Partager via


Appliquer les principes Confiance Zéro à des machines virtuelles dans Azure

Remarque

Livestream à venir Rejoignez l’équipe Azure FastTrack pour une discussion sur cet article. 23 octobre 2024 | 10:00 – 11:00 (UTC-07:00) Heure du Pacifique (États-Unis et Canada) Inscrivez-vous ici.

Résumé : Pour appliquer les principes de Confiance Zéro aux machines virtuelles Azure, vous devez configurer l’isolation logique avec des groupes de ressources dédiés, tirer parti du contrôle d’accès en fonction du rôle (RBAC), sécuriser les composants de démarrage de machine virtuelle, activer les clés gérées par le client et le chiffrement double, contrôler les applications installées, configurer l’accès sécurisé et la maintenance des machines virtuelles, mais également activer la détection avancée des menaces et la protection contre celles-ci.

Cet article fournit des étapes pour appliquer les principes de Confiance Zéro aux machines virtuelles dans Azure :

Principe de Confiance Zéro Définition Respecté par
Vérifier explicitement Toujours s'authentifier et autoriser en fonction de tous les points de données disponibles. Utilisez l'accès sécurisé.
Utiliser le droit d'accès minimal Limitez l'accès utilisateur avec l'accès juste-à-temps et juste suffisant (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection des données. Tirez parti du contrôle d'accès en fonction du rôle (RBAC) et contrôlez les applications s'exécutant sur des machines virtuelles.
Supposer une violation Réduisez le rayon d'explosion et segmentez l'accès. Vérifiez le chiffrement de bout en bout et utilisez l'analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses. Isolez les machines virtuelles avec des groupes de ressources, sécurisez leurs composants, utilisez un chiffrement double et activez la détection et la protection avancées contre les menaces.

Cet article fait partie d'une série d'articles qui montrent comment appliquer les principes de Confiance Zéro dans un environnement azure qui inclut un réseau virtuel Spoke qui héberge une charge de travail basée sur des machines virtuelles. Pour une vue d'ensemble, consultez Appliquer des principes de Confiance Zéro à l'infrastructure Azure.

Architecture logique pour les machines virtuelles

Les principes de Confiance Zéro pour les machines virtuelles sont appliqués dans l'architecture logique, du niveau du locataire et du répertoire jusqu'à la couche de données et d'application au sein de chaque machine virtuelle.

Le diagramme suivant montre les composants de l'architecture logique.

Diagramme de l’architecture logique pour appliquer le principe Confiance Zéro à une machine virtuelle Azure montrant un abonnement, un groupe de ressources et des composants de la machine virtuelle dans un locataire Microsoft Entra ID.

Dans ce diagramme :

  • A est un ensemble de machines virtuelles isolées au sein d'un groupe de ressources dédié qui réside dans un abonnement Azure.
  • B est l'architecture logique d'une seule machine virtuelle avec les composants suivants appelés : applications, système d'exploitation, disques, chargeurs de démarrage, noyau du système d'exploitation, pilotes et composant de module de plateforme sécurisée (TPM).

Cet article décrit les étapes à suivre pour appliquer les principes de Confiance Zéro dans cette architecture logique, à l'aide de ces étapes.

Diagramme de l’architecture logique pour appliquer le principe Confiance Zéro à une machine virtuelle Azure dans les cinq étapes de cet article.

Step Task Principes de la Confiance Zéro appliqués
1 Configurez l'isolation logique en déployant des machines virtuelles sur un groupe de ressources dédié. Supposer une violation
2 Tirez parti du contrôle d'accès en fonction du rôle (RBAC). Vérifier explicitement
Utiliser le droit d'accès minimal
3 Sécuriser les composants de démarrage des machines virtuelles, notamment les chargeurs de démarrage, les noyaux de système d’exploitation et les pilotes. Protégez en toute sécurité les clés, les certificats et les secrets dans le module de plateforme sécurisée (TPM). Supposer une violation
4 Activez les clés gérées par le client et le chiffrement double. Supposer une violation
5 Contrôlez les applications installées sur les machines virtuelles. Utiliser le droit d'accès minimal
6 Configurez l'accès sécurisé (non affiché sur la figure de l'architecture logique). Vérifier explicitement
Utiliser le droit d'accès minimal
Supposer une violation
7 Configurez la maintenance sécurisée des machines virtuelles (non affichée sur la figure de l'architecture logique). Supposer une violation
8 Activez la détection et la protection avancées contre les menaces (non affichées sur la figure de l'architecture logique). Supposer une violation

Étape 1 : configurer l'isolation logique pour les machines virtuelles

Commencez par isoler des machines virtuelles au sein d'un groupe de ressources dédié. Vous pouvez isoler des machines virtuelles en différents groupes de ressources en fonction de l'objectif, de la classification des données et des exigences de gouvernance, telles que la nécessité de contrôler les autorisations et la surveillance.

L'utilisation de groupes de ressources dédiés vous permet de définir des stratégies et des autorisations qui s'appliquent à toutes les machines virtuelles au sein du groupe de ressources. Vous pouvez alors utiliser le contrôle d’accès en fonction du rôle (RBAC) pour créer un accès avec privilège minimum aux ressources Azure contenues dans le groupe de ressources.

Pour plus d'informations sur la création et la gestion des groupes de ressources, consultez Gérer des groupes de ressources Azure en utilisant le portail Azure.

Vous affectez une machine virtuelle à un groupe de ressources lorsque vous créez la machine virtuelle pour la première fois, comme illustré ici.

Capture d’écran de l’attribution d’une machine virtuelle à un groupe de ressources.

Étape 2 : tirer parti du contrôle d'accès en fonction du rôle (RBAC)

La Confiance Zéro nécessite la configuration d'un droit d'accès minimal. Pour ce faire, vous devez limiter l'accès utilisateur avec un accès juste-à-temps et juste-assez (JIT/JEA) en fonction de leur rôle, de leur charge de travail et de leur classification des données.

Les rôles intégrés suivants sont couramment utilisés pour l'accès aux machines virtuelles :

  • Connexion de l'utilisateur aux machines virtuelles : affichez les machines virtuelles dans le portail et connectez-vous en tant qu'utilisateur standard.
  • Connexion de l'administrateur aux machines virtuelles : affichez les machines virtuelles dans le portail et connectez-vous en tant qu'administrateur.
  • Contributeur de machine virtuelle : créez et gérez des machines virtuelles, notamment réinitialiser le mot de passe et les disques managés de l'utilisateur racine. N’accorde pas d’accès au réseau virtuel (VNet) de gestion ni la capacité d’attribuer des autorisations aux ressources.

Pour joindre une machine virtuelle à un réseau virtuel, vous pouvez utiliser l'autorisation personnalisée Microsoft.Network/virtualNetworks/subnets/join/action pour créer un rôle personnalisé.

Lorsque ce rôle personnalisé est utilisé avec l’identité managée et la stratégie d’accès conditionnel, vous pouvez utiliser l’état de l’appareil, la classification des données, les anomalies, l’emplacement et l’identité pour imposer l’authentification multifacteur et autoriser de manière granulaire l’accès en fonction de la confiance vérifiée.

Pour étendre votre domaine de contrôle au-delà du système et autoriser votre locataire Microsoft Entra ID avec Microsoft Intelligent Security Graph à prendre en charge l’accès sécurisé, accédez au panneau Gestion de la machine virtuelle et activez Identité managée affectée par le système, comme illustré ici.

Capture d’écran de l’activation de l’identité managée affectée par le système.

Remarque

Cette fonctionnalité est disponible uniquement pour Azure Virtual Desktop, Windows Server 2019, Windows 10 et les distributions Linux à l'aide d'un accès basé sur des certificats.

Étape 3 : sécuriser les composants de démarrage de machine virtuelle

Effectuez les étapes suivantes :

  • Lorsque vous créez la machine virtuelle, veillez à configurer la sécurité des composants de démarrage. Le déploiement amélioré des machines virtuelles vous permet de sélectionner le type de sécurité et d'utiliser le démarrage sécurisé et vTPM.
  • Déployez de manière sécurisée les machines virtuelles avec des chargeurs de démarrage vérifiés, des noyaux de système d’exploitation et des pilotes signés par des éditeurs approuvés pour établir une « racine ». Si l’image n’est pas signée par un éditeur approuvé, la machine virtuelle ne démarre pas.
  • Protégez efficacement les clés, les certificats et les secrets dans les machines virtuelles dans un module de plateforme sécurisée (TPM).
  • Obtenir des insights et avoir confiance en l'intégrité de toute la chaîne de démarrage.
  • S'assurer que les charges de travail sont approuvées et vérifiables. Le module vTPM permet d'effectuer l'attestation en mesurant la chaîne de démarrage complète de votre machine virtuelle (UEFI, système d'exploitation, système et pilotes).

Le déploiement amélioré des machines virtuelles vous permet de sélectionner le type de sécurité et d'utiliser le démarrage sécurisé et vTPM lorsque vous les créez, comme illustré ici.

Capture d’écran de la spécification de fonctionnalités de sécurité pour une machine virtuelle.

Étape 4 : activer les clés gérées par le client et le chiffrement double

En utilisant des clés gérées par le client et le chiffrement double, vous avez l’assurance qu’en cas d’exportation d’un disque, celui-ci n’est pas lisible ou ne peut pas fonctionner. En vous assurant que les clés sont conservées en privé et que les disques sont doublement chiffrés, vous vous protégez contre les violations qui tentent d'extraire des informations sur le disque.

Pour plus d'informations sur la configuration d'une clé de chiffrement gérée par le client avec Azure Key Vault, consultez Utiliser le portail Azure pour activer le chiffrement côté serveur avec des clés gérées par le client pour les disques managés. L’utilisation d’Azure Key Vault entraîne un coût supplémentaire.

Activer le chiffrement côté serveur du stockage sur disque Azure pour :

  • Chiffrement transparent compatible FIPS 140-2 avec chiffrement AES 256.
  • Une plus grande flexibilité dans la gestion des contrôles.
  • Chiffrement matériel (HSM) ou à définition logicielle.

Activez le chiffrement côté serveur sur l'hôte pour le chiffrement de bout en bout de vos données de machine virtuelle.

Après avoir effectué ces procédures, vous utilisez votre clé de chiffrement gérée par le client pour chiffrer les disques au sein de votre machine virtuelle.

Vous sélectionnez le type de chiffrement dans le panneau Disques de la configuration de machine virtuelle. Pour Type de chiffrement, sélectionnez Double chiffrement avec les clés gérées par la plateforme et gérées par le client, comme illustré ici.

Capture d’écran de la sélection du type de chiffrement d’une machine virtuelle.

Étape 5 : contrôler les applications installées sur les machines virtuelles

Il est important de contrôler les applications installées sur vos machines virtuelles.

  • Les extensions du navigateur (API) sont difficiles à sécuriser, ce qui peut entraîner une remise d'URL malveillante.
  • Les applications non approuvées peuvent ne pas être corrigés, car il s’agit d’objets d’informatique fantôme (les équipes informatiques ne sont pas préparées ou ne savent pas qu’elles sont installées).

Vous pouvez utiliser la fonctionnalité Applications de machine virtuelle pour contrôler les applications installées sur des machines virtuelles. Avec cette fonctionnalité, vous sélectionnez les applications de machine virtuelle à installer. Cette fonctionnalité utilise Azure Compute Gallery pour simplifier la gestion des applications pour les machines virtuelles. Lorsqu'elles sont utilisées avec RBAC, vous pouvez vous assurer que seules les applications approuvées sont disponibles pour les utilisateurs.

Vous sélectionnez les applications de machine virtuelle dans le panneau Avancé pour la configuration de machine virtuelle, comme indiqué ici.

Capture d’écran de la configuration des applications d’une machine virtuelle.

Étape 6 : configurer l'accès sécurisé

Pour configurer l'accès sécurisé :

  • Configurer la communication sécurisée au sein de l'environnement Azure entre les composants qui accèdent directement aux machines virtuelles
  • Configurez l’authentification multifacteur avec l’accès conditionnel
  • Utiliser des stations de travail à accès privilégié (PAW)

Diagramme de l’architecture logique pour configurer l’accès sécurisé à une machine virtuelle.

Comme le montre le diagramme :

  • L’authentification multifacteur avec l’accès conditionnel est configurée dans Microsoft Entra ID et les portails associés.
  • Les administrateurs utilisent des stations de travail à accès privilégié (PAW) pour accéder directement aux machines virtuelles.

Configurer la communication sécurisée dans l'environnement Azure pour les machines virtuelles

Tout d'abord, assurez-vous que la communication entre les composants de l'environnement Azure est sécurisée.

Dans l'architecture de référence, Azure Bastion fournit des connexions sécurisées aux machines virtuelles. Azure Bastion fait office de répartiteur RDP/SSH et n’interagit pas avec le protocole RDP de votre système physique. Cela vous permet également de réduire le nombre d'adresses IP publiques.

Le diagramme suivant montre les composants des communications sécurisées pour les machines virtuelles.

Diagramme des composants des communications sécurisées pour les machines virtuelles dans l’architecture de référence IaaS Azure.

Configurez l’authentification multifacteur avec l’accès conditionnel

À l'étape 2. Tirer parti du contrôle d'accès en fonction du rôle, vous avez configuré l'intégration et l'identité managée de Microsoft Entra. Cela vous permet de configurer l’authentification multifacteur Azure pour Azure Virtual Desktop ou pour les serveurs exécutant Windows Server 2019 ou version ultérieure. Vous pouvez également vous connecter à une machine virtuelle Linux avec les informations d'identification Microsoft Entra. Un autre avantage est que la machine qui se connecte à la machine virtuelle doit également être inscrite dans votre locataire Microsoft Entra ID pour être autorisée à se connecter.

Lorsque vous configurez l’authentification multifacteur avec l’accès conditionnel et les stratégies associées, guidez-vous avec l’ensemble de stratégies recommandé pour la Confiance Zéro. Cela inclut des stratégies de point de départ qui ne nécessitent pas de gestion des appareils. Dans l'idéal, les appareils accédant à vos machines virtuelles sont gérés et vous pouvez implémenter les stratégies Entreprise, ce qui est recommandé pour la Confiance Zéro. Pour plus d'informations, consultez Stratégies d'accès courantes aux appareils et aux identités de Confiance Zéro.

Le diagramme suivant indique les stratégies recommandées pour Confiance Zéro.

Diagramme des stratégies Confiance Zéro pour l’accès aux identités et aux appareils avec trois niveaux de protection : Point de départ, Entreprise et Sécurité spécialisée.

N'oubliez pas que les noms d'utilisateur et les mots de passe peuvent être compromis à 100 %. En utilisant l’authentification multifacteur, vous réduisez le risque de compromission de 99,9 %. Cette option nécessite des licences Microsoft Entra ID P1.

Remarque

Vous pouvez également utiliser des VPN utilisés pour vous connecter à des machines virtuelles dans Azure. Toutefois, vous devez être sûr d'utiliser des méthodes pour vérifier explicitement. La création d'un tunnel « approuvé » quelle que soit la façon dont il est utilisés peut être plus risquée que d'avoir des connexions spécifiques hautement vérifiées.

Aucune quantité de sécurité au niveau des couches Réseau, Transport ou Application n'est importante si vous n'êtes pas issu d'une source approuvée, vérifiée et sécurisée.

Utiliser des PAW

Utilisez des stations de travail à accès privilégié (PAW) pour garantir que les appareils qui accèdent aux machines virtuelles sont sains. Les PAW sont configurées spécifiquement pour l'accès privilégié afin que les administrateurs utilisent un appareil disposant des fonctionnalités suivantes :

  • Des contrôles et des stratégies de sécurité qui limitent l'accès administratif local.
  • Des outils de productivité pour réduire la surface d'attaque uniquement sur ce qui est absolument nécessaire pour effectuer des tâches administratives sensibles.

Pour plus d'informations sur les options de déploiement, consultez Déploiement d'accès privilégié.

Étape 7 : configurer la maintenance sécurisée des machines virtuelles

La maintenance sécurisée des machines virtuelles comprend :

  • L'utilisation d'un logiciel anti-programme malveillant
  • L'automatisation des mises à jour des machines virtuelles

Utiliser un logiciel anti-programme malveillant sur des machines virtuelles

Un logiciel anti-programmes malveillants permet de protéger votre machine virtuelle contre les menaces telles que les fichiers malveillants, les logiciels de publicité, etc. Vous pouvez utiliser un logiciel anti-programmes malveillants provenant d'un certain nombre de fournisseurs tels que Microsoft, Symantec, Trend Micro et Kaspersky.

Microsoft Antimalware est une ressource sans coût qui offre une fonctionnalité de protection en temps réel pour faciliter la détection, la mise en quarantaine et l'éradication de logiciels malveillants, d'espiogiciels et de virus :

  • S'exécute en arrière-plan avec le besoin d'interaction utilisateur
  • Fournit des alertes lorsque des logiciels indésirables ou malveillants sont téléchargés, installés ou exécutés
  • Offre une configuration sécurisée par défaut et une surveillance anti-programme malveillant
  • Analyse planifiée
  • Mises à jour des signatures
  • Mises à jour d'Antimalware Engine et de la plateforme
  • Protection active
  • Exemples de création de rapport
  • Exclusions
  • Collecte d'événements du logiciel anti-programme malveillant

Automatiser les mises à jour des machines virtuelles

L'automatisation des mises à jour des systèmes garantit qu'ils sont protégés contre les derniers programmes malveillants et les attaques de mauvaise configuration. Le processus de vérification de plateforme approuvée s’accompagne d’une mise à jour automatique avec aide.

Concentrez-vous sur la maintenance et les mises à jour de machines virtuelles Azure pour vous assurer que vos systèmes sont renforcés par rapport aux insécurités de configuration :

  • La gestion des mises à jour Azure Automation peut vous aider à gérer votre processus de mise à jour. Avec cet utilitaire, vous pouvez vérifier l'état de mise à jour de vos systèmes, gérer, planifier et redémarrer des serveurs.
  • L'agent de machine virtuelle Azure est utilisé pour gérer vos machines virtuelles et vous permet d'utiliser des extensions pour la gestion.

Les systèmes d'exploitation pris en charge par la gestion des mises à jour sont les suivants :

  • Chaque machine virtuelle Windows : la gestion des mises à jour effectue une analyse deux fois par jour pour chaque machine.
  • Chaque machine virtuelle Linux : la gestion des mises à jour effectue une analyse toutes les heures.

Voir ces conseils supplémentaires :

Étape 8 : activer la détection et la protection avancées des menaces

La protection contre les menaces pour l'infrastructure Azure est fournie par Microsoft Defender pour le cloud. Cette protection est étendue aux machines virtuelles lorsque vous approvisionnez Microsoft Defender pour serveurs, comme illustré dans le diagramme suivant.

Diagramme de l’architecture logique montrant comment Microsoft Defender pour le cloud avec Microsoft Defender pour serveurs fournit la détection des menaces et la protection des machines virtuelles.

Comme le montre le diagramme :

  • Comme décrit dans l'article Appliquer les principes de Confiance Zéro à Azure IaaS, Defender pour le cloud est activé au niveau d'un abonnement Azure ou au niveau d'un groupe d'administration Azure qui inclut plusieurs abonnements Azure.
  • Outre l'activation de Defender pour le cloud, Defender pour serveurs est approvisionné.

La protection avancée contre les menaces vérifie les activités qui se produisent sur des machines virtuelles en fonction de la veille des menaces Microsoft. Elle recherche des configurations et des activités spécifiques qui suggèrent qu'il peut y avoir une violation. Elle autorise les principes Vérifier explicitement et Supposer une violation de la Confiance Zéro.

Microsoft Defender pour serveurs comprend les éléments suivants :

Illustrations techniques

Ces illustrations sont des réplicas des illustrations de référence dans ces articles. Téléchargez et personnalisez-les pour votre propre organisation et clients. Remplacez le logo Contoso par votre propre logo.

Élément Description
Image miniature 1Télécharger Visio
Mise à jour d’octobre 2024
Appliquez les principes de Confiance zéro à Azure IaaS
Utilisez ces illustrations avec ces articles :
- Vue d’ensemble
- Azure Storage
- Machines virtuelles
- Réseaux virtuels Spoke Azure
- Réseaux virtuels Azure Hub
Image miniature 2Télécharger Visio
Mise à jour d’octobre 2024
Appliquer Confiance Zéro principes à Azure IaaS – Affiche d’une page
Vue d’ensemble d’une page du processus d’application des principes de Confiance Zéro aux environnements IaaS Azure.

Pour obtenir des illustrations techniques supplémentaires, consultez Confiance Zéro illustrations pour les architectes et les implémenteurs informatiques.

Sécuriser vos disques de machine virtuelle Azure

Formation Sécuriser vos disques de machine virtuelle Azure
Découvrez comment utiliser Azure Disk Encryption (ADE) pour chiffrer le système d'exploitation et les disques de données sur les machines virtuelles, qu'elles soient existantes ou nouvelles.
Dans ce module, vous allez découvrir comment :
  • Déterminez la méthode de chiffrement la plus adaptée à votre machine virtuelle.
  • Chiffrez des disques de machines virtuelle existants en utilisant le portail Azure.
  • Chiffrez des disques de machine virtuelle existants en utilisant PowerShell.
  • Modifiez des modèles Azure Resource Manager pour automatiser le chiffrement de disque sur de nouvelles machines virtuelles.
  • Pour plus de formations sur Azure, consultez l'intégralité du catalogue Microsoft :
    Tout parcourir : formations | Microsoft Learn

    Implémenter une sécurité pour l'hôte de machine virtuelle dans Azure

    Formation Implémenter une sécurité pour l'hôte de machine virtuelle dans Azure
    Dans ce parcours d'apprentissage, découvrez comment protéger et renforcer vos machines virtuelles dans Azure.

    Pour bénéficier davantage de formation sur les machines virtuelles dans Azure, consultez ces ressources dans le catalogue Microsoft :
    Machines virtuelles dans Azure | Microsoft Learn

    Étapes suivantes

    Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :

    Références