Vue d'ensemble : appliquer des principes de Confiance Zéro à Azure IaaS

Résumé : Pour appliquer les principes de Confiance Zéro aux composants et à l’infrastructure d’IaaS Azure, vous devez d’abord comprendre l’architecture de référence courante et les composants du stockage Azure, des machines virtuelles et des réseaux virtuels « spoke and hub ».

Cette série d'articles vous aide à appliquer les principes de Confiance Zéro à vos charges de travail dans Microsoft Azure IaaS en fonction d'une approche multidisciplinaire pour appliquer les principes de Confiance Zéro. La confiance zéro est une stratégie de sécurité. Ce n’est ni un produit ni un service, mais plutôt une approche de conception et d’implémentation de l’ensemble des principes de sécurité suivants :

• Vérifier explicitement
• Utiliser le droit d'accès minimal
• Supposer une violation

L’implémentation de l’état d’esprit de Confiance Zéro qui consiste à « présumer une violation, ne jamais faire confiance, toujours vérifier » nécessite certaines modifications à l’infrastructure cloud, à la stratégie de déploiement et à l’implémentation.

Cette série initiale de cinq articles (dont cette introduction) vous montre comment mettre en œuvre l’approche de Confiance Zéro dans un scénario métier informatique courant basé sur des services d’infrastructure. Le travail est divisé en unités qui peuvent être configurées ensemble comme suit :

• Azure Storage
• Machines virtuelles
• Réseaux virtuels Spoke pour les charges de travail basées sur des machines virtuelles
• Réseaux virtuels Hub pour prendre en charge l'accès à de nombreuses charges de travail dans Azure

Pour plus d’informations, consultez Appliquer les principes de Confiance Zéro à Azure Virtual Desktop.

Remarque

D'autres articles seront ajoutés à cette série à l'avenir, notamment la façon dont les organisations peuvent appliquer une approche Confiance Zéro aux applications, à la mise en réseau, aux données et aux services DevOps basés sur des environnements d'entreprise informatiques réels.

Important

Ces conseils sur la Confiance Zéro explique comment utiliser et configurer plusieurs solutions et fonctionnalités de sécurité disponibles sur Azure pour une architecture de référence. Plusieurs autres ressources fournissent également des conseils de sécurité pour ces solutions et fonctionnalités, notamment :

• Microsoft Cloud Security Benchmark
• Base de référence de sécurité Microsoft Cloud

Pour décrire comment appliquer une approche Confiance Zéro, ce guide cible un modèle courant utilisé en production par de nombreuses organisations : une application basée sur des machines virtuelles hébergée dans un réseau virtuel (et une application IaaS). Il s’agit d’un modèle courant pour les organisations qui migrent des applications locales vers Azure. Cette procédure est également appelée « lift-and-shift ». L’architecture de référence inclut tous les composants nécessaires pour la prise en charge de cette application, y compris les services de stockage et un VNet de hub.

L'architecture de référence reflète un modèle de déploiement courant dans les environnements de production. Elle n’est pas basée sur les zones d’atterrissage recommandées à l’échelle de l’entreprise dans la Cloud Adoption Framework (CAF), bien que la plupart des meilleures pratiques de la CAF soient incluses dans l’architecture de référence, comme l’utilisation d’un VNet dédié à l’hébergement des composants qui répartissent l’accès à l’application (VNet de hub).

Si vous souhaitez en savoir plus sur les conseils visant les zones d’atterrissage Azure de la Cloud Adoption Framework, consultez les ressources suivantes :

• Bien démarrer avec le Cloud Adoption Framework
• Qu'est-ce qu'une zone d'atterrissage Azure ?

Architecture de référence

La figure suivante montre l'architecture de référence pour ces conseils Confiance Zéro.

Cette architecture contient :

• Plusieurs composants et éléments IaaS, y compris différents types d'utilisateurs et de consommateurs informatiques accédant à l'application à partir de différents sites. tels qu'Azure, Internet, des sites locaux et des filiales.
• Une application commune à trois niveaux contenant une couche front-end, une couche Application et une couche Données. Tous les niveaux s'exécutent sur des machines virtuelles au sein d'un réseau virtuel nommé SPOKE. L'accès à l'application est protégé par un autre réseau virtuel nommé HUB qui contient des services de sécurité supplémentaires.
• Certains services PaaS les plus utilisés sur Azure qui prennent en charge des applications d’IaaS, notamment le contrôle d’accès en fonction du rôle (RBAC, role-based access control) et Microsoft Entra ID, contribuant à l’approche de sécurité de Confiance Zéro.
• Des objets blob de stockage et des fichiers de stockage qui fournissent un stockage d'objets pour les applications et les fichiers partagés par les utilisateurs.

Cette série d’articles explique les recommandations relatives à l’implémentation de la Confiance Zéro pour l’architecture de référence en traitant chacun des éléments plus volumineux hébergés dans Azure, tel qu’illustré ici.

Le diagramme présente les grands domaines de l'architecture qui sont traités par chaque article de cette série :

1. Services de stockage Azure
2. Machines virtuelles
3. Réseaux virtuels Spoke
4. Réseaux virtuels Hub

Il est important de noter que les conseils de cette série d'articles sont plus spécifiques pour ce type d'architecture que les conseils fournis dans les architectures de Cloud Adoption Framework et de la zone d'atterrissage Azure. Si vous avez appliqué les conseils dans l’une de ces ressources, veillez à consulter également cette série d’articles pour obtenir d’autres recommandations.

Vue d'ensemble des composants Azure

Le diagramme d'architecture de référence fournit une vue topologique de l'environnement. Il est également utile de voir logiquement comment chacun des composants peut être organisé dans l'environnement Azure. Le diagramme suivant permet d'organiser vos abonnements et groupes de ressources. Vos abonnements Azure peuvent être organisés différemment.

Dans ce diagramme, l’infrastructure Azure est contenue dans un locataire Entra ID. Le tableau suivant décrit les différentes sections présentées dans le diagramme.

• Abonnements Azure

  Vous pouvez distribuer les ressources dans plusieurs abonnements, où chaque abonnement peut contenir différents rôles, tels que l'abonnement réseau ou l'abonnement de sécurité. Cette procédure est décrite dans la documentation du Cloud Adoption Framework et de la zone d'atterrissage Azure précédemment référencée. Les différents abonnements peuvent également contenir différents environnements, notamment la production, le développement et les environnements de test. Cela dépend de comment vous souhaitez séparer votre environnement et le nombre de ressources dont vous disposerez dans chacun d’entre eux. Un ou plusieurs abonnements peuvent être gérés ensemble à l'aide d'un groupe d'administration. Cela vous donne la possibilité d’appliquer des autorisations avec le RBAC et des stratégies Azure à un groupe d’abonnements, au lieu de configurer individuellement chaque abonnement.

• Microsoft Defender pour le cloud et Azure Monitor

  Pour chaque abonnement Azure, un ensemble de solutions Azure Monitor et de Defender pour le cloud est disponible. Si vous gérez ces abonnements par le biais d’un groupe d’administration, vous avez la possibilité de consolider toutes les fonctionnalités Azure Monitor et Defender pour le cloud dans un seul portail. Par exemple, Secure Score, une fonctionnalité assurée par Defender pour le cloud, est consolidée pour tous vos abonnements, avec un groupe d’administration comme étendue.

• Groupe de ressources de stockage (1)

  Le compte de stockage est contenu dans un groupe de ressources dédié. Vous pouvez isoler chaque compte de stockage dans un groupe de ressources différent pour un contrôle d'autorisation plus précis. Les services de stockage Azure sont contenus dans un compte de stockage dédié. Vous pouvez avoir un compte de stockage pour chaque type de charge de travail de stockage, par exemple un objet Stockage (également appelé Stockage Blob) et Azure Files. Cela fournit un contrôle d'accès plus précis et peut améliorer les performances.

• Groupe de ressources de machines virtuelles (2)

  Les machines virtuelles sont contenues dans un groupe de ressources. Vous pouvez également placer chaque type de machine virtuelle pour les niveaux de charge de travail tels que le front-end, l'application et les données dans différents groupes de ressources pour isoler davantage le contrôle d'accès.

• Groupes de ressources de réseau virtuel Spoke (3) et Hub (4) dans des abonnements distincts

  Le réseau et les autres ressources pour chacun des réseaux virtuels de l'architecture de référence sont isolés au sein de groupes de ressources dédiés pour les réseaux virtuels Spoke et Hub. Cette organisation fonctionne bien lorsque la responsabilité de ces ressources incombent à différentes équipes. Une autre option consiste à organiser ces composants en plaçant toutes les ressources réseau dans un groupe de ressources et les ressources de sécurité dans un autre. Cela dépend de la façon dont votre organisation est configurée pour gérer ces ressources.

Protection contre les menaces avec Microsoft Defender pour le cloud

Microsoft Defender pour le cloud est une solution de détection et réponse étendues (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d'alerte sur l'ensemble de votre environnement. Defender pour le cloud est destiné à être utilisé avec Microsoft Defender XDR pour fournir une protection corrélée plus vaste de votre environnement, tel qu’illustrée dans le diagramme suivant.

Comme le montre le diagramme :

• Defender pour le cloud est activé pour un groupe d'administration qui inclut plusieurs abonnements Azure.
• Microsoft Defender XDR est activé pour les applications et les données Microsoft 365, les applications SaaS intégrées à Microsoft Entra ID et les serveurs AD DS (Active Directory Domain Services) locaux.

Pour plus d'informations sur la configuration des groupes d'administration et l'activation de Defender pour le cloud, consultez :

• Organiser des abonnements en groupes d'administration et attribuer des rôles à des utilisateurs
• Activer Defender pour le cloud sur tous les abonnements d'un groupe d'administration

Solutions de sécurité dans cette série d'articles

Confiance Zéro implique l'application conjointe de plusieurs disciplines de sécurité et de protection des données. Dans cette série d'articles, cette approche pluridisciplinaire est appliquée à chacune des unités de travail pour les composants d'infrastructure comme suit :

Appliquer les principes Confiance Zéro au stockage Azure

1. Protéger les données dans les trois modes suivants : données au repos, données en transit et données en cours d'utilisation
2. Vérifier les utilisateurs et contrôler l'accès aux données de stockage avec les privilèges minimum
3. Séparer logiquement ou isoler les données critiques avec des contrôles réseau
4. Utiliser Defender pour le stockage pour la détection et la protection automatisées des menaces

Appliquer les principes Confiance Zéro à des machines virtuelles dans Azure

1. Configurer l'isolation logique pour les machines virtuelles
2. Tirer profit du contrôle d'accès en fonction du rôle (RBAC)
3. Sécuriser les composants de démarrage de machine virtuelle
4. Activer les clés gérées par le client et le chiffrement double
5. Contrôler les applications installées sur les machines virtuelles
6. Configurer l'accès sécurisé
7. Configurer la maintenance sécurisée des machines virtuelles
8. Activer la détection et la protection avancées contre les menaces

Appliquer les principes de Confiance Zéro à un réseau virtuel Spoke dans Azure

1. Tirer parti de du RBAC de Microsoft Entra ou configurer des rôles personnalisés pour les ressources réseau
2. Isoler l'infrastructure dans son propre groupe de ressources
3. Créer un groupe de sécurité réseau pour chaque sous-réseau
4. Créer des groupes de sécurité d'application pour chaque rôle de machine virtuelle
5. Sécuriser le trafic et les ressources au sein du réseau virtuel
6. Sécuriser l'accès au réseau virtuel et à l'application
7. Activer la détection et la protection avancées contre les menaces

Appliquer les principes de Confiance Zéro à un réseau virtuel Hub dans Azure

1. Sécuriser le pare-feu Azure Premium
2. Déployer Azure DDoS Protection Standard
3. Configurer le routage de passerelle réseau vers le pare-feu
4. Configurer la protection contre les menaces

Formation recommandée pour la Confiance Zéro

Voici les modules d'e formation recommandés pour la Confiance Zéro.

Gestion et gouvernance d'Azure

Formation

Décrire la gestion et la gouvernance d'Azure

La formation Principes de base de Microsoft Azure est composée de trois parcours d'apprentissage : Principes de base de Microsoft Azure : Décrire les concepts du cloud, Décrire l'architecture et les services Azure et Décrire la gestion et la gouvernance Azure. Notions de base Microsoft Azure : décrire la gestion et la gouvernance Azure est le troisième parcours d'apprentissage de Microsoft Azure. Ce parcours d'apprentissage explore les ressources de gestion et de gouvernance disponibles pour vous aider à gérer vos ressources Cloud et sur site. Ce parcours d'apprentissage vous aide à vous préparer à l'Examen AZ-900 : Fondamentaux de Microsoft Azure.

Début >

Configurer Azure Policy

Formation	Configurer Azure Policy
	Découvrez comment configurer Azure Policy pour implémenter les exigences de conformité. Dans ce module, vous allez découvrir comment : Créer des groupes d'administration pour cibler des stratégies et dépenser des budgets. Implémenter Azure Policy avec des définitions de stratégie et d'initiative. Délimiter l'étendue des stratégies Azure et déterminer leur conformité.

Début >

Gérer les opérations de sécurité

Formation	Gérer les opérations de sécurité
	Une fois que vous avez déployé et sécurisé votre environnement Azure, découvrez comment superviser, utiliser et améliorer en permanence la sécurité de vos solutions. Ce parcours d'apprentissage vous aide à vous préparer à l'Examen AZ-500 : Technologies de sécurité Microsoft Azure.

Début >

Configurer la sécurité du stockage

Formation

Configurer la sécurité du stockage

Découvrez comment configurer les fonctionnalités de sécurité courantes du stockage Azure, telles que les signatures d'accès au stockage. Dans ce module, vous allez découvrir comment : Configurez une signature d'accès partagé (SAP), notamment les paramètres URI (Uniform Resource Identifier) et SAS. Configurer le chiffrement du Stockage Azure. Implémenter des clés gérées par le client. Recommander des opportunités d'améliorer la sécurité du Stockage Azure.

Début >

Configurer le pare-feu Azure

Formation	Configurer le pare-feu Azure
	Vous allez apprendre à configurer le Pare-feu Azure, notamment les règles de pare-feu. À la fin de ce module, vous pourrez : Déterminer quand utiliser le Pare-feu Azure. Implémenter le Pare-feu Azure, y compris des règles de pare-feu.

Début >

Pour plus de formation sur la sécurité dans Azure, consultez ces ressources dans le catalogue Microsoft :
Sécurité dans Azure | Microsoft Learn

Étapes suivantes

Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :

• Pour Azure IaaS :
  • Azure Storage
  • Machines virtuelles
  • Réseaux virtuels Spoke
  • Réseaux virtuels Hub
  • Réseaux virtuels Spoke avec les services PaaS Azure
• Azure Virtual Desktop
• Azure Virtual WAN
• Applications IaaS dans Amazon Web Services
• Microsoft Sentinel et Microsoft Defender XDR

Illustrations techniques

Cette affiche fournit une vue d'ensemble, sur une seule page, des composants d'Azure IaaS en tant qu'architectures de référence et logiques, ainsi que les étapes permettant de s'assurer que ces composants ont les principes « ne jamais faire confiance, toujours vérifier » du modèle de Confiance Zéro appliqué.

Article	Guides de solution connexes
PDF | Visio Mise à jour : mars 2024	Services de stockage Azure Machines virtuelles Réseaux virtuels Spoke Réseaux virtuels Hub

Cette affiche fournit les architectures de référence et logiques et les configurations détaillées des composants distincts de Confiance Zéro pour Azure IaaS. Utilisez les pages de cette affiche pour des services informatiques ou des spécialités distinctes ou, avec la version Microsoft Visio du fichier, puis personnalisez les diagrammes pour votre infrastructure.

Article	Guides de solution connexes
PDF | Visio Mise à jour : mars 2024	Services de stockage Azure Machines virtuelles Réseaux virtuels Spoke Réseaux virtuels Hub

Pour obtenir des illustrations techniques supplémentaires, cliquez ici.

Références

Consultez les liens suivants pour en savoir plus sur les différentes technologies et les services évoqués dans cet article.

• Qu'est-ce qu'Azure - Microsoft Cloud Services
• Azure Infrastructure as a Service (IaaS)
• Machines virtuelles pour Linux et Windows
• Introduction à Azure Storage
• Réseau virtuel Azure
• Présentation de la sécurité Azure
• Conseils relatifs à l'implémentation de Confiance Zéro
• Présentation du point de référence de sécurité Microsoft Cloud.
• Vue d'ensemble des bases de référence de sécurité pour Azure
• Créer la première couche de défense avec les services de sécurité Azure
• Architectures de référence de Microsoft pour la cybersécurité