Sécurité, gouvernance et conformité pour l’analytique à l’échelle du cloud
Lorsque vous prévoyez une architecture d’analytique à l’échelle du cloud, prêtez une attention particulière à sa robustesse et à sa sécurisation. Cet article traite des critères de conception de la sécurité, de la conformité et de la gouvernance de l’analytique à l’échelle du cloud. Il aborde également les recommandations de conception et les meilleures pratiques de déploiement de l’analytique à l’échelle du cloud sur Azure. Passez en revue gouvernance et conformité de la sécurité à l’échelle de l’entreprise pour préparer pleinement la gouvernance d’une solution d’entreprise.
Initialement, les solutions cloud hébergeaient des applications uniques relativement isolées. Les avantages des solutions cloud ayant été démontrés, le cloud s’est mis à héberger des charges de travail à plus grande échelle, telles que SAP sur Azure. Il est donc devenu vital de gérer la sécurité, la fiabilité, les performances et le coût des déploiements régionaux tout au long du cycle de vie des services cloud.
La vision de la sécurité, de la conformité et de la gouvernance des zones d’atterrissage d’analytique à l’échelle du cloud sur Azure consiste à fournir des outils et des processus qui aident à réduire les risques et à prendre des décisions efficaces. Les zones d’atterrissage Azure définissent les responsabilités et les rôles de gouvernance et de conformité en matière de sécurité.
Le modèle d’analytique à l’échelle du cloud s’appuie sur plusieurs fonctionnalités de sécurité qui peuvent être activées dans Azure. Ces fonctionnalités incluent le chiffrement, le contrôle d’accès en fonction du rôle, les listes de contrôle d’accès et les restrictions de mise en réseau.
Recommandations relatives à la conception de la sécurité
Microsoft et ses clients partagent la responsabilité en matière de sécurité. Pour obtenir des conseils de sécurité acceptés, consultez l’article Meilleures pratiques de cybersécurité du centre de la sécurité Internet. Les sections suivantes sont des recommandations de conception de sécurité.
Chiffrement des données au repos
Le chiffrement des données au repos fait référence au chiffrement des données à mesure qu’elles persistent dans le stockage et répond aux risques de sécurité liés à l’accès physique direct au support de stockage. Dar constitue un contrôle de sécurité critique, car les données sous-jacentes ne sont pas récupérables, ni modifiables sans sa clé de déchiffrement. Dar est une couche importante de la stratégie de défense en profondeur des centres de connaissances Microsoft. Souvent, il existe des raisons de conformité et de gouvernance pour déployer le chiffrement des données au repos.
Plusieurs services Azure prennent en charge le chiffrement des données au repos, y compris Stockage Azure et les bases de données Azure SQL. Bien que les concepts et modèles courants influencent la conception des services Azure, chaque service peut appliquer le chiffrement des données au repos à différentes couches de pile ou avoir des exigences différentes en matière de chiffrement.
Important
Par défaut, tous les services qui prennent en charge le chiffrement des données au repos doivent être activés.
Sécuriser les données en transit
Les données sont en transit ou en mode Flighting d’un emplacement vers un autre. Cela peut être interne, en local ou dans Azure, ou en externe, par exemple sur Internet pour un utilisateur final. Azure propose plusieurs mécanismes, notamment le chiffrement, destinés à assurer la confidentialité des données en transit. Ces mécanismes sont les suivants :
- Communication via des VPN à l’aide du chiffrement IPsec/IKE.
- Transport Layer Security (TLS) 1.2 ou version ultérieure via des composants Azure, tels qu’Azure Application Gateway ou Azure Front Door.
- Protocoles disponibles sur les Machines virtuelles Azure, par exemple Windows IPsec ou SMB.
Le chiffrement à l’aide de MACsec (Media Access Control Security), une norme IEEE au niveau de la couche de liaison de données, est automatiquement activé pour l’ensemble du trafic Azure entre les centres de données Azure. Ce chiffrement garantit la confidentialité et l’intégrité des données client. Pour plus d’informations, consultez Protection des données client Azure.
Gérer les clés et les secrets
Pour contrôler et gérer les clés de chiffrement de disque et les secrets de l’analytique à l’échelle du cloud, utilisez Azure Key Vault. Key Vault offre des fonctionnalités d’approvisionnement et de gestion des certificats SSL/TLS. Vous pouvez également protéger les secrets à l’aide de modules de sécurité matériels (HSM).
Microsoft Defender pour le cloud
Microsoft Defender pour le cloud fournit des alertes de sécurité ainsi qu’une protection avancée contre les menaces pour les machines virtuelles, les bases de données SQL, les conteneurs, les applications web, les réseaux virtuels, et plus encore.
Lorsque vous activez Defender pour le cloud dans la zone des tarifs et paramètres, les plans Microsoft Defender suivants sont activés simultanément et fournissent des défenses complètes pour les couches de calcul, de données et de services de votre environnement :
- Microsoft Defender pour les serveurs
- Microsoft Defender pour App Service
- Microsoft Defender pour Stockage
- Microsoft Defender pour SQL
- Microsoft Defender pour Kubernetes
- Microsoft Defender pour les registres de conteneurs
- Microsoft Defender pour Key Vault
- Microsoft Defender pour Resource Manager
- Microsoft Defender pour DNS
Ces plans sont expliqués séparément dans la documentation relative à Defender pour le cloud.
Important
Si Defender pour le cloud est disponible pour les offres PaaS (Platform as a Service), vous devez activer cette fonctionnalité par défaut, en particulier pour les comptes Azure Data Lake Storage. Pour plus d’informations, consultez Introduction à Microsoft Defender pour le cloud et configurer Microsoft Defender pour le stockage.
Microsoft Defender pour Identity
Microsoft Defender pour Identity fait partie de l’offre Advanced Data Security qui est un package unifié de fonctionnalités de sécurité avancées. Microsoft Defender pour Identity est accessible et géré via le portail Azure.
Important
Activez Microsoft Defender pour Identity par défaut chaque fois qu’il est disponible pour les services PaaS que vous utilisez.
Activer Microsoft Sentinel
Microsoft Sentinel est une solution cloud native et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response). Microsoft Sentinel assure une analyse de sécurité intelligente et fournit des renseignements sur les menaces dans l’ensemble de l’entreprise. Elle constitue une solution unique pour la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse aux menaces.
Mise en réseau
La démarche conseillée pour l’analytique à l’échelle du cloud consiste à utiliser des points de terminaison privés Azure pour tous les services PaaS et à éviter de recourir à des adresses IP publiques pour tous les services IaaS (infrastructure as a service). Pour plus d’informations, consultez Mise en réseau de l’analytique à l’échelle du cloud.
Recommandations relatives à la conception de la conformité et de la gouvernance
Azure Advisor vous permet d’obtenir une vue consolidée des abonnements Azure. Consultez les recommandations Azure Advisor relatives à la fiabilité, la résilience, la sécurité, aux performances, à l’excellence opérationnelle et aux coûts. Les sections suivantes sont des recommandations en matière de conception de conformité et de gouvernance.
Utiliser Azure Policy
Azure Policy aide à appliquer les normes organisationnelles et à évaluer la conformité à grande échelle. Avec son tableau de bord de conformité, il fournit une vue agrégée de l’état général de l’environnement, avec la possibilité d’explorer les ressources ou stratégies individuelles.
En outre, Azure Policy vous aide à mettre vos ressources en conformité par le biais de la correction en bloc pour les ressources existantes et de la correction automatique pour les nouvelles ressources. Plusieurs stratégies intégrées sont disponibles, par exemple pour limiter l’emplacement des nouvelles ressources, pour exiger une balise et sa valeur sur les ressources, pour créer une machine virtuelle à l’aide d’un disque managé ou pour appliquer des stratégies d’attribution de noms.
Automatiser les déploiements
Vous pouvez gagner du temps et réduisez les erreurs en automatisant les déploiements. Réduisez la complexité du déploiement des zones d’atterrissage des données de bout en bout, des applications de données et des produits de données en créant des modèles de code réutilisables. Cela réduit le temps de déploiement ou de redéploiement des solutions. Pour plus d’informations, consultez Présentation de l’automatisation DevOps de l’analytique à l’échelle du cloud dans Azure.
Verrouiller les ressources des charges de travail de production
Créez les ressources Azure de la zone d’atterrissage des données et de la gestion des données principales nécessaires au démarrage de votre projet. Lorsque tous les ajouts, déplacements et modifications sont terminés et que le déploiement Azure est opérationnel, verrouillez toutes les ressources. Ensuite, seul un administrateur peut déverrouiller ou modifier des ressources, comme un catalogue de données. Pour plus d’informations, consultez Verrouiller les ressources pour empêcher les modifications inattendues.
Implémenter un contrôle d’accès en fonction du rôle
Vous pouvez personnaliser le contrôle d’accès basé sur un rôle (RBAC) sur des abonnements Azure afin de gérer les utilisateurs ayant accès aux ressources Azure, les modes d’utilisation des ressources par ces derniers et les zones auxquelles ils ont accès. Par exemple, vous pouvez autoriser les membres de l’équipe à déployer des ressources de base dans une zone d’atterrissage de données, mais les empêcher de modifier les composants réseau.
Scénarios de gouvernance et de conformité
Les recommandations suivantes s’appliquent à divers scénarios de conformité et de gouvernance. Ces scénarios représentent une solution économique et évolutive.
Scénario | Recommandation |
---|---|
Configurez un modèle de gouvernance avec les conventions d’affectation de noms standard et extrayez des rapports basés sur le centre de coûts. | Utilisez Azure Policy et des balises pour satisfaire vos exigences. |
Évitez la suppression accidentelle des ressources Azure. | Utilisez les verrous de ressource Azure pour empêcher toute suppression accidentelle. |
Obtenez une vue consolidée des domaines d’opportunités en termes d’optimisation des coûts, de résilience, de sécurité, d’excellence opérationnelle et de performances pour les ressources Azure. | Utilisez Azure Advisor pour obtenir une vue consolidée des abonnements SAP sur Azure. |