Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Le modèle Confiance Zéro suppose une violation et vérifie chaque requête comme si elle provient d’un réseau non contrôlé. Les services de sécurité réseau Azure jouent un rôle essentiel dans l’application des principes de confiance zéro en inspectant, en filtrant et en journalisant le trafic dans votre environnement cloud.
Les recommandations suivantes vous aident à évaluer et à renforcer votre posture de sécurité réseau Azure. Chaque recommandation est liée à un guide détaillé décrivant la vérification de la sécurité, son niveau de risque et les étapes de correction.
Conseil / Astuce
Certaines organisations peuvent suivre ces recommandations exactement telles qu’elles sont écrites, tandis que d’autres peuvent choisir d’apporter des modifications en fonction de leurs propres besoins métier. Nous vous recommandons d’implémenter tous les contrôles suivants le cas échéant. Ces modèles et pratiques aident à fournir une base pour un environnement réseau Azure sécurisé. D’autres contrôles seront ajoutés à ce document au fil du temps.
Évaluation automatisée
La vérification manuelle de ces conseils sur la configuration de votre environnement peut prendre du temps et entraîner des erreurs. L’évaluation Confiance nulle transforme ce processus avec l’automatisation pour tester ces éléments de configuration de sécurité et bien plus encore. Pour plus d’informations, consultez Qu’est-ce que l’évaluation Confiance nulle ?
Protection Azure contre les attaques DDoS
Azure DDoS Protection protège vos ressources publiques contre les attaques distribuées par déni de service. Les recommandations suivantes vérifient que la protection DDoS est activée et correctement surveillée.
Pour plus d’informations, consultez les recommandations confiance zéro pour Azure DDoS Protection.
| Recommandation | Niveau de risque | Impact sur les utilisateurs | Coût d’implémentation |
|---|---|---|---|
| La protection DDoS est activée pour toutes les adresses IP publiques dans les réseaux virtuels | Élevé | Faible | Faible |
| Les métriques sont activées pour les adresses IP publiques protégées par DDoS | Moyenne | Faible | Faible |
| La journalisation des diagnostics est activée pour les adresses IP publiques protégées par DDoS | Moyenne | Faible | Faible |
Azure Firewall
Le Pare-feu Azure fournit l’application et la journalisation centralisées de la stratégie de sécurité réseau sur vos réseaux virtuels. Les recommandations suivantes vérifient que les fonctionnalités de protection clés sont actives.
Pour plus d’informations, consultez les recommandations confiance zéro pour le Pare-feu Azure.
| Recommandation | Niveau de risque | Impact sur les utilisateurs | Coût d’implémentation |
|---|---|---|---|
| Le trafic sortant à partir de charges de travail intégrées au réseau virtuel est routé via le Pare-feu Azure | Élevé | Faible | Moyenne |
| Threat Intelligence est activé en mode refus sur Azure Firewall | Élevé | Faible | Faible |
| l’inspection IDPS est activée en mode de refus sur Azure Firewall | Élevé | Faible | Faible |
| L’inspection du trafic TLS sortant est activée sur le Pare-feu Azure | Élevé | Faible | Faible |
| La journalisation des diagnostics est activée dans le Pare-feu Azure | Élevé | Faible | Faible |
Passerelle d’applications WAF
Le pare-feu d’applications web Azure sur Application Gateway protège les applications web contre les attaques et vulnérabilités courantes. Les recommandations suivantes vérifient que waf est correctement configuré et surveillé.
Pour plus d’informations, consultez les recommandations Zero Trust pour le Web Application Firewall d'Application Gateway.
| Recommandation | Niveau de risque | Impact sur les utilisateurs | Coût d’implémentation |
|---|---|---|---|
| Application Gateway WAF est activé en mode de prévention | Élevé | Faible | Faible |
| L’inspection du corps de requête est activée dans le WAF Application Gateway | Élevé | Faible | Faible |
| L’ensemble de règles par défaut est activé dans le firewall des applications web d’Application Gateway | Élevé | Faible | Faible |
| L’ensemble de règles de protection des bots est activé et affecté dans le WAF Application Gateway | Élevé | Faible | Faible |
| L’ensemble de règles de protection HTTP DDoS est activé dans le WAF Application Gateway | Élevé | Faible | Faible |
| La limitation de débit est activée dans le WAF Application Gateway | Élevé | Faible | Moyenne |
| Le défi JavaScript est activé dans le pare-feu d'application web WAF | Moyenne | Faible | Faible |
| La journalisation des diagnostics est activée dans le pare-feu WAF Application Gateway | Élevé | Faible | Faible |
WAF d’Azure Front Door
Le pare-feu d’applications web Azure sur Front Door protège les applications web à la périphérie du réseau. Les recommandations suivantes vérifient que waf est correctement configuré et surveillé.
Pour plus d’informations, consultez les recommandations confiance zéro pour azure Front Door WAF.
| Recommandation | Niveau de risque | Impact sur les utilisateurs | Coût d’implémentation |
|---|---|---|---|
| Azure Front Door WAF est activé en mode de prévention | Élevé | Faible | Faible |
| L'inspection du corps du contenu de la requête est mise en service dans le WAF Azure Front Door | Élevé | Faible | Faible |
| L’ensemble de règles par défaut est attribué dans le WAF Azure Front Door | Élevé | Faible | Faible |
| L’ensemble de règles de protection des bots est activé et affecté dans le WAF Azure Front Door | Élevé | Faible | Faible |
| La limitation de débit est activée dans le WAF Azure Front Door | Élevé | Faible | Moyenne |
| Le défi JavaScript est activé dans le WAF Azure Front Door | Moyenne | Faible | Faible |
| Le défi CAPTCHA est activé dans le WAF Azure Front Door | Moyenne | Faible | Faible |
| La journalisation des diagnostics est activée dans le WAF Azure Front Door | Élevé | Faible | Faible |