Azure, consultez Sécurité de bout en bout dans Azure.

Présentation de la sécurité dans Azure

Si vous êtes novice en matière de sécurité sur Azure, la meilleure façon d’en savoir plus est la formation Microsoft Learn. Cette plateforme en ligne gratuite propose des formations interactives pour les produits Microsoft et bien plus encore.

Voici deux parcours d’apprentissage pour commencer :

• Principes de base de Microsoft Azure : description des fonctionnalités de sécurité générale et de sécurité réseau

• Notions de base de la sécurité, de la conformité et des identités Microsoft : décrire les fonctionnalités des solutions de sécurité Microsoft

Parcours de production

• Pour sécuriser des charges de travail d’application Azure, vous utilisez des mesures de protection telles que l’authentification et le chiffrement dans les applications elles-mêmes. Vous pouvez également ajouter des couches de sécurité aux réseaux de machines virtuelles hébergeant les applications. Consultez Pare-feu et Application Gateway pour les réseaux virtuels pour obtenir une vue d’ensemble.
• La Confiance Zéro est une approche proactive et intégrée de la sécurité qui concerne toutes les couches du patrimoine numérique. Elle vérifie de manière explicite et continue chaque transaction, évalue les privilèges minimum et s’appuie sur l’intelligence, la détection avancée et la réponse en temps réel aux menaces.
  • Pour découvrir une stratégie d’implémentation pour les applications web, consultez Réseau Confiance Zéro pour les applications web avec le Pare-feu Azure et Application Gateway.
  • Pour découvrir une architecture qui montre comment incorporer les fonctionnalités d’accès et d’identité Microsoft Entra dans une stratégie de sécurité globale Confiance Zéro, consultez Microsoft Entra IDaaS dans les opérations de sécurité.
• La gouvernance Azure établit les outils nécessaires à la prise en charge de la gouvernance cloud, de l’audit de conformité et des garde-fous automatisés. Pour plus d’informations sur la gouvernance de votre environnement Azure, consultez Guide de la zone de conception de la gouvernance Azure.

Bonnes pratiques

Azure Well-Architected Framework est un ensemble de principes directeurs reposant sur cinq piliers, dont vous pouvez vous servir pour améliorer la qualité de vos architectures. Pour plus d’informations, consultez Vue d’ensemble du pilier de sécurité et Principes de conception de la sécurité dans Azure.

Well-Architected Framework fournit également ces check-lists :

• Considérations concernant la gestion des identités et des accès Azure
• Sécurité du réseau
• Considérations relatives à la protection des données
• Gouvernance, risque et conformité

Pour plus d’informations sur la sécurité des charges de travail IaaS sensibles, consultez Considérations de sécurité pour les applications IaaS hautement sensibles dans Azure.

Architectures de sécurité

Gestion de l’identité et de l’accès

• Sécuriser les jetons d’actualisation OAuth 2.0 On-Behalf-Of pour les services web
• Gestion résiliente des identités et des accès avec Microsoft Entra ID
• Gestion des identités et des accès Microsoft Entra pour AWS

Protection contre les menaces

• Indicateurs de menace pour le renseignement sur les cybermenaces dans Microsoft Sentinel
• Protection multicouche pour l’accès aux machines virtuelles Azure
• Détection des fraudes en temps réel

Information Protection

• Informatique confidentielle sur une plateforme de santé
• Chiffrement homomorphes avec SEAL
• SQL Managed Instance avec des clés gérées par le client
• Microservices serverless intégrés au réseau virtuel

Découvrir et répondre

• Conservation à long terme des journaux de sécurité avec Azure Data Explorer

Se tenir au fait de la sécurité

Tenez-vous informé des dernières évolutions des services et fonctionnalités de sécurité Azure.

Ressources supplémentaires

Exemples de solutions

• Supervision de la sécurité hybride avec Microsoft Defender pour le cloud et Microsoft Sentinel
• Accès avec sécurité améliorée pour les applications web multilocataires depuis des environnements locaux
• Restreindre les communications interservices
• Applications web gérées en toute sécurité
• Sécuriser votre bot de canal Microsoft Teams et de votre application web derrière un pare-feu
• Connectivité privée de l’application web à une instance Azure SQL Database

Parcourir toutes nos architectures de sécurité

Professionnels AWS ou Google Cloud

• Identité et sécurité avec Azure et AWS
• Comparaison des services AWS et Azure – Sécurité
• Comparaison des services Google Cloud et Azure – Sécurité

Étapes suivantes

L’architecture de sécurité fait partie d’un ensemble complet de conseils de sécurité qui comprend aussi :

• Sécurité dans le Microsoft Cloud Adoption Framework pour Azure : vue d’ensemble générale d’un état final de sécurité du cloud.
• Azure Well-Architected Framework : conseils sur la sécurisation de vos charges de travail dans Azure.
• Benchmark de sécurité Azure : bonnes pratiques et contrôles normatifs pour la sécurité Azure.
• Sécurité de bout en bout dans Azure : documentation présentant les services de sécurité dans Azure.
• 10 bonnes pratiques de sécurité pour Azure : il s’agit des bonnes pratiques de sécurité Azure recommandées par Microsoft suite aux leçons apprises par les clients et dans nos propres environnements.
• Architectures de cybersécurité Microsoft : Les diagrammes décrivent comment les fonctionnalités de sécurité Microsoft intègrent les plateformes Microsoft et les plateformes tierces.