Résumé

Effectué

Dans ce module, nous avons abordé un grand nombre de sujets afin de créer une liste de vérification de ligne de base de sécurité pour les services Azure couramment utilisés. Nous allons récapituler rapidement ce que nous avons vu :

  • Activez Microsoft Defender pour le cloud, c’est gratuit. Mettez à niveau votre abonnement Azure afin d’activer Microsoft Defender pour le cloud. Les fonctionnalités de sécurité renforcée Defender pour le cloud vous aident dans les taches suivantes :

    • détecter et corriger les failles de sécurité ;
    • appliquer des contrôles d’accès et d’application pour bloquer les activités malveillantes ;
    • détecter les menaces à l’aide de l’analytique et de l’analyse décisionnelle ;
    • réagir rapidement en cas d’attaque.
  • Adoptez les benchmarks du Centre pour la sécurité Internet (CIS). Appliquez les benchmarks aux locataires existants.

  • Utilisez des machines virtuelles CIS pour les nouvelles charges de travail. Obtenez des images de machines virtuelles renforcées CIS dans la Place de marché Azure.

  • Stockez vos clés et secrets dans Azure Key Vault (et non dans votre code source). Key Vault est conçu pour prendre en charge tout type de secret, notamment les mots de passe, les informations d’identification de base de données, les clés d’API et les certificats.

  • Installez un pare-feu d’application web. Un pare-feu d’application web (WAF, Web Application Firewall) est une fonctionnalité d’Azure Application Gateway qui protège vos applications web de manière centralisée contre les vulnérabilités et exploitations courantes. Des solutions tierces proposent également des WAF pris en charge par Azure.

  • Appliquez la vérification multifacteur pour les utilisateurs, en particulier pour vos comptes d’administrateur. L’authentification multi-facteur pour les utilisateurs Microsoft Entra permet aux administrateurs de protéger leurs organisations et leurs utilisateurs en demandant plusieurs méthodes d’authentification.

  • Chiffrez les fichiers de disque dur virtuel. Le chiffrement permet de protéger votre volume de démarrage et les volumes de données au repos au niveau du stockage, ainsi que vos clés de chiffrement et vos secrets.

  • Connectez des machines virtuelles Azure et des appliances à d’autres appareils en réseau en les plaçant sur des réseaux virtuels Azure. Les machines virtuelles qui sont connectées à un réseau virtuel Azure peuvent se connecter à des appareils se trouvant sur le même réseau virtuel, sur des réseaux virtuels différents, sur Internet ou sur vos réseaux locaux.

Les pratiques permettant une sécurité opérationnelle renforcée à mettre en œuvre

Mettez en œuvre ces pratiques permettant une sécurité opérationnelle renforcée :

  • Gérez les mises à jour de vos machines virtuelles. Les machines virtuelles Azure, comme toutes les machines virtuelles locales, sont destinées à être gérées par l’utilisateur. Azure ne leur envoie pas les mises à jour Windows. Vérifiez que des processus solides sont en place pour les opérations importantes, comme la gestion des correctifs et la sauvegarde.

  • Activez la gestion des mots de passe. Utilisez les stratégies de sécurité appropriées pour éviter les abus.

  • Passez régulièrement en revue votre tableau de bord de protection de charge de travail. Obtenez une vision centralisée de l’état de la sécurité de toutes vos ressources Azure et prenez les mesures nécessaires régulièrement.

Pour aller plus loin

Pour explorer plus en détail les rubriques présentées dans ce module, consultez CIS Microsoft Azure Foundations Security Benchmark.