Blueprint de sécurité et de conformité Azure : Application web PaaS pour PCI DSS

Vue d’ensemble

Cette solution Automation Blueprint de sécurité et de conformité Azure fournit des conseils pour déployer une plateforme conforme aux normes PCI DSS 3.2 (Payment Card Industry Data Security Standards ), comme un environnement de service (PaaS) adapté à la collecte, le stockage et la récupération des données de titulaire de carte. Cette solution automatise le déploiement et la configuration des ressources Azure pour une architecture de référence commune, illustrant diverses façons dont les clients peuvent satisfaire à des exigences de conformité et de sécurité spécifiques, et sert de base aux clients souhaitant générer et configurer leurs propres solutions sur Azure. La solution implémente un sous-ensemble des exigences des normes PCI DSS 3.2. Pour plus d’informations sur les exigences de PCI DSS 3.2 et sur cette solution, consultez la section documentation sur la conformité.

Cette solution Automation Blueprint de sécurité et de conformité Azure déploie automatiquement une architecture de référence d’application web PaaS avec des contrôles de sécurité préconfigurés pour aider les clients à se conformer aux exigences de PCI DSS 3.2. La solution se compose de modèles Azure Resource Manager et de scripts PowerShell qui guident le déploiement et la configuration des ressources.

Cette architecture constitue une base que les clients peuvent modifier en fonction de leurs besoins. Elle ne doit pas être utilisée telle quelle dans un environnement de production. Le déploiement d’une application dans cet environnement, sans modification, ne suffit pas pour répondre entièrement aux exigences de PCI DSS 3.2. Notez les points suivants :

• Cette architecture est une base de référence qui permet aux clients d’utiliser Azure conformément aux exigences de PCI DSS 3.2.
• Les clients doivent réaliser des évaluations de sécurité et de conformité pour toute solution créée à l’aide de cette architecture, car les exigences peuvent varier selon leur implémentation.

La certification de conformité PCI DSS d’une solution cliente de production est délivrée par un évaluateur de sécurité qualifié (QSA) agréé. Il incombe aux clients d’évaluer de façon appropriée la sécurité et la conformité de toute solution basée sur cette architecture, car les exigences peuvent varier en fonction des spécificités de chaque implémentation.

Cliquez ici pour obtenir des instructions de déploiement.

Diagramme et composants de l’architecture

Cette solution Automation Blueprint de sécurité et de conformité Azure déploie une architecture de référence pour une application web PaaS avec un back-end Azure SQL Database. L’application web est hébergée dans un environnement Azure App Service dédié, privé et isolé dans un centre de données Azure. L’environnement équilibre la charge du trafic pour l’application web entre des machines virtuelles gérées par Azure. Cette architecture inclut également des groupes de sécurité réseau, une passerelle d’application (Azure Application Gateway), un DNS (Azure DNS) et un équilibreur de charge (Azure Load Balancer).

Les bases de données Azure SQL peuvent être configurées avec des index columnstore afin d’améliorer l’analytique et la création de rapports. Les bases de données Azure SQL peuvent faire l’objet d’un scale-up ou d’un scale-down ou bien complètement arrêtées selon l’utilisation du client. La totalité du trafic SQL est chiffrée avec SSL grâce à l’inclusion de certificats auto-signés. En guise de meilleure pratique, Azure préconise l’utilisation d’une autorité de certification de confiance afin de renforcer la sécurité.

La solution utilise des comptes de stockage Azure que les clients peuvent configurer pour utiliser Storage Service Encryption afin de maintenir la confidentialité des données au repos. Azure stocke trois copies des données dans un centre de données sélectionné par le client pour assurer la résilience. Le stockage géographiquement redondant permet de s’assurer de la réplication des données vers un centre de données secondaire situé à des centaines de kilomètres et du stockage de trois copies dans ce centre de données, empêchant ainsi une perte de données en cas de dysfonctionnement au niveau du centre de données primaire du client.

Pour renforcer la sécurité, toutes les ressources dans cette solution sont gérées sous forme de groupe de ressources dans Azure Resource Manager. Le contrôle d’accès en fonction du rôle Azure Active Directory est utilisé pour contrôler l’accès aux ressources déployées ainsi qu’à leurs clés dans Azure Key Vault. L’intégrité du système est surveillée dans Azure Monitor. Les clients configurent ces deux services de supervision pour la capture de journaux d’activité et la centralisation des informations concernant l’intégrité du système dans un tableau de bord facilement consultable.

Azure SQL Database est généralement géré dans SQL Server Management Studio, qui s’exécute à partir d’une machine locale configurée pour accéder à Azure SQL Database via une connexion VPN ou ExpressRoute sécurisée.

Par ailleurs, Application Insights gère et analyse en temps réel les performances d’application par l’intermédiaire de Journaux Azure Monitor. Microsoft recommande de configurer une connexion VPN ou ExpressRoute pour la gestion et l’importation de données dans le sous-réseau de l’architecture de référence.

Cette solution utilise les services Azure suivants. Les détails de l’architecture de déploiement se trouvent dans la section Architecture de déploiement .

• App Service Environment v2
• Application Gateway
  • (1) Pare-feu d’applications web
    • Mode de pare-feu : prévention
    • Ensemble de règles : OWASP 3.0
    • Écouteur : port 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Stockage Azure
• Réseau virtuel Azure
  • (1) réseau /16
  • (4) /24 réseaux
  • (4) Groupes de sécurité réseau
• Application web Azure

Architecture de déploiement

La section ci-après décrit en détail les éléments nécessaires au déploiement et à l’implémentation.

Azure Resource Manager : Azure Resource Manager permet aux clients d’utiliser les ressources de la solution en tant que groupe. Les clients peuvent déployer, mettre à jour ou supprimer toutes les ressources de la solution en une seule opération coordonnée. Les clients utilisent pour le déploiement un modèle pouvant fonctionner avec différents environnements, par exemple de test, intermédiaire et de production. Le Gestionnaire des ressources Azure Resource Manager offre des fonctionnalités de sécurité, d’audit et de marquage pour aider les clients à gérer leurs ressources après le déploiement de celles-ci.

Hôte bastion : point d’entrée unique qui permet aux utilisateurs d’accéder aux ressources déployées dans cet environnement. L’hôte bastion fournit une connexion sécurisée à des ressources déployées en autorisant uniquement le trafic distant provenant d’adresses IP publiques figurant sur une liste verte. Pour autoriser le trafic RDP (Remote Desktop Protocol), la source du trafic doit être définie dans le groupe de sécurité réseau.

Cette solution crée une machine virtuelle en tant qu’hôte bastion joint au domaine avec les configurations suivantes :

• Extension anti-programme malveillant
• Extension Diagnostics Azure
• Azure Disk Encryption avec Azure Key Vault
• Stratégie d’arrêt automatique pour réduire la consommation des ressources de machine virtuelle lorsqu’elles ne sont pas utilisées
• Windows Defender Credential Guard activé afin que les informations d’identification et d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution

App Service Environment v2 : l’environnement Azure App Service est une fonctionnalité d’Azure App Service qui fournit un environnement dédié et totalement isolé pour l’exécution sécurisée d’applications App Service à grande échelle. Cette fonctionnalité d’isolation est nécessaire pour répondre aux exigences de conformité PCI.

Les environnements App Service sont isolés pour exécuter uniquement les applications d’un seul client et sont toujours déployés dans un réseau virtuel. Cette fonctionnalité d’isolation permet à l’architecture de référence d’isoler complètement les locataires, en les supprimant de l’environnement multilocataire d’Azure qui interdit à ces locataires d’énumérer les ressources d’environnement App Service déployées. Les clients ont un contrôle affiné sur le trafic réseau entrant et sortant des applications, et les applications peuvent établir des connexions sécurisées à haut débit sur les réseaux virtuels avec les ressources d’entreprise locales. Les clients peuvent faire une « mise à l’échelle automatique » avec l’environnement App Service basé sur les mesures de charge, le budget disponible ou une planification définie.

Utilisez des environnements App Service pour les contrôles et configurations suivants :

• Hébergement dans un réseau virtuel Azure sécurisé avec application de règles de sécurité réseau
• Certificat ILB auto-signé pour la communication HTTPS
• Mode d’équilibrage de charge interne
• Désactivation de TLS 1.0
• Modifier le chiffrement TLS
• Contrôle des ports réseau de trafic entrant
• Pare-feu d’applications web : restreindre les données
• Autorisation du trafic Azure SQL Database

Azure Web App : Azure App Service permet aux clients de créer et d’héberger des applications web dans le langage de programmation de leur choix sans gérer l’infrastructure. Il offre une mise à l’échelle automatique et une haute disponibilité, prend en charge à la fois Windows et Linux et permet des déploiements automatisés à partir de GitHub, Azure DevOps ou n’importe quel référentiel Git.

Réseau virtuel

L’architecture définit un réseau privé virtuel avec l’espace d’adressage 10.200.0.0/16.

Groupes de sécurité réseau : Les groupes de sécurité réseau contiennent des listes de contrôle d’accès (ACL) qui autorisent ou refusent le trafic au sein d’un réseau virtuel. Les groupes de sécurité réseau peuvent être utilisés pour sécuriser le trafic au niveau d’un sous-réseau ou d’une machine virtuelle individuelle. Les groupes de sécurité réseau suivants existent :

• 1 groupe de sécurité réseau pour Application Gateway
• 1 groupe de sécurité réseau pour l’environnement App Service
• 1 groupe de sécurité réseau pour Azure SQL Database
• 1 groupe de sécurité réseau pour le bastion

Chaque groupe de sécurité réseau a des ports et protocoles spécifiques ouverts pour que la solution fonctionne correctement et de manière sécurisée. Par ailleurs, les configurations suivantes sont activées pour chaque groupe de sécurité réseau :

• Les journaux de diagnostic et les événements sont activés et stockés dans un compte de stockage
• Les journaux Azure Monitor sont connectés aux diagnostics du groupe de sécurité réseau

Sous-réseaux : chaque sous-réseau est associé à son groupe de sécurité réseau correspondant.

Azure DNS : le DNS (Domain Name System) se charge de traduire (ou résoudre) un nom de site web ou de service en une adresse IP. Azure DNS est un service d’hébergement pour domaines DNS, qui assure la résolution de noms à l’aide de l’infrastructure Azure. En hébergeant des domaines dans Azure, les utilisateurs peuvent gérer des enregistrements DNS en utilisant les mêmes informations d’identification, API, outils et modes de facturation que pour d’autres services Azure. Azure DNS prend désormais également en charge les domaines DNS privés.

Azure Load Balancer : l’équilibreur de charge Azure permet aux clients de mettre à l’échelle leurs applications et de créer une haute disponibilité pour les services. Load Balancer prend en charge les scénarios entrants et sortants, et offre une latence faible, un débit élevé et une montée en puissance jusqu’à plusieurs millions de flux pour toutes les applications TCP et UDP.

Données en transit

Par défaut, Azure chiffre toutes les communications avec les centres de données Azure. Toutes les transactions en direction du service Stockage Azure par le biais du Portail Azure s’effectuent via HTTPS.

Données au repos

L’architecture protège les données au repos à l’aide d’un chiffrement, d’un audit de base de données et d’autres mesures.

Stockage Azure : pour répondre aux exigences de chiffrement des données au repos, l’ensemble du service Stockage Azure utilise la fonctionnalité de chiffrement Storage Service Encryption. Cela permet de protéger et de sauvegarder les données de titulaire de carte dans le respect des engagements de l’organisation en matière de sécurité et des exigences de conformité définies par PCI DSS 3.2.

Azure Disk Encryption : Azure Disk Encryption tire parti de la fonctionnalité BitLocker de Windows pour chiffrer les volumes des disques de données. La solution s’intègre à Azure Key Vault pour faciliter le contrôle et la gestion des clés de chiffrement de disque.

Azure SQL Database : l’instance Azure SQL Database utilise les mesures de sécurité de base de données suivantes :

• La solution d’authentification et d’autorisation Active Directory permet de gérer les identités des utilisateurs de bases de données et d’autres services Microsoft dans un emplacement central.
• L’audit Azure SQL Database suit les événements de base de données et consigne ceux-ci dans un journal d’audit conservé dans un compte de stockage Azure.
• Azure SQL Database est configuré pour utiliser la technologie Transparent Data Encryption qui assure le chiffrement et le déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux de transactions afin de protéger les informations au repos. Transparent Data Encryption protège les données des accès non autorisés.
• Des règles de pare-feu empêchent tout accès aux serveurs de base de données sans autorisation appropriée. Le pare-feu octroie l’accès à la base de données en fonction de l’adresse IP d’origine de chaque demande.
• La détection des menaces SQL permet de détecter et traiter les menaces potentielles à mesure qu’elles surviennent en déclenchant des alertes de sécurité en cas d’activités de base de données suspectes, de vulnérabilités potentielles, d’attaques par injection de code SQL et de modèles d’accès anormaux aux bases de données.
• Des colonnes Encrypted garantissent que les données sensibles n’apparaissent jamais en tant que texte en clair à l’intérieur du système de base de données. Une fois le chiffrement des données activé, seules des applications clientes ou des serveurs d’applications ayant accès aux clés peuvent accéder aux données en texte clair.
• SQL Database Dynamic Data Masking limite l’exposition des données sensibles en masquant celles-ci aux utilisateurs ou aux applications dépourvus de privilèges. Le masquage dynamique des données peut découvrir automatiquement les données potentiellement sensibles et suggérer les masques appropriés à appliquer. Cela permet d’identifier et de réduire l’accès aux données afin que celles-ci ne quittent pas la base de données via un accès non autorisé. Les clients doivent ajuster les paramètres de masquage dynamique des données pour respecter leur schéma de base de données.

Gestion des identités

Les technologies suivantes offrent des fonctionnalités de gestion d’accès aux données de titulaire de carte dans l’environnement Azure :

• Azure Active Directory est le service de gestion des identités et des annuaires multilocataires de Microsoft. Tous les utilisateurs de cette solution sont créés dans Azure Active Directory, notamment ceux qui accèdent à Azure SQL Database.
• L’authentification auprès de l’application est effectuée à l’aide d’Azure Active Directory. Pour plus d’informations, consultez Intégration d’applications dans Azure Active Directory. En outre, le chiffrement des colonnes de base de données utilise Azure Active Directory pour authentifier l’application auprès d’Azure SQL Database. Pour plus d’informations, consultez comment protéger les données sensibles dans Azure SQL Base de données.
• Le contrôle d’accès en fonction du rôle Azure permet aux administrateurs de définir des autorisations d’accès affinées pour accorder uniquement la quantité d’accès dont les utilisateurs ont besoin pour effectuer leurs travaux. Au lieu d’accorder à tous les utilisateurs des autorisations illimitées sur les ressources Azure, les administrateurs peuvent autoriser seulement certaines actions pour accéder aux données de titulaire de carte. Par exemple, l’accès aux abonnements est limité à l’administrateur d’abonnements.
• Azure Active Directory Privileged Identity Management permet aux clients de réduire le nombre d’utilisateurs ayant accès à certaines informations telles que les données de titulaires de carte. Les administrateurs peuvent utiliser Azure Active Directory Privileged Identity Management pour découvrir, restreindre et superviser les identités privilégiées et leur accès aux ressources. Cette fonctionnalité permet également d’appliquer un accès administratif juste-à-temps à la demande si nécessaire.
• Azure Active Directory Identity Protection détecte les vulnérabilités potentielles affectant les identités d’une organisation, configure les réponses automatisées aux actions suspectes détectées liées aux identités d’une organisation et examine les incidents suspects pour prendre les mesures appropriées pour les résoudre.

Sécurité

Gestion des secrets : la solution utilise Azure Key Vault pour gérer les clés et les secrets. Azure Key Vault permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud. Les fonctionnalités Azure Key Vault ci-après aident les clients à protéger les données et à y accéder :

• Les stratégies d’accès avancées sont configurées en fonction des besoins.
• Les stratégies d’accès Key Vault sont définies avec des autorisations minimales requises pour les clés et les secrets.
• L’ensemble des clés et secrets figurant dans Key Vault présentent des dates d’expiration.
• Toutes les clés dans Key Vault sont protégées par des modules de sécurité matériels spécialisés. La clé est de type RSA 2 048 bits protégé par HSM.
• Des autorisations minimales requises sont accordées à tous les utilisateurs et à toutes les identités à l’aide du contrôle d’accès en fonction rôle.
• Les journaux de diagnostics pour Key Vault sont activés avec une période de rétention d’au moins 365 jours.
• Les opérations de chiffrement autorisées pour les clés sont restreintes à celles qui sont nécessaires.

Azure Security Center : Avec Azure Security Center, les clients peuvent appliquer et gérer de façon centralisée des stratégies de sécurité entre charges de travail, limiter l’exposition aux menaces, ainsi que détecter les attaques et y répondre. Par ailleurs, Azure Security Center accède aux configurations existantes des services Azure pour fournir des recommandations en matière de configuration et de service. Cela contribue à l’amélioration du dispositif de sécurité et à la protection des données.

Azure Security Center utilise diverses fonctionnalités de détection pour avertir les clients des attaques potentielles qui ciblent leur environnement. Ces alertes fournissent de précieuses informations sur le déclencheur de l’alerte, les ressources ciblées et la source de l’attaque. Azure Security Center dispose d’un ensemble d’alertes de sécurité prédéfinies qui sont déclenchées lorsqu’une menace ou une activité suspecte a lieu. Les règles d’alerte personnalisées dans Azure Security Center permettent aux clients de définir de nouvelles alertes de sécurité en fonction des données déjà collectées à partir de leur environnement.

Azure Security Center fournit des incidents et des alertes de sécurité hiérarchisés, ce qui permet aux clients de découvrir et de résoudre plus facilement les problèmes de sécurité potentiels. Un rapport de renseignement sur les menaces est généré pour chaque menace détectée afin d’aider les équipes de réponse aux incidents à examiner et à corriger les menaces.

Azure Application Gateway : l’architecture réduit le risque de vulnérabilités de sécurité à l’aide d’un Azure Application Gateway avec un pare-feu d’applications web configuré et l’ensemble de règles OWASP activé. Les autres fonctionnalités incluent notamment :

• SSL de bout en bout
• Activer le déchargement SSL
• Désactiver TLS v1.0 et v1.1
• Pare-feu d’applications web (mode de prévention)
• Mode de prévention avec l’ensemble de règles OWASP 3.0
• Activer la journalisation des diagnostics
• Sondes d’intégrité personnalisées
• Azure Security Center et Azure Advisor fournissent une protection et des notifications supplémentaires. Azure Security Center fournit également un système de réputation.

Journalisation et audit

Les services Azure assurent une journalisation complète de l’activité du système et des utilisateurs, ainsi que de l’intégrité du système :

• Journaux d’activité : les journaux d’activité fournissent des informations sur les opérations effectuées sur les ressources d’un abonnement. Les journaux d’activité peuvent aider à déterminer l’initiateur, l’heure d’exécution et l’état d’une opération.
• Journaux de diagnostic : les journaux de diagnostic incluent tous les journaux émis par chaque ressource. Ils incluent les journaux des événements système de Windows, les journaux d’activité de Stockage Azure, les journaux d’audit du Key Vault, ainsi que les journaux d’activité de pare-feu et d’accès d’Application Gateway. Tous les journaux de diagnostic sont consignés dans un compte de stockage Azure centralisé et chiffré pour l’archivage. L’utilisateur peut configurer la rétention jusqu’à 730 jours pour répondre aux exigences de rétention spécifiques de l’entreprise.

Journaux Azure Monitor : ces journaux sont consolidés dans les journaux Azure Monitor pour le traitement, le stockage et la création de rapports de tableau de bord. Une fois collectées, les données sont organisées dans différentes tables en fonction du type de données dans des espaces de travail Log Analytics. Toutes les données sont ainsi analysées ensemble, quelle que soit leur source d’origine. Par ailleurs, Azure Security Center s’intègre à Journaux Azure Monitor pour permettre aux clients d’utiliser des requêtes Kusto ; ils peuvent alors accéder à leurs données d’événement de sécurité et les combiner avec des données provenant d’autres services.

Les solutions de supervision Azure suivantes sont incluses dans cette architecture :

• Active Directory Assessment : la solution Active Directory Health Check évalue les risques et l’intégrité des environnements de serveur à intervalles réguliers, et fournit une liste hiérarchisée de suggestions spécifiques pour l’infrastructure de serveur déployée.
• SQL Assessment : la solution SQL Health Check évalue les risques et l’intégrité des environnements de serveur à intervalles réguliers, et fournit aux clients une liste hiérarchisée de suggestions spécifiques pour l’infrastructure de serveur déployée.
• Intégrité de l’agent : la solution Agent Health signale le nombre d’agents déployés et leur distribution géographique, ainsi que le nombre d’agents qui ne répondent pas et le nombre d’agents qui envoient des données opérationnelles.
• Activity Log Analytics : la solution Activity Log Analytics facilite l’analyse des journaux d’activité Azure de tous les abonnements Azure d’un client.

Azure Automation : Azure Automation stocke, exécute et gère les runbooks. Dans cette solution, les runbooks aident à collecter les journaux d’activité d’Azure SQL Database. La solution Automation Change Tracking permet aux clients d’identifier facilement les changements dans l’environnement.

Azure Monitor : Azure Monitor permet aux utilisateurs de suivre les performances, d’assurer le maintien de la sécurité et d’identifier les tendances en permettant aux organisations d’auditer, de créer des alertes et d’archiver des données, notamment en lien avec le suivi des appels d’API dans leurs ressources Azure.

Application Insights : Application Insights est un service extensible de gestion des performances des applications pour les développeurs web sur plusieurs plateformes. La solution Application Insights détecte des anomalies de performances et permet aux clients de surveiller leurs applications web dynamiques. Elle inclut de puissants outils d’analyse qui aident les clients à diagnostiquer les problèmes et à comprendre ce que les utilisateurs font réellement avec leurs applications. Elle a été conçue pour aider les clients à améliorer continuellement les performances et l’ergonomie des applications.

Modèle de menace

Le diagramme de flux de données de cette architecture de référence figure ci-dessous et est également disponible en téléchargement. Ce modèle peut aider les clients à comprendre les points de risque potentiel de l’infrastructure du système lors de l’apport de modifications.

Documentation sur la conformité

Le Blueprint de sécurité et de conformité Azure – Matrice de responsabilités des clients pour PCI DSS répertorie les responsabilités du contrôleur et du responsable de traitement pour toutes les exigences de PCI DSS 3.2.

Le Blueprint de sécurité et de conformité Azure - Matrice d’implémentation d’application web PaaS pour PCI DSS fournit des informations sur les exigences de PCI DSS 3.2 que prend en compte l’architecture d’application web PaaS, y compris une description détaillée de la façon dont l’implémentation répond aux exigences de chaque article traité.

Déployer cette solution

Cette solution Azure Security and Compliance Blueprint Automation se compose de fichiers de configuration JSON et de scripts PowerShell qui sont gérés par le service d’API d’Azure Resource Manager pour déployer des ressources dans Azure. Des instructions détaillées sur le déploiement sont disponibles ici.

Démarrage rapide

1. Clonez ou téléchargez ce dépôt GitHub sur votre station de travail locale.

2. Examinez 0-Setup-AdministrativeAccountAndPermission.md et exécutez les commandes fournies.

3. Déployez une solution de test avec les exemples de données Contoso ou pilotez un environnement de production initial.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Ce script déploie des ressources Azure pour la démonstration d’une boutique en ligne à l’aide d’exemples de données Contoso.
   • 1-DeployAndConfigureAzureResources.ps1
     • Ce script déploie les ressources Azure nécessaires afin de prendre en charge un environnement de production pour une application web appartenant au client. Cet environnement doit être personnalisé par le client en fonction des exigences de son organisation.

Instructions et recommandations

VPN et ExpressRoute

Un tunnel VPN sécurisé ou un routage ExpressRoute doivent être configurés pour établir une connexion sécurisée aux ressources déployées en lien avec cette architecture de référence d’application web PaaS. En configurant correctement un VPN ou un routage ExpressRoute, les clients peuvent ajouter une couche de protection au niveau des données en transit.

En implémentant un tunnel VPN sécurisé avec Azure, il est possible de créer une connexion privée virtuelle entre un réseau local et un réseau virtuel Azure. Cette connexion via Internet permet aux clients de « tunneler » des informations en toute sécurité par le biais d’une liaison chiffrée entre leur réseau et Azure. La technologie de réseau privé virtuel de site à site, aussi sécurisée qu’éprouvée, est déployée par des entreprises de toutes tailles depuis des décennies. Le mode tunnel IPsec est utilisé dans cette option comme mécanisme de chiffrement.

Étant donné que le trafic à l’intérieur du tunnel VPN transite par Internet avec un VPN de site à site, Microsoft offre une autre option de connexion encore plus sécurisée. Azure ExpressRoute est une liaison réseau étendu dédiée entre Azure et un emplacement local ou un fournisseur d’hébergement Exchange. Les connexions ExpressRoute ne transitent pas par Internet, et offrent de meilleurs niveaux de fiabilité, de rapidité, de latence et de sécurité que les connexions classiques via Internet. En outre, comme il s’agit d’une connexion directe du fournisseur de télécommunications du client, les données ne circulent pas sur Internet et n’y sont donc pas exposées.

Les meilleures pratiques concernant l’implémentation d’un réseau hybride sécurisé qui étend un réseau local à Azure sont décrites ici.

Clause d'exclusion de responsabilité

• Ce document est fourni à titre d’information uniquement. MICROSOFT N’ACCORDE AUCUNE GARANTIE EXPRESSE, IMPLICITE OU STATUTAIRE EN LIEN AVEC LES INFORMATIONS CONTENUES DANS CE DOCUMENT. Ce document est fourni « as-is ». Les informations et vues exprimées dans ce document, y compris l’URL et d’autres références de site Web Internet, peuvent changer sans préavis. Les clients qui lisent ce document assument les risques liés à son utilisation.
• Ce document n’accorde aux clients aucun droit légal de propriété intellectuelle sur les produits ou solutions Microsoft.
• Les clients peuvent copier et utiliser ce document pour un usage interne, à titre de référence.
• Certaines recommandations contenues dans ce document peuvent entraîner une augmentation des taux d’utilisation des données, des réseaux ou des ressources de calcul dans Azure, débouchant sur des coûts de licence ou d’abonnement supplémentaires.
• Cette architecture constitue une base que les clients peuvent modifier en fonction de leurs besoins. Elle ne doit pas être utilisée telle quelle dans un environnement de production.
• Développé en tant que référence, ce document ne doit pas être utilisé pour définir tous les moyens par lesquels un client peut satisfaire à des réglementations et exigences de conformité spécifiques. Les clients doivent rechercher une assistance juridique auprès de leur organisation pour connaître les implémentations client approuvées.