Appliquer les principes Confiance Zéro à des machines virtuelles dans Azure
Résumé : Pour appliquer les principes de Confiance Zéro aux machines virtuelles Azure, vous devez configurer l’isolation logique avec des groupes de ressources dédiés, tirer parti du contrôle d’accès en fonction du rôle (RBAC), sécuriser les composants de démarrage de machine virtuelle, activer les clés gérées par le client et le chiffrement double, contrôler les applications installées, configurer l’accès sécurisé et la maintenance des machines virtuelles, mais également activer la détection avancée des menaces et la protection contre celles-ci.
Cet article fournit des étapes pour appliquer les principes de Confiance Zéro aux machines virtuelles dans Azure :
| Principe de Confiance Zéro | Définition | Respecté par |
|---|---|---|
| Vérifier explicitement | Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. | Utilisez l'accès sécurisé. |
| Utiliser le droit d'accès minimal | Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. | Tirez parti du contrôle d'accès en fonction du rôle (RBAC) et contrôlez les applications s'exécutant sur des machines virtuelles. |
| Supposer une violation | Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. | Isolez les machines virtuelles avec des groupes de ressources, sécurisez leurs composants, utilisez un chiffrement double et activez la détection et la protection avancées contre les menaces. |
Cet article fait partie d'une série d'articles qui montrent comment appliquer les principes de Confiance Zéro dans un environnement azure qui inclut un réseau virtuel Spoke qui héberge une charge de travail basée sur des machines virtuelles. Pour une vue d'ensemble, consultez Appliquer des principes de Confiance Zéro à l'infrastructure Azure.
Architecture logique pour les machines virtuelles
Les principes de Confiance Zéro pour les machines virtuelles sont appliqués dans l'architecture logique, du niveau du locataire et du répertoire jusqu'à la couche de données et d'application au sein de chaque machine virtuelle.
Le diagramme suivant montre les composants de l'architecture logique.
Dans ce diagramme :
- A est un ensemble de machines virtuelles isolées au sein d'un groupe de ressources dédié qui réside dans un abonnement Azure.
- B est l'architecture logique d'une seule machine virtuelle avec les composants suivants appelés : applications, système d'exploitation, disques, chargeurs de démarrage, noyau du système d'exploitation, pilotes et composant de module de plateforme sécurisée (TPM).
Cet article décrit les étapes à suivre pour appliquer les principes de Confiance Zéro dans cette architecture logique, à l'aide de ces étapes.
| Step | Task | Principes de la Confiance Zéro appliqués |
|---|---|---|
| 1 | Configurez l'isolation logique en déployant des machines virtuelles sur un groupe de ressources dédié. | Supposer une violation |
| 2 | Tirez parti du contrôle d'accès en fonction du rôle (RBAC). | Vérifier explicitement Utiliser le droit d'accès minimal |
| 3 | Sécuriser les composants de démarrage des machines virtuelles, notamment les chargeurs de démarrage, les noyaux de système d’exploitation et les pilotes. Protégez en toute sécurité les clés, les certificats et les secrets dans le module de plateforme sécurisée (TPM). | Supposer une violation |
| 4 | Activez les clés gérées par le client et le chiffrement double. | Supposer une violation |
| 5 | Contrôlez les applications installées sur les machines virtuelles. | Utiliser le droit d'accès minimal |
| 6 | Configurez l'accès sécurisé (non affiché sur la figure de l'architecture logique). | Vérifier explicitement Utiliser le droit d'accès minimal Supposer une violation |
| 7 | Configurez la maintenance sécurisée des machines virtuelles (non affichée sur la figure de l'architecture logique). | Supposer une violation |
| 8 | Activez la détection et la protection avancées contre les menaces (non affichées sur la figure de l'architecture logique). | Supposer une violation |
Étape 1 : configurer l'isolation logique pour les machines virtuelles
Commencez par isoler des machines virtuelles au sein d'un groupe de ressources dédié. Vous pouvez isoler des machines virtuelles en différents groupes de ressources en fonction de l'objectif, de la classification des données et des exigences de gouvernance, telles que la nécessité de contrôler les autorisations et la surveillance.
L'utilisation de groupes de ressources dédiés vous permet de définir des stratégies et des autorisations qui s'appliquent à toutes les machines virtuelles au sein du groupe de ressources. Vous pouvez alors utiliser le contrôle d’accès en fonction du rôle (RBAC) pour créer un accès avec privilège minimum aux ressources Azure contenues dans le groupe de ressources.
Pour plus d'informations sur la création et la gestion des groupes de ressources, consultez Gérer des groupes de ressources Azure en utilisant le portail Azure.
Vous affectez une machine virtuelle à un groupe de ressources lorsque vous créez la machine virtuelle pour la première fois, comme illustré ici.
Étape 2 : tirer parti du contrôle d'accès en fonction du rôle (RBAC)
La Confiance Zéro nécessite la configuration d'un droit d'accès minimal. Pour ce faire, vous devez limiter l'accès utilisateur avec un accès juste-à-temps et juste-assez (JIT/JEA) en fonction de leur rôle, de leur charge de travail et de leur classification des données.
Les rôles intégrés suivants sont couramment utilisés pour l'accès aux machines virtuelles :
- Connexion de l'utilisateur aux machines virtuelles : affichez les machines virtuelles dans le portail et connectez-vous en tant qu'utilisateur standard.
- Connexion de l'administrateur aux machines virtuelles : affichez les machines virtuelles dans le portail et connectez-vous en tant qu'administrateur.
- Contributeur de machine virtuelle : créez et gérez des machines virtuelles, notamment réinitialiser le mot de passe et les disques managés de l'utilisateur racine. N’accorde pas d’accès au réseau virtuel (VNet) de gestion ni la capacité d’attribuer des autorisations aux ressources.
Pour joindre une machine virtuelle à un réseau virtuel, vous pouvez utiliser l'autorisation personnalisée Microsoft.Network/virtualNetworks/subnets/join/action pour créer un rôle personnalisé.
Lorsque ce rôle personnalisé est utilisé avec l’identité managée et la stratégie d’accès conditionnel, vous pouvez utiliser l’état de l’appareil, la classification des données, les anomalies, l’emplacement et l’identité pour imposer l’authentification multifacteur et autoriser de manière granulaire l’accès en fonction de la confiance vérifiée.
Pour étendre votre domaine de contrôle au-delà du système et autoriser votre locataire Microsoft Entra avec Microsoft Intelligent Security Graph à prendre en charge l'accès sécurisé, accédez au panneau Gestion de la machine virtuelle et activez l'identité managée affectée par le système, comme illustré ici.
Remarque
Cette fonctionnalité est disponible uniquement pour Azure Virtual Desktop, Windows Server 2019, Windows 10 et les distributions Linux à l'aide d'un accès basé sur des certificats.
Étape 3 : sécuriser les composants de démarrage de machine virtuelle
Effectuez les étapes suivantes :
- Lorsque vous créez la machine virtuelle, veillez à configurer la sécurité des composants de démarrage. Le déploiement amélioré des machines virtuelles vous permet de sélectionner le type de sécurité et d'utiliser le démarrage sécurisé et vTPM.
- Déployez de manière sécurisée les machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes signés par des éditeurs approuvés pour établir une « racine ». Si l’image n’est pas signée par un éditeur approuvé, la machine virtuelle ne démarre pas.
- Protégez efficacement les clés, les certificats et les secrets dans les machines virtuelles dans un module de plateforme sécurisée (TPM).
- Obtenir des insights et avoir confiance en l'intégrité de toute la chaîne de démarrage.
- S'assurer que les charges de travail sont approuvées et vérifiables. Le module vTPM permet d'effectuer l'attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d'exploitation, système et pilotes).
Le déploiement amélioré des machines virtuelles vous permet de sélectionner le type de sécurité et d'utiliser le démarrage sécurisé et vTPM lorsque vous les créez, comme illustré ici.
Étape 4 : activer les clés gérées par le client et le chiffrement double
En utilisant des clés gérées par le client et le chiffrement double, vous avez l’assurance qu’en cas d’exportation d’un disque, celui-ci n’est pas lisible ou ne peut pas fonctionner. En vous assurant que les clés sont conservées en privé et que les disques sont doublement chiffrés, vous vous protégez contre les violations qui tentent d'extraire des informations sur le disque.
Pour plus d'informations sur la configuration d'une clé de chiffrement gérée par le client avec Azure Key Vault, consultez Utiliser le portail Azure pour activer le chiffrement côté serveur avec des clés gérées par le client pour les disques managés. L’utilisation d’Azure Key Vault entraîne un coût supplémentaire.
Activer le chiffrement côté serveur du stockage sur disque Azure pour :
- Chiffrement transparent compatible FIPS 140-2 avec chiffrement AES 256.
- Une plus grande flexibilité dans la gestion des contrôles.
- Chiffrement matériel (HSM) ou à définition logicielle.
Activez le chiffrement côté serveur sur l'hôte pour le chiffrement de bout en bout de vos données de machine virtuelle.
Après avoir effectué ces procédures, vous utilisez votre clé de chiffrement gérée par le client pour chiffrer les disques au sein de votre machine virtuelle.
Vous sélectionnez le type de chiffrement dans le panneau Disques de la configuration de machine virtuelle. Pour Type de chiffrement, sélectionnez Double chiffrement avec les clés gérées par la plateforme et gérées par le client, comme illustré ici.
Étape 5 : contrôler les applications installées sur les machines virtuelles
Il est important de contrôler les applications installées sur vos machines virtuelles.
- Les extensions du navigateur (API) sont difficiles à sécuriser, ce qui peut entraîner une remise d'URL malveillante.
- Les applications non approuvées peuvent ne pas être corrigés, car il s’agit d’objets d’informatique fantôme (les équipes informatiques ne sont pas préparées ou ne savent pas qu’elles sont installées).
Vous pouvez utiliser la fonctionnalité Applications de machine virtuelle pour contrôler les applications installées sur des machines virtuelles. Avec cette fonctionnalité, vous sélectionnez les applications de machine virtuelle à installer. Cette fonctionnalité utilise Azure Compute Gallery pour simplifier la gestion des applications pour les machines virtuelles. Lorsqu'elles sont utilisées avec RBAC, vous pouvez vous assurer que seules les applications approuvées sont disponibles pour les utilisateurs.
Vous sélectionnez les applications de machine virtuelle dans le panneau Avancé pour la configuration de machine virtuelle, comme indiqué ici.
Étape 6 : configurer l'accès sécurisé
Pour configurer l'accès sécurisé :
- Configurer la communication sécurisée au sein de l'environnement Azure entre les composants qui accèdent directement aux machines virtuelles
- Configurez l’authentification multifacteur avec l’accès conditionnel
- Utiliser des stations de travail à accès privilégié (PAW)
Comme le montre le diagramme :
- L’authentification multifacteur avec l’accès conditionnel est configurée dans Microsoft Entra ID et les portails associés.
- Les administrateurs utilisent des stations de travail à accès privilégié (PAW) pour accéder directement aux machines virtuelles.
Configurer la communication sécurisée dans l'environnement Azure pour les machines virtuelles
Tout d'abord, assurez-vous que la communication entre les composants de l'environnement Azure est sécurisée.
Dans l'architecture de référence, Azure Bastion fournit des connexions sécurisées aux machines virtuelles. Azure Bastion fait office de répartiteur RDP/SSH et n’interagit pas avec le protocole RDP de votre système physique. Cela vous permet également de réduire le nombre d'adresses IP publiques.
Le diagramme suivant montre les composants des communications sécurisées pour les machines virtuelles.
Configurez l’authentification multifacteur avec l’accès conditionnel
À l'étape 2. Tirer parti du contrôle d'accès en fonction du rôle, vous avez configuré l'intégration et l'identité managée de Microsoft Entra. Cela vous permet de configurer l’authentification multifacteur Azure pour Azure Virtual Desktop ou pour les serveurs exécutant Windows Server 2019 ou version ultérieure. Vous pouvez également vous connecter à une machine virtuelle Linux avec les informations d'identification Microsoft Entra. L'avantage supplémentaire est que la machine qui se connecte à la machine virtuelle doit également être inscrite auprès de votre locataire Microsoft Entra pour être autorisée à se connecter.
Lorsque vous configurez l’authentification multifacteur avec l’accès conditionnel et les stratégies associées, guidez-vous avec l’ensemble de stratégies recommandé pour la Confiance Zéro. Cela inclut des stratégies de point de départ qui ne nécessitent pas de gestion des appareils. Dans l'idéal, les appareils accédant à vos machines virtuelles sont gérés et vous pouvez implémenter les stratégies Entreprise, ce qui est recommandé pour la Confiance Zéro. Pour plus d'informations, consultez Stratégies d'accès courantes aux appareils et aux identités de Confiance Zéro.
Le diagramme suivant indique les stratégies recommandées pour Confiance Zéro.
N'oubliez pas que les noms d'utilisateur et les mots de passe peuvent être compromis à 100 %. En utilisant l’authentification multifacteur, vous réduisez le risque de compromission de 99,9 %. Cette option nécessite des licences Microsoft Entra ID P1.
Remarque
Vous pouvez également utiliser des VPN utilisés pour vous connecter à des machines virtuelles dans Azure. Toutefois, vous devez être sûr d'utiliser des méthodes pour vérifier explicitement. La création d'un tunnel « approuvé » quelle que soit la façon dont il est utilisés peut être plus risquée que d'avoir des connexions spécifiques hautement vérifiées.
Aucune quantité de sécurité au niveau des couches Réseau, Transport ou Application n'est importante si vous n'êtes pas issu d'une source approuvée, vérifiée et sécurisée.
Utiliser des PAW
Utilisez des stations de travail à accès privilégié (PAW) pour garantir que les appareils qui accèdent aux machines virtuelles sont sains. Les PAW sont configurées spécifiquement pour l'accès privilégié afin que les administrateurs utilisent un appareil disposant des fonctionnalités suivantes :
- Des contrôles et des stratégies de sécurité qui limitent l'accès administratif local.
- Des outils de productivité pour réduire la surface d'attaque uniquement sur ce qui est absolument nécessaire pour effectuer des tâches administratives sensibles.
Pour plus d'informations sur les options de déploiement, consultez Déploiement d'accès privilégié.
Étape 7 : configurer la maintenance sécurisée des machines virtuelles
La maintenance sécurisée des machines virtuelles comprend :
- L'utilisation d'un logiciel anti-programme malveillant
- L'automatisation des mises à jour des machines virtuelles
Utiliser un logiciel anti-programme malveillant sur des machines virtuelles
Un logiciel anti-programmes malveillants permet de protéger votre machine virtuelle contre les menaces telles que les fichiers malveillants, les logiciels de publicité, etc. Vous pouvez utiliser un logiciel anti-programmes malveillants provenant d'un certain nombre de fournisseurs tels que Microsoft, Symantec, Trend Micro et Kaspersky.
Microsoft Antimalware est une ressource sans coût qui offre une fonctionnalité de protection en temps réel pour faciliter la détection, la mise en quarantaine et l'éradication de logiciels malveillants, d'espiogiciels et de virus :
- S'exécute en arrière-plan avec le besoin d'interaction utilisateur
- Fournit des alertes lorsque des logiciels indésirables ou malveillants sont téléchargés, installés ou exécutés
- Offre une configuration sécurisée par défaut et une surveillance anti-programme malveillant
- Analyse planifiée
- Mises à jour des signatures
- Mises à jour d'Antimalware Engine et de la plateforme
- Protection active
- Exemples de création de rapport
- Exclusions
- Collecte d'événements du logiciel anti-programme malveillant
Automatiser les mises à jour des machines virtuelles
L'automatisation des mises à jour des systèmes garantit qu'ils sont protégés contre les derniers programmes malveillants et les attaques de mauvaise configuration. Le processus de vérification de plateforme approuvée s’accompagne d’une mise à jour automatique avec aide.
Concentrez-vous sur la maintenance et les mises à jour de machines virtuelles Azure pour vous assurer que vos systèmes sont renforcés par rapport aux insécurités de configuration :
- La gestion des mises à jour Azure Automation peut vous aider à gérer votre processus de mise à jour. Avec cet utilitaire, vous pouvez vérifier l'état de mise à jour de vos systèmes, gérer, planifier et redémarrer des serveurs.
- L'agent de machine virtuelle Azure est utilisé pour gérer vos machines virtuelles et vous permet d'utiliser des extensions pour la gestion.
Les systèmes d'exploitation pris en charge par la gestion des mises à jour sont les suivants :
- Chaque machine virtuelle Windows : la gestion des mises à jour effectue une analyse deux fois par jour pour chaque machine.
- Chaque machine virtuelle Linux : la gestion des mises à jour effectue une analyse toutes les heures.
Voir ces conseils supplémentaires :
- Planifier le déploiement pour la mise à jour des machines virtuelles Windows dans Azure
- Utiliser Azure Private Link pour connecter en toute sécurité des réseaux à Azure Automation Garantit que les machines virtuelles se connectent de manière contrôlée isolée et non via Internet pour les mises à jour.
Étape 8 : activer la détection et la protection avancées des menaces
La protection contre les menaces pour l'infrastructure Azure est fournie par Microsoft Defender pour le cloud. Cette protection est étendue aux machines virtuelles lorsque vous approvisionnez Microsoft Defender pour serveurs, comme illustré dans le diagramme suivant.
Comme le montre le diagramme :
- Comme décrit dans l'article Appliquer les principes de Confiance Zéro à Azure IaaS, Defender pour le cloud est activé au niveau d'un abonnement Azure ou au niveau d'un groupe d'administration Azure qui inclut plusieurs abonnements Azure.
- Outre l'activation de Defender pour le cloud, Defender pour serveurs est approvisionné.
La protection avancée contre les menaces vérifie les activités qui se produisent sur des machines virtuelles en fonction de la veille des menaces Microsoft. Elle recherche des configurations et des activités spécifiques qui suggèrent qu'il peut y avoir une violation. Elle autorise les principes Vérifier explicitement et Supposer une violation de la Confiance Zéro.
Microsoft Defender pour serveurs comprend les éléments suivants :
- Un accès aux données Microsoft Defender for Endpoint relatives vulnérabilités, aux logiciels installés et aux alertes pour vos points de terminaison pour la protection évolutive des points de terminaison (PEPT).
- Analyseur d'évaluation des vulnérabilités intégré de Defender pour le cloud pour les serveurs.
- Détectez les vulnérabilités et les mauvaises configurations en temps réel avec Microsoft Defender for Endpoint, sans avoir besoin d'agents supplémentaires ni d'analyses régulières.
- L'analyseur Qualys intégré de Defender pour le cloud pour les machines Azure et hybrides vous permet d'utiliser un outil de pointe dans l'identification des vulnérabilités en temps réel sans avoir besoin d'une licence Qualys.
- Implémentez Accès aux machines virtuelles juste-à-temps dans Defender pour le cloud. Cela crée une règle de refus explicite pour RDP/SSH et vous donne un accès JIT au niveau du serveur lorsque vous en avez besoin et vous permet de limiter la période d'accès.
- La surveillance de l'intégrité des fichiers dans Defender pour le cloud vous permet de modifier la surveillance des fichiers et registres du système d'exploitation, des logiciels d'application et d'autres modifications qui vous permettent de valider l'intégrité de vos systèmes de fichiers.
- Les contrôles d'application adaptatifs dans Defender pour le cloud fournissent une solution automatisée permettant de créer et de définir la liste verte pour les applications connues sûres et de générer des alertes de sécurité si une nouvelle application s'exécute, à l'exception de celles que vous définissez comme sécurisées à utiliser.
- Le renforcement du réseau adaptatif dans Defender pour le cloud utilise des algorithmes d'apprentissage automatique qui calculent votre trafic actuel, la veille des menaces, les indicateurs de compromission et les configurations approuvées connues pour fournir des recommandations pour renforcer vos groupes de sécurité réseau.
Recommandé pour la formation
Sécuriser vos disques de machine virtuelle Azure
| Formation | Sécuriser vos disques de machine virtuelle Azure |
|---|---|
|
Découvrez comment utiliser Azure Disk Encryption (ADE) pour chiffrer le système d'exploitation et les disques de données sur les machines virtuelles, qu'elles soient existantes ou nouvelles. Dans ce module, vous allez découvrir comment : |
Pour plus de formations sur Azure, consultez l'intégralité du catalogue Microsoft :
Tout parcourir : formations | Microsoft Learn
Implémenter une sécurité pour l'hôte de machine virtuelle dans Azure
| Formation | Implémenter une sécurité pour l'hôte de machine virtuelle dans Azure |
|---|---|
|
Dans ce parcours d'apprentissage, découvrez comment protéger et renforcer vos machines virtuelles dans Azure. |
Pour bénéficier davantage de formation sur les machines virtuelles dans Azure, consultez ces ressources dans le catalogue Microsoft :
Machines virtuelles dans Azure | Microsoft Learn
Étapes suivantes
Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :
- Vue d'ensemble d'IaaS
- Azure Virtual Desktop
- Azure Virtual WAN
- Applications IaaS dans Amazon Web Services
- Microsoft Sentinel et Microsoft Defender XDR
Illustrations techniques
Cette affiche fournit une vue d'ensemble, sur une seule page, des composants d'Azure IaaS en tant qu'architectures de référence et logiques, ainsi que les étapes permettant de s'assurer que ces composants ont les principes « ne jamais faire confiance, toujours vérifier » du modèle de Confiance Zéro appliqué.
| Élément | Description |
|---|---|
 PDF | Visio Mise à jour : mars 2024 |
Utilisez cette illustration avec cet article : Appliquer les principes de Confiance Zéro à Azure IaaS Guides de solution connexes |
Cette affiche fournit les architectures de référence et logiques et les configurations détaillées des composants distincts de Confiance Zéro pour Azure IaaS. Utilisez les pages de cette affiche pour des services informatiques ou des spécialités distinctes ou, avec la version Microsoft Visio du fichier, puis personnalisez les diagrammes pour votre infrastructure.
| Élément | Description |
|---|---|
 PDF | Visio Mise à jour : mars 2024 |
Utilisez ces diagrammes avec les articles, en commençant par celui-ci : Appliquer les principes de Confiance Zéro à Azure IaaS Guides de solution connexes |
Pour obtenir des illustrations techniques supplémentaires, cliquez ici.
Références
- Gérer les groupes de ressources Azure avec le portail Azure
- Démarrage sécurisé
- Vue d'ensemble de vTPM
- Attestation
- Activer le chiffrement côté serveur de stockage sur disque Azure
- Chiffrement AES 256
- Azure Bastion
- Authentification multifacteur Azure pour Azure Virtual Desktop
- Windows Server 2019 ou une version ultérieure
- Se connecter à une machine virtuelle Linux en utilisant des informations d'identification Microsoft Entra
- Stratégies d'accès courantes aux appareils et aux identités de Confiance Zéro
- Stations de travail à accès privilégié (PAW)
- Déploiement de l'accès privilégié
- Anti-programme malveillant Microsoft
- Agent de machine virtuelle
- Planifier le déploiement pour la mise à jour des machines virtuelles Windows dans Azure : scénarios d'exemple Azure
- Utiliser Azure Private Link pour connecter en toute sécurité des réseaux à Azure Automation
- Microsoft Defender pour les serveurs
- Microsoft Defender pour point de terminaison
- Évaluation intégrée des vulnérabilités de Defender pour le cloud
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour