Vue d’ensemble de la sécurité des machines virtuelles Azure

Cet article fournit une vue d’ensemble des principales fonctionnalités de sécurité Azure pouvant être utilisées avec les machines virtuelles.

Vous pouvez utiliser des machines virtuelles Azure pour déployer un large éventail de solutions informatiques et ce, en toute flexibilité. Le service prend en charge Microsoft Windows, Linux, Microsoft SQL Server, Oracle, IBM, SAP et Azure BizTalk Services. Vous pouvez ainsi déployer n’importe quelle charge de travail et n’importe quel langage sur quasiment n’importe quel système d’exploitation.

Une machine virtuelle Azure vous donne la flexibilité de la virtualisation sans devoir acheter le matériel physique qui exécute la machine virtuelle ni en assurer la maintenance. Vous pouvez créer et déployer vos applications en ayant la certitude que vos données sont protégées au sein de centres de données hautement sécurisés.

Avec Azure, vous pouvez créer des solutions sécurisées et conformes qui :

• Protègent vos machines virtuelles contre les virus et logiciels malveillants.
• Chiffrent vos données sensibles.
• Sécurisent le trafic réseau.
• Identifient et détectent les menaces.
• Respectent les exigences en matière de conformité.

Logiciel anti-programme malveillant

Azure met à votre disposition des logiciels anti-programmes malveillants provenant de fournisseurs de sécurité tels que Microsoft, Symantec, Trend Micro et Kaspersky. Ces logiciels permettent de protéger vos machines virtuelles contre les fichiers malveillants, les logiciels de publicité et d’autres menaces.

Microsoft Antimalware pour Azure Cloud Services et Machines virtuelles offre une fonctionnalité de protection en temps réel qui permet d’identifier et de supprimer les virus, logiciels espions et autres logiciels malveillants. Microsoft Antimalware pour Azure fournit des alertes configurables lorsqu’un logiciel malveillant ou indésirable connu tente de s’installer ou de s’exécuter sur vos systèmes Azure.

Microsoft Antimalware est une solution d’agent unique pour les applications et les environnements client. Elle est conçue pour s’exécuter en arrière-plan sans intervention humaine. Vous pouvez déployer la protection en fonction des besoins de vos charges de travail d’application, avec une configuration de base sécurisée par défaut ou une configuration personnalisée avancée, y compris pour la surveillance anti-programmes malveillants.

En savoir plus sur Microsoft Antimalware pour Azure et les fonctionnalités de base disponibles.

Pour en savoir plus sur les logiciels anti-programme malveillant pour protéger vos machines virtuelles :

• Déploiement de solutions anti-programmes malveillants sur des machines virtuelles Azure (en anglais)
• Installation et configuration de Trend Micro Deep Security comme service sur une machine virtuelle Windows
• Solutions de sécurité dans Azure Marketplace

Pour une protection encore plus puissante, envisagez d’utiliser Microsoft Defender for Endpoint. Avec Defender for Endpoint, vous obtenez :

• Réduction de la surface d’attaque
• Protection de nouvelle génération
• Protection et réponse du point de terminaison
• Investigation et correction automatisées
• Degré de sécurisation
• Recherche avancée
• Gestion et API
• Protection contre les menaces Microsoft

En savoir plus : Bien démarrer avec Microsoft Defender for Endpoint

Module de sécurité matériel

Une meilleure clé de sécurité permet d’améliorer les protections par chiffrement et authentification. Vous pouvez simplifier la gestion et la sécurité de vos clés et secrets critiques en les stockant dans Azure Key Vault.

Key Vault offre la possibilité de stocker vos clés dans des modules de sécurité matériels (HSM) certifiés selon les normes validées FIPS 140. Vos clés de chiffrement SQL Server pour la sauvegarde ou le chiffrement transparent des données peuvent toutes être stockées dans Key Vault avec les clés ou secrets de vos applications. Les autorisations et l’accès à ces éléments protégés sont gérés via Microsoft Entra ID.

En savoir plus :

• Qu’est-ce qu’Azure Key Vault ?
• Blog Azure Key Vault

Chiffrement du disque de machine virtuelle

Azure Disk Encryption est une nouvelle fonctionnalité de chiffrement de vos disques de machine virtuelle Windows et Linux. Azure Disk Encryption utilise la fonctionnalité standard BitLocker Windows et la fonctionnalité dm-crypt de Linux pour fournir le chiffrement de volume du système d’exploitation et des disques de données.

La solution est intégrée à Azure Key Vault, ce qui vous permet de contrôler et de gérer les clés et les secrets de chiffrement de disque dans votre abonnement Key Vault. Elle garantit que toutes les données sur les disques de vos machines virtuelles sont chiffrées au repos dans le stockage Azure.

En savoir plus :

• Azure Disk Encryption pour les machines virtuelles Linux ou Azure Disk Encryption pour les machines virtuelles Windows.
• Démarrage rapide : chiffrer une machine virtuelle IaaS Linux avec Azure PowerShell

Sauvegarde de machine virtuelle

Sauvegarde Azure est une solution évolutive qui permet de protéger les données de vos applications, sans investissement en capital et avec des frais de fonctionnement minimaux. Les erreurs rencontrées par les applications peuvent endommager vos données et les erreurs humaines peuvent introduire des bogues dans vos applications. Avec Sauvegarde Azure, vos machines virtuelles exécutant Windows et Linux sont protégées.

En savoir plus :

• Qu’est-ce que Sauvegarde Azure ?
• Service Sauvegarde Azure – Forum aux questions

Azure Site Recovery

Une partie importante de la stratégie de continuité des activités et de récupération d’urgence de votre organisation consiste à savoir comment maintenir les charges de travail et les applications d’entreprise opérationnelles lorsque des interruptions planifiées et non planifiées se produisent. Azure Site Recovery aide à coordonner la réplication, le basculement et la récupération des charges de travail et des applications afin qu’elles soient disponibles à partir d’un site secondaire si votre site principal tombe en panne.

Site Recovery :

• Simplifie votre stratégie de continuité d'activité et de reprise d'activité : Site Recovery facilite la gestion de la réplication, du basculement et de la récupération de plusieurs charges de travail et applications métier à partir d’un emplacement unique. Site Recovery orchestre la réplication et le basculement, sans intercepter les données de vos applications ni posséder des informations à leur sujet.
• Fournit une réplication flexible : À l’aide de Site Recovery, vous pouvez répliquer des charges de travail s’exécutant sur des machines virtuelles Hyper-V et VMware, et des serveurs physiques Windows/Linux.
• Prend en charge le basculement et la récupération : Site Recovery fournit des tests de basculement pour prendre en charge des exercices de récupération d’urgence sans affecter les environnements de production. Vous pouvez également exécuter des basculements planifiés avec une perte de données zéro pour les interruptions attendues, ou des basculements non planifiés avec une perte de données minimale (en fonction de la fréquence de réplication) pour les incidents inattendus. Après le basculement, vous pouvez procéder à une restauration automatique sur vos sites principaux. Site Recovery fournit des plans de récupération qui peuvent inclure des scripts et des classeurs Azure Automation afin que vous puissiez personnaliser le basculement et la récupération d’applications multiniveaux.
• Élimine les centres de données secondaires : Vous pouvez répliquer vos éléments vers un site local secondaire ou sur Azure. L’utilisation d’Azure comme destination de la récupération d’urgence élimine le coût et la complexité associés à la gestion d’un site secondaire. Les données répliquées sont stockées dans Azure Storage.
• S’intègre aux technologies BCDR existantes : Site Recovery est compatible avec les fonctionnalités BCDR d’autres applications. Par exemple, vous pouvez utiliser Site Recovery pour aider à protéger le serveur principal SQL Server des charges de travail d’entreprise. Cela inclut la prise en charge native de SQL Server AlwaysOn pour gérer le basculement des groupes de disponibilité.

En savoir plus :

• Qu’est-ce que le service Azure Site Recovery ?
• Comment Azure Site Recovery fonctionne-t-il ?
• Quelles sont les charges de travail protégées par Azure Site Recovery ?

Réseau virtuel

Les machines virtuelles nécessitent une connectivité réseau. Pour cela, les machines virtuelles doivent être connectées à un réseau virtuel Azure.

Un réseau virtuel Azure est une construction logique basée sur le réseau physique Azure. Chaque réseau virtuel logique Azure est isolé des autres réseaux virtuels Azure. Cette isolation permet de garantir que le trafic réseau dans vos déploiements n’est pas accessible aux autres clients Microsoft Azure.

En savoir plus :

• Vue d’ensemble de la sécurité réseau d’Azure
• Présentation du réseau virtuel
• Fonctionnalités de mise en réseau et partenariats pour les scénarios d’entreprise

Gestion des stratégies de sécurité et création de rapports

Microsoft Defender pour le cloud vous aide à prévenir, détecter et répondre aux menaces. Defender pour le cloud offre une visibilité et un contrôle complets sur la sécurité de vos ressources Azure. Il fournit des fonctions intégrées de surveillance de la sécurité et de gestion des stratégies sur vos abonnements Azure. Il permet de détecter les menaces qui pourraient passer inaperçues et fonctionne avec un vaste écosystème de solutions de sécurité.

Defender pour le cloud vous permet d’optimiser et de surveiller la sécurité de vos machines virtuelles grâce aux opérations suivantes :

• Proposition de suggestions de sécurité pour les machines virtuelles. Les suggestions de sécurité incluent l’application des mises à jour système, la configuration des points de terminaison ACL, l’activation des logiciels anti-programme malveillant, l’activation des groupes de sécurité réseau et l’application du chiffrement de disque.
• Surveillance de l’état de vos machines virtuelles.

En savoir plus :

• Présentation de Microsoft Defender pour le cloud
• Forum aux questions sur Microsoft Defender pour le cloud
• Guide des opérations et planification de Microsoft Defender pour le cloud

Conformité

Azure Virtual Machines bénéficie des certifications FISMA, FedRAMP, HIPAA, PCI DSS Level 1 et de celles d’autres programmes majeurs de conformité. Cette certification facilite le respect des exigences de conformité pour vos propres applications Azure, et donne à votre entreprise la possibilité de se conformer à un large éventail d’exigences réglementaires internationales et locales.

En savoir plus :

• Centre de gestion de la confidentialité Microsoft : Conformité
• Cloud de confiance : Sécurité, confidentialité et conformité dans Microsoft Azure

Calcul confidentiel

Même si l’informatique confidentielle ne fait pas techniquement partie de la sécurité des machines virtuelles, le concept de sécurité de la machine virtuelle s’inscrit dans le niveau supérieur de sécurité du « calcul ». L’informatique confidentielle appartient à la catégorie de sécurité « calcul ».

L’informatique confidentielle garantit que lorsque les données sont affichées « en clair », ce qui est requis pour un traitement efficace, les données sont protégées à l’intérieur d’un environnement d’exécution approuvé https://en.wikipedia.org/wiki/Trusted_execution_environment (TEE, également appelé une enclave), dont voici un exemple dans la figure ci-dessous.

Les environnements TEE s’assurent qu’il n’existe aucun moyen d’afficher les données ou les opérations de l’extérieur, même avec un débogueur. Elles garantissent même que seul le code autorisé peut accéder aux données. Si le code est modifié ou altéré, les opérations sont refusées et l’environnement est désactivé. L’environnement TEE met en œuvre ces protections tout au long de l’exécution du code qu’il contient.

En savoir plus :

• Présentation de l’informatique confidentielle Azure
• Informatique confidentielle Azure

Étapes suivantes

En savoir plus sur les meilleures pratiques en matière de sécurité pour les machines virtuelles et les systèmes d’exploitation.