Sécurité, responsabilité et approbation dans Azure

Introduction

Chaque système, architecture et application doit être conçu en tenant compte de la sécurité. Les risques sont trop importants. Par exemple, une attaque par déni de service peut empêcher votre client d’accéder à votre site web ou vos services, et vous coupe par la même occasion d’opportunités professionnelles. La dégradation de votre site web nuit à votre réputation. Pire encore, la violation de la sécurité des données peut impacter la confiance si difficilement acquise, tout en provoquant des dommages personnels et financiers significatifs. Nous, administrateurs, développeurs et responsables informatiques, devons tous faire en sorte de garantir la sécurité de nos systèmes.

La sécurité du cloud est une responsabilité partagée

Comme les environnements informatiques passent des centres de données contrôlés par le client au cloud, la responsabilité de la sécurité change aussi de mains. La sécurité de l’environnement d’exploitation est désormais une préoccupation partagée entre les fournisseurs de cloud et les clients. En transférant ces responsabilités vers un service cloud comme Azure, les organisations peuvent délaisser en partie les activités qui ne sont pas des compétences métier clés. Selon les choix technologiques spécifiques, certaines protections de sécurité seront intégrées au service en question, tandis que le traitement des autres restera sous la responsabilité du client. Pour vérifier que les contrôles de sécurité appropriés sont fournis, une évaluation minutieuse des choix de services et de technologies devient nécessaire.

avantages secu cloud

La sécurité est une responsabilité partagée

Le premier changement à faire est de passer des centres de données locaux à une infrastructure IaaS (Infrastructure as a Service). Avec IaaS, vous tirez parti du service de plus bas niveau en demandant à Azure de créer des machines virtuelles et des réseaux virtuels. À ce niveau, vous êtes toujours responsable de corriger et de sécuriser vos systèmes d’exploitation et vos logiciels, ainsi que de configurer la sécurité de votre réseau.

Le passage à une plateforme PaaS (Platform as a Service) permet de sous-traiter plusieurs problèmes de sécurité. À ce niveau, Azure se charge du système d’exploitation et des logiciels fondamentaux, comme les systèmes de gestion de base de données. Tous ces éléments sont mis à jour avec les derniers correctifs de sécurité et peuvent être intégrés à Azure Active Directory pour les contrôles d’accès. PaaS offre également de nombreux avantages opérationnels. Au lieu de créer manuellement des infrastructures et des sous-réseaux complets pour vos environnements, vous pouvez « pointer et cliquer » dans le portail Azure, ou exécuter des scripts automatisés afin de mettre en œuvre des systèmes sécurisés complexes et de les adapter à vos besoins.

Avec SaaS (Software as a Service), vous sous-traitez presque tout. SaaS est un logiciel qui s’exécute avec une infrastructure Internet. Le code est contrôlé par le fournisseur, mais il est configuré pour être utilisé par le client.

responsabilité Cloud

Quel que soit le type de déploiement, vous devez toujours assumer la responsabilité des éléments suivants :

  • Données
  • Points de terminaison
  • Comptes
  • Gestion de l’accès

Approche de la sécurité en couches

La défense en profondeur est une stratégie qui utilise une série de mécanismes pour ralentir la progression d’une attaque visant à acquérir un accès non autorisé aux informations. Chaque couche fournit une protection, de sorte que si une couche fait l’objet d’une violation, la couche suivante est déjà en place pour éviter que l’exposition ne s’aggrave.

La défense en profondeur peut être vue comme un ensemble d’anneaux concentriques, les données à sécuriser se trouvant au centre. Chaque anneau ajoute une couche supplémentaire de sécurité autour des données. Avec cette approche, la sécurité ne dépend pas d’une seule couche de protection et l’action vise à ralentir l’attaque. Par ailleurs, elle génère des données de télémétrie d’alerte qui peuvent être exploitées, automatiquement ou manuellement. Examinons chacune des couches.

couche secu

Données

Dans presque tous les cas, les attaquants sont intéressés par les données :

  • Stockées dans une base de données
  • Stockées sur disque dans des machines virtuelles
  • Stockées dans une application SaaS comme Office 365
  • Stockées dans un stockage cloud

C’est à ceux qui stockent les données et en contrôlent l’accès qu’il revient de s’assurer qu’elles sont bien sécurisées.

Application

  • Garantir que les applications sont sécurisées et sans vulnérabilités.
  • Stocker les secrets des applications sensibles dans un support de stockage sécurisé.
  • Intégrer la sécurité dans la conception tout au long du développement d’application.

L’intégration de la sécurité dans le cycle de vie du développement d’application permet de réduire le nombre de vulnérabilités introduites dans le code.

Calcul

  • Sécuriser l’accès aux machines virtuelles.
  • Implémenter une protection des points de terminaison et faire en sorte que les systèmes soient constamment corrigés et actualisés.

Les logiciels malveillants, les systèmes non corrigés et les systèmes mal sécurisés exposent votre environnement aux attaques. Cette couche a pour fonction principale de garantir la sécurité de vos ressources de calcul et de vous permettre de mettre en place les contrôles appropriés pour limiter au maximum les problèmes de sécurité.

Réseau

  • Limiter la communication entre ressources.
  • Refuser par défaut.
  • Limiter l’accès Internet entrant et limiter l’accès sortant en fonction des besoins.
  • Implémenter une connectivité sécurisée dans les réseaux locaux.

Identité et accès

  • Contrôler l’accès à l’infrastructure et contrôler les modifications.
  • Utiliser l’authentification unique et l’authentification multifacteur.
  • Auditer les événements et les modifications.

Sécurité physique

Dans le centre de données, la première ligne de défense est la sécurité du bâtiment, ainsi que le contrôle de l’accès au matériel informatique.

Conseils d’Azure Security Center

Azure Security Center est un très bon point de départ pour examiner la sécurité de votre solution Azure. Security Center est un service de supervision qui assure une protection contre les menaces sur l’ensemble de vos services, à la fois dans Azure et en local. Security Center peut :

  • Fournir des suggestions de sécurité basées sur vos configurations, ressources et réseaux.
  • Surveiller les paramètres de sécurité sur les charges de travail locales et cloud, et appliquer automatiquement la sécurité requise aux nouveaux services mis en ligne.
  • Superviser en permanence tous vos services, et effectuer des évaluations de la sécurité automatiques pour identifier les vulnérabilités potentielles avant leur exploitation éventuelle.
  • Utiliser le machine learning pour détecter et bloquer l’installation de logiciels malveillants sur vos machines virtuelles et les services. Vous pouvez également créer une liste des applications autorisées pour vous assurer que seules les applications approuvées pourront être exécutées.
  • Analyser et identifier les attaques entrantes potentielles, et examiner les menaces et toute activité après violation de la sécurité pouvant s’être produite.
  • Contrôler l’accès juste-à-temps aux ports, et réduire ainsi la surface d’attaque en veillant à ce que le réseau n’autorise que le trafic strictement nécessaire.

Niveaux disponibles

Azure Security Center est disponible en deux niveaux :

  • Gratuit. Inclus avec votre abonnement Azure, ce niveau se limite aux évaluations et recommandations de ressources Azure uniquement.
  • Standard. Ce niveau fournit une suite complète de services de sécurité, notamment la supervision continue, la détection des menaces, le contrôle de l’accès juste-à-temps pour les ports, et bien d’autres services.

Cas d’utilisation

  1. Utilisez Security Center pour la réponse aux incidents.

incidents

  1. Utilisez les recommandations Security Center pour renforcer la sécurité.

Identité et accès

Les périmètres réseau, les pare-feu et les contrôles d’accès physique étaient auparavant la protection principale des données d’entreprise. Mais les périmètres réseau sont devenus de plus en plus poreux avec l’explosion des appareils BYOD (Apportez votre propre appareil), des applications mobiles et des applications cloud.

Authentification et autorisation

L’authentification et l’autorisation sont deux concepts fondamentaux qu’il est impératif de bien comprendre quand on parle de contrôle d’accès et d’identité. De ces concepts découle tout le reste qui se produit de manière séquentielle dans n’importe quel processus de contrôle d’identité et d’accès :

  • L’authentification est le processus qui consiste à établir l’identité d’un utilisateur ou d’un service cherchant à accéder à une ressource. Ce processus comprend l’action de demander à une partie des informations d’identification légitimes, et fournit la base de la création d’un principal de sécurité à des fins de contrôle d’identité et d’accès. Il détermine si la partie est bien ce qu’elle prétend être.

  • L’autorisation est le processus visant à établir le niveau d’accès dont dispose un utilisateur ou un service authentifié. Elle détermine les données auxquelles ils ont accès et l’utilisation qu’ils peuvent en faire.

Qu’est-ce qu’Azure Active Directory ?

Azure AD est un service d’identité dans le cloud. Il prend nativement en charge la synchronisation de votre annuaire local Active Directory existant, ou peut être utilisé de manière autonome. Cela signifie que toutes vos applications, qu’elles soient locales, dans le cloud (comme Office 365) ou mobiles, peuvent partager les mêmes informations d’identification. Les développeurs et les administrateurs peuvent contrôler l’accès aux applications et données internes et externes en utilisant des règles et des stratégies centralisées configurées dans Azure AD.

Azure AD fournit les services suivants :

  • Authentification
  • Authentification unique (SSO)
  • Gestion des applications
  • Services d’identité B2B (entreprise-entreprise)
  • Services d’identité B2C (entreprise-client)
  • Gestion des appareils

Authentification unique

Plus les identités que l’utilisateur doit gérer sont nombreuses, plus le risque d’un incident de sécurité lié aux informations d’identification est grand. Plus il y a d’identités, plus il y a de mots de passe à mémoriser et à changer. Les stratégies de mot de passe peuvent varier selon les applications et, comme les exigences de complexité augmentent, les utilisateurs ont de plus en plus de mal à mémoriser les mots de passe.

Authentification unique avec Azure Active Directory

En utilisant Azure AD pour l’authentification unique, vous avez également la possibilité de combiner plusieurs sources de données dans un schéma de sécurité intelligent. Ce schéma de sécurité permet de fournir une analyse des menaces et une protection des identités en temps réel à tous les comptes dans Azure AD, notamment les comptes qui sont synchronisés à partir de votre annuaire AD local.

Authentification multifacteur

L’authentification multifacteur (MFA) fournit une sécurité supplémentaire pour vos identités en exigeant au moins deux éléments pour une authentification complète. Ces éléments se répartissent en trois catégories :

  • Quelque chose que vous connaissez
  • Quelque chose que vous possédez
  • Quelque chose que vous êtes
  • Quelque chose que vous connaissez : il peut s’agir d’un mot de passe ou de la réponse à une question de sécurité. Quelque chose que vous possédez : il peut s’agir d’une application mobile qui reçoit une notification ou un appareil de génération de jetons. Quelque chose que vous êtes : en général, il s’agit d’une sorte de propriété biométrique, comme l’analyse faciale ou d’empreinte digitale utilisée sur de nombreux appareils mobiles.

Distribution d’identités aux services

Les identités sont souvent utiles pour les services. Souvent, contrairement aux bonnes pratiques, les informations d’identification sont incorporées dans des fichiers de configuration. Si ces fichiers de configuration ne sont pas sécurisés, toute personne avec un accès aux systèmes ou aux dépôts peut accéder à ces informations d’identification et risquer une exposition.

Contrôle d’accès en fonction du rôle

Les rôles sont des ensembles d’autorisations, comme « Lecture seule » ou « Contributeur », que les utilisateurs peuvent obtenir pour accéder à une instance de service Azure.

Les identités sont mappées aux rôles directement ou à travers l’appartenance à un groupe. La séparation des principaux de sécurité, des autorisations d’accès et des ressources permet un contrôle précis et une gestion simple des accès. Les administrateurs peuvent s’assurer que le nombre minimal d’autorisations nécessaires soit accordé.

Privileged Identity Management

Outre la gestion des accès aux ressources Azure avec le contrôle d’accès en fonction du rôle (RBAC), une approche complète de la protection de l’infrastructure doit prendre en compte l’intégration de l’audit continu des membres de rôle suivant l’évolution et les changements de l’organisation. Azure AD Privileged Identity Management (PIM) est une offre payante complémentaire permettant de superviser les attributions de rôles, le libre-service et l’activation de rôle juste-à-temps. Il permet également de procéder à des examens des accès pour les ressources Azure AD et Azure.

management d’identé

Chiffrement

Pour la plupart des organisations, les données constituent des ressources irremplaçables et les plus précieuses. Le chiffrement constitue la dernière et la plus forte ligne de défense dans une stratégie de sécurité par couche.

Qu’est-ce que le chiffrement ?

Le chiffrement est le processus qui rend les données illisibles et inutilisables pour les utilisateurs non autorisés. Pour que les données chiffrées puissent être utilisées ou lues, elles doivent être déchiffrées, ce qui nécessite l’utilisation d’une clé secrète. Il existe deux types principaux de chiffrement : symétrique et asymétrique.

Les chiffrements symétrique et asymétrique contribuent à sécuriser vos données de manière appropriée. Le chiffrement est généralement implémenté de deux façons :

  • Chiffrement au repos
  • Chiffrement en transit

Chiffrement au repos

Les données au repos sont les données qui ont été stockées sur un support physique. Elles peuvent être stockées sur le disque d’un serveur, dans une base de données ou dans un compte de stockage. Quel que soit le mécanisme de stockage, le chiffrement de données au repos garantit que les données stockées sont illisibles sans les clés et les secrets nécessaires pour les déchiffrer.

Voici un diagramme qui montre à quoi devraient ressembler les données chiffrées du client quand elles sont dans une base de données.

exemple

Chiffrement en transit

Les données en transit sont les données activement déplacées d’un endroit à un autre, comme sur Internet ou via un réseau privé. Un transfert sécurisé peut être géré par plusieurs couches différentes. Il peut être effectué en chiffrant les données au niveau de la couche application avant de les envoyer sur un réseau. HTTPS est un exemple de chiffrement de couche application en transit.

Ce diagramme présente ce processus. Ici, les données du client sont chiffrées quand elles sont envoyées sur le réseau. Seul le destinataire a la clé secrète qui peut déchiffrer les données dans un format utilisable.

exemple

Chiffrement dans Azure

Voyons quelques moyens par lesquels Azure vous permet de chiffrer les données dans les services.

Chiffrer le stockage brut

Azure Storage Service Encryption pour les données au repos vous permet de protéger vos données conformément aux engagements de votre organisation en matière de sécurité et de conformité. Avec cette fonctionnalité, la plateforme de stockage Azure chiffre automatiquement vos données avant de les stocker de manière persistante dans Disques managés Azure, Stockage Blob Azure, Azure Files ou Stockage File d’attente Azure, et elle déchiffre ces données avant leur récupération.

Chiffrer les disques de machine virtuelle

Storage Service Encryption offre une protection par chiffrement de bas niveau pour les données écrites sur un disque physique

Azure Disk Encryption est une fonctionnalité qui vous permet de chiffrer vos disques de machine virtuelle IaaS Windows et Linux. Azure Disk Encryption s’appuie sur la fonctionnalité standard BitLocker de Windows et sur la fonctionnalité dm-crypt de Linux pour assurer le chiffrement des volumes des disques de système d’exploitation et des disques de données. La solution est intégrée à Azure Key Vault, ce qui vous permet de contrôler et de gérer les clés et les secrets de chiffrement de disque (et vous pouvez utiliser Managed Service Identity pour accéder au coffre de clés).

Chiffrer les bases de données

TDE (Transparent Data Encryption) aide à protéger Azure SQL Database et Azure Data Warehouse contre les menaces d’activité malveillante. TDE chiffre et déchiffre en temps réel la base de données, les sauvegardes associées et les fichiers journaux de transactions au repos, sans changer l’application. Par défaut, TDE est activé pour toutes les bases de données SQL Azure nouvellement déployées.

Chiffrer des secrets

Azure Key Vault est un service cloud centralisé conçu pour le stockage des secrets d’application. Key Vault vous aide à gérer les secrets de vos applications en les conservant dans un emplacement central unique et en fournissant des fonctionnalités d’accès sécurisé, de contrôle des autorisations et de journalisation des accès. Ce service est utile dans divers scénarios :

  • Gestion des secrets.
  • Gestion des clés.
  • Gestion des certificats.
  • Stockage de secrets.

Les avantages de l’utilisation de Key Vault sont les suivants :

  • Centralisation des secrets d’application.
  • Stockage sécurisé des secrets et des clés.
  • Supervision des accès et de l’utilisation. Key Vault
  • Intégration dans d’autres services Azure.

Protéger votre réseau

Approche en couche de la sécurité réseau

Une approche en couche offre plusieurs niveaux de protection. De cette façon, si un attaquant passe à travers une couche, les autres protections en place limitent encore l’attaque.

Protection d’Internet

Assurez-vous d’identifier toutes les ressources qui autorisent le trafic réseau entrant, quel que soit son type, et vérifiez qu’elles sont restreintes aux seuls ports et protocoles nécessaires. Azure Security Center est l’endroit idéal pour rechercher ces informations, car il identifie les ressources accessibles sur Internet qui ne sont pas associées à un groupe de sécurité réseau, ainsi que celles qui ne sont pas sécurisées derrière un pare-feu.

Arrêt des attaques par déni de service distribué (DDoS)

Toute ressource accessible sur Internet est susceptible de subir une attaque par déni de service. Ce type d’attaque tente de surcharger une ressource réseau en envoyant un nombre de requêtes si grand que la ressource ralentit ou ne répond plus.

En combinant le service Azure DDoS Protection avec de bonnes pratiques de conception d’application, vous renforcez votre défense contre les attaques par déni de service distribué.

Ce diagramme illustre le trafic réseau qui part à la fois de clients et d’un attaquant vers Azure. La protection Azure DDoS identifie la tentative de l’attaquant de submerger le réseau et empêche le trafic d’atteindre les services Azure. Le trafic légitime des clients continue d’être acheminé dans Azure sans interruption de service.

Attaque DDOS

Azure DDoS Protection offre les niveaux de service suivants :

  • De base : Le niveau de service De base est automatiquement activé sur la plateforme Azure.

  • Standard : Le niveau de service Standard fournit des fonctionnalités d’atténuation supplémentaires conçues spécifiquement pour les ressources de réseau virtuel Azure. DDoS Protection Standard est facile à activer et ne nécessite aucun changement dans l’application.

Sécurité des réseaux virtuels

Dans un réseau virtuel, il est crucial de limiter au strict nécessaire la communication entre les ressources.

Les groupes de sécurité réseau (NSG) jouent un rôle essentiel pour limiter les communications inutiles entre les machines virtuelles.

Intégration réseau

Il est courant d’avoir une infrastructure réseau qui doit être intégrée pour autoriser les communications à partir de réseaux locaux, ou pour améliorer la communication entre services dans Azure.

Protégez vos documents partagés

Microsoft Azure Information Protection (parfois appelé AIP) est une solution cloud qui aide les organisations à classer et éventuellement protéger leurs documents et e-mails en leur appliquant des étiquettes.

Il est possible de les appliquer automatiquement selon des règles et des conditions. Les étiquettes peuvent également être appliquées manuellement. Vous pouvez également guider les utilisateurs dans leur choix d’étiquettes recommandées en combinant des étapes automatiques et manuelles.

La capture d’écran ci-dessous montre un exemple de protection AIP activée sur l’ordinateur d’un utilisateur. Dans cet exemple, l’administrateur a configuré une étiquette avec des règles qui détectent les données sensibles.

exemple

Azure Advanced Threat Protection

Azure Advanced Threat Protection (Azure ATP) est une solution de sécurité cloud qui identifie, détecte et vous aide à examiner les menaces avancées, les identités compromises et les actions malveillantes initiés contre votre entreprise.

Azure ATP est capable de détecter les attaques et techniques malveillantes connues, les problèmes de sécurité et les risques encourus par votre réseau.

Portail Azure ATP

Azure ATP a son propre portail, par le biais duquel vous pouvez superviser et gérer les activités suspectes. Dans le portail Azure ATP, vous pouvez créer votre instance Azure ATP et voir les données provenant des capteurs Azure ATP. Vous pouvez également utiliser le portail pour superviser, gérer et examiner les menaces dans votre environnement réseau.

Capteur Azure ATP

Les capteurs Azure ATP sont installés directement sur vos contrôleurs de domaine. Le capteur supervise le trafic des contrôleurs de domaine sans avoir besoin d’un serveur dédié ou d’une configuration de mise en miroir de ports.

Service cloud Azure ATP

Le service cloud Azure ATP s’exécute sur l’infrastructure Azure et est actuellement disponible aux États-Unis, en Europe et en Asie. Le service cloud Azure ATP est connecté à Microsoft Intelligent Security Graph.

Questionnaire

Contrôlez vos connaissances

  1. La sécurité du cloud est une responsabilité que vous partagez avec votre fournisseur de cloud. Quelle catégorie de services cloud nécessite l’effort de sécurité le plus important de votre part ?

IaaS (Infrastructure as a Service)

PaaS (Platform as a Service)

SaaS (software as a service)

  1. Parmi les options suivantes, laquelle vous permet de désactiver le plus facilement un compte lorsqu’un employé quitte l’entreprise ?

Appliquer l’authentification multifacteur (MFA)

Superviser les tentatives de connexion

Utiliser l’authentification unique

  1. Parmi les méthodes suivantes, laquelle est la plus efficace pour protéger les données clients sensibles ?

Chiffrer les données qui résident dans votre base de données

Chiffrer les données lorsqu’elles transitent sur le réseau

Chiffrer à la fois les données qui se trouvent dans votre base de données et celles qui transitent sur le réseau

  1. Il y a eu une attaque sur votre site web public. Les ressources d’application ont été surchargées et épuisées, et ne sont plus accessibles aux utilisateurs. Quel service devez-vous utiliser pour empêcher ce type d’attaque ?

Protection DDoS

Pare-feu Azure

Groupe de sécurité réseau

Application Gateway

  1. Vous souhaitez stocker les certificats dans Azure afin de les gérer de façon centralisée pour vos services. Quel service Azure devez-vous utiliser ?

AIP

Azure AD

Azure Key Vault

Azure ATP