Vue d'ensemble : appliquer des principes de Confiance Zéro à Azure IaaS

Remarque

Livestream à venir Rejoignez l’équipe Azure FastTrack pour une discussion sur cet article. 23 octobre 2024 | 10:00 – 11:00 (UTC-07:00) Heure du Pacifique (États-Unis et Canada) Inscrivez-vous ici.

Résumé : Pour appliquer les principes de Confiance Zéro aux composants et à l’infrastructure d’IaaS Azure, vous devez d’abord comprendre l’architecture de référence courante et les composants du stockage Azure, des machines virtuelles et des réseaux virtuels « spoke and hub ».

Cette série d'articles vous aide à appliquer les principes de Confiance Zéro à vos charges de travail dans Microsoft Azure IaaS en fonction d'une approche multidisciplinaire pour appliquer les principes de Confiance Zéro. La confiance zéro est une stratégie de sécurité. Ce n’est ni un produit ni un service, mais plutôt une approche de conception et d’implémentation de l’ensemble des principes de sécurité suivants :

  • Vérifier explicitement
  • Utiliser le droit d'accès minimal
  • Supposer une violation

L’implémentation de l’état d’esprit de Confiance Zéro qui consiste à « présumer une violation, ne jamais faire confiance, toujours vérifier » nécessite certaines modifications à l’infrastructure cloud, à la stratégie de déploiement et à l’implémentation.

Cette série initiale de cinq articles (dont cette introduction) vous montre comment mettre en œuvre l’approche de Confiance Zéro dans un scénario métier informatique courant basé sur des services d’infrastructure. Le travail est divisé en unités qui peuvent être configurées ensemble comme suit :

Pour plus d’informations, consultez Appliquer les principes de Confiance Zéro à Azure Virtual Desktop.

Remarque

D'autres articles seront ajoutés à cette série à l'avenir, notamment la façon dont les organisations peuvent appliquer une approche Confiance Zéro aux applications, à la mise en réseau, aux données et aux services DevOps basés sur des environnements d'entreprise informatiques réels.

Important

Ces conseils sur la Confiance Zéro explique comment utiliser et configurer plusieurs solutions et fonctionnalités de sécurité disponibles sur Azure pour une architecture de référence. Plusieurs autres ressources fournissent également des conseils de sécurité pour ces solutions et fonctionnalités, notamment :

Pour décrire comment appliquer une approche Confiance Zéro, ce guide cible un modèle courant utilisé en production par de nombreuses organisations : une application basée sur des machines virtuelles hébergée dans un réseau virtuel (et une application IaaS). Il s’agit d’un modèle courant pour les organisations qui migrent des applications locales vers Azure. Cette procédure est également appelée « lift-and-shift ». L’architecture de référence inclut tous les composants nécessaires pour la prise en charge de cette application, y compris les services de stockage et un VNet de hub.

L'architecture de référence reflète un modèle de déploiement courant dans les environnements de production. Elle n’est pas basée sur les zones d’atterrissage recommandées à l’échelle de l’entreprise dans la Cloud Adoption Framework (CAF), bien que la plupart des meilleures pratiques de la CAF soient incluses dans l’architecture de référence, comme l’utilisation d’un VNet dédié à l’hébergement des composants qui répartissent l’accès à l’application (VNet de hub).

Si vous souhaitez en savoir plus sur les conseils visant les zones d’atterrissage Azure de la Cloud Adoption Framework, consultez les ressources suivantes :

Architecture de référence

La figure suivante montre l'architecture de référence pour ces conseils Confiance Zéro.

Diagramme de l'architecture de référence pour l'application Confiance Zéro à Azure IaaS qui contient différents types d'utilisateurs, des applications courantes fonctionnant sur des machines virtuelles, des services PaaS et du stockage.

Cette architecture contient :

  • Plusieurs composants et éléments IaaS, y compris différents types d'utilisateurs et de consommateurs informatiques accédant à l'application à partir de différents sites. tels qu'Azure, Internet, des sites locaux et des filiales.
  • Une application commune à trois niveaux contenant une couche front-end, une couche Application et une couche Données. Tous les niveaux s'exécutent sur des machines virtuelles au sein d'un réseau virtuel nommé SPOKE. L'accès à l'application est protégé par un autre réseau virtuel nommé HUB qui contient des services de sécurité supplémentaires.
  • Certains services PaaS les plus utilisés sur Azure qui prennent en charge des applications d’IaaS, notamment le contrôle d’accès en fonction du rôle (RBAC, role-based access control) et Microsoft Entra ID, contribuant à l’approche de sécurité de Confiance Zéro.
  • Des objets blob de stockage et des fichiers de stockage qui fournissent un stockage d'objets pour les applications et les fichiers partagés par les utilisateurs.

Cette série d’articles explique les recommandations relatives à l’implémentation de la Confiance Zéro pour l’architecture de référence en traitant chacun des éléments plus volumineux hébergés dans Azure, tel qu’illustré ici.

Diagramme de l'architecture de référence pour l'application Confiance Zéro à Azure IaaS qui montre les composants groupés pour le stockage, les machines virtuelles et les réseaux virtuels spoke et hub.

Le diagramme présente les grands domaines de l'architecture qui sont traités par chaque article de cette série :

  1. Services de stockage Azure
  2. Machines virtuelles
  3. Réseaux virtuels Spoke
  4. Réseaux virtuels Hub

Il est important de noter que les conseils de cette série d'articles sont plus spécifiques pour ce type d'architecture que les conseils fournis dans les architectures de Cloud Adoption Framework et de la zone d'atterrissage Azure. Si vous avez appliqué les conseils dans l’une de ces ressources, veillez à consulter également cette série d’articles pour obtenir d’autres recommandations.

Vue d'ensemble des composants Azure

Le diagramme d'architecture de référence fournit une vue topologique de l'environnement. Il est également utile de voir logiquement comment chacun des composants peut être organisé dans l'environnement Azure. Le diagramme suivant permet d'organiser vos abonnements et groupes de ressources. Vos abonnements Azure peuvent être organisés différemment.

Diagramme de l'architecture logique pour l'application Confiance Zéro à Azure IaaS montrant les abonnements, Microsoft Defender pour le cloud et Azure Monitor, et les groupes de ressources au sein d'un locataire Microsoft Entra ID.

Dans ce diagramme, l’infrastructure Azure est contenue dans un locataire Microsoft Entra ID. Le tableau suivant décrit les différentes sections présentées dans le diagramme.

  • Abonnements Azure

    Vous pouvez distribuer les ressources dans plusieurs abonnements, où chaque abonnement peut contenir différents rôles, tels que l'abonnement réseau ou l'abonnement de sécurité. Cette procédure est décrite dans la documentation du Cloud Adoption Framework et de la zone d'atterrissage Azure précédemment référencée. Les différents abonnements peuvent également contenir différents environnements, notamment la production, le développement et les environnements de test. Cela dépend de comment vous souhaitez séparer votre environnement et le nombre de ressources dont vous disposerez dans chacun d’entre eux. Un ou plusieurs abonnements peuvent être gérés ensemble à l'aide d'un groupe d'administration. Cela vous donne la possibilité d’appliquer des autorisations avec le RBAC et des stratégies Azure à un groupe d’abonnements, au lieu de configurer individuellement chaque abonnement.

  • Microsoft Defender pour le cloud et Azure Monitor

    Pour chaque abonnement Azure, un ensemble de solutions Azure Monitor et de Defender pour le cloud est disponible. Si vous gérez ces abonnements par le biais d’un groupe d’administration, vous avez la possibilité de consolider toutes les fonctionnalités Azure Monitor et Defender pour le cloud dans un seul portail. Par exemple, Secure Score, une fonctionnalité assurée par Defender pour le cloud, est consolidée pour tous vos abonnements, avec un groupe d’administration comme étendue.

  • Groupe de ressources de stockage (1)

    Le compte de stockage est contenu dans un groupe de ressources dédié. Vous pouvez isoler chaque compte de stockage dans un groupe de ressources différent pour un contrôle d'autorisation plus précis. Les services de stockage Azure sont contenus dans un compte de stockage dédié. Vous pouvez avoir un compte de stockage pour chaque type de charge de travail de stockage, par exemple un objet Stockage (également appelé Stockage Blob) et Azure Files. Cela fournit un contrôle d'accès plus précis et peut améliorer les performances.

  • Groupe de ressources de machines virtuelles (2)

    Les machines virtuelles sont contenues dans un groupe de ressources. Vous pouvez également placer chaque type de machine virtuelle pour les niveaux de charge de travail tels que le front-end, l'application et les données dans différents groupes de ressources pour isoler davantage le contrôle d'accès.

  • Groupes de ressources de réseau virtuel Spoke (3) et Hub (4) dans des abonnements distincts

    Le réseau et les autres ressources pour chacun des réseaux virtuels de l'architecture de référence sont isolés au sein de groupes de ressources dédiés pour les réseaux virtuels Spoke et Hub. Cette organisation fonctionne bien lorsque la responsabilité de ces ressources incombent à différentes équipes. Une autre option consiste à organiser ces composants en plaçant toutes les ressources réseau dans un groupe de ressources et les ressources de sécurité dans un autre. Cela dépend de la façon dont votre organisation est configurée pour gérer ces ressources.

Protection contre les menaces avec Microsoft Defender pour le cloud

Microsoft Defender pour le cloud est une solution de détection et réponse étendues (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d'alerte sur l'ensemble de votre environnement. Defender pour le cloud est destiné à être utilisé avec Microsoft Defender XDR pour fournir une protection corrélée plus vaste de votre environnement, tel qu’illustrée dans le diagramme suivant.

Diagramme de l’architecture logique de Microsoft Defender pour le cloud et Microsoft Defender XDR, qui fournit une protection contre les menaces pour les composants d’IaaS Azure.

Comme le montre le diagramme :

  • Defender pour le cloud est activé pour un groupe d'administration qui inclut plusieurs abonnements Azure.
  • Microsoft Defender XDR est activé pour les applications et les données Microsoft 365, les applications SaaS intégrées à Microsoft Entra ID et les serveurs AD DS (Active Directory Domain Services) locaux.

Pour plus d'informations sur la configuration des groupes d'administration et l'activation de Defender pour le cloud, consultez :

Solutions de sécurité dans cette série d'articles

Confiance Zéro implique l'application conjointe de plusieurs disciplines de sécurité et de protection des données. Dans cette série d'articles, cette approche pluridisciplinaire est appliquée à chacune des unités de travail pour les composants d'infrastructure comme suit :

Appliquer les principes Confiance Zéro au stockage Azure

  1. Protéger les données dans les trois modes suivants : données au repos, données en transit et données en cours d'utilisation
  2. Vérifier les utilisateurs et contrôler l'accès aux données de stockage avec les privilèges minimum
  3. Séparer logiquement ou isoler les données critiques avec des contrôles réseau
  4. Utiliser Defender pour le stockage pour la détection et la protection automatisées des menaces

Appliquer les principes Confiance Zéro à des machines virtuelles dans Azure

  1. Configurer l'isolation logique pour les machines virtuelles
  2. Tirer profit du contrôle d'accès en fonction du rôle (RBAC)
  3. Sécuriser les composants de démarrage de machine virtuelle
  4. Activer les clés gérées par le client et le chiffrement double
  5. Contrôler les applications installées sur les machines virtuelles
  6. Configurer l'accès sécurisé
  7. Configurer la maintenance sécurisée des machines virtuelles
  8. Activer la détection et la protection avancées contre les menaces

Appliquer les principes de Confiance Zéro à un réseau virtuel Spoke dans Azure

  1. Tirer parti de du RBAC de Microsoft Entra ou configurer des rôles personnalisés pour les ressources réseau
  2. Isoler l'infrastructure dans son propre groupe de ressources
  3. Créer un groupe de sécurité réseau pour chaque sous-réseau
  4. Créer des groupes de sécurité d'application pour chaque rôle de machine virtuelle
  5. Sécuriser le trafic et les ressources au sein du réseau virtuel
  6. Sécuriser l'accès au réseau virtuel et à l'application
  7. Activer la détection et la protection avancées contre les menaces

Appliquer les principes de Confiance Zéro à un réseau virtuel Hub dans Azure

  1. Sécuriser le pare-feu Azure Premium
  2. Déployer Azure DDoS Protection Standard
  3. Configurer le routage de passerelle réseau vers le pare-feu
  4. Configurer la protection contre les menaces

Illustrations techniques

Ces illustrations sont des réplicas des illustrations de référence dans ces articles. Téléchargez et personnalisez-les pour votre propre organisation et clients. Remplacez le logo Contoso par votre propre logo.

Élément Description
Image miniature 1Télécharger Visio
Mise à jour d’octobre 2024
Appliquez les principes de Confiance zéro à Azure IaaS
Utilisez ces illustrations avec ces articles :
- Vue d’ensemble
- Azure Storage
- Machines virtuelles
- Réseaux virtuels Spoke Azure
- Réseaux virtuels Azure Hub
Image miniature 2Télécharger Visio
Mise à jour d’octobre 2024
Appliquer Confiance Zéro principes à Azure IaaS – Affiche d’une page
Vue d’ensemble d’une page du processus d’application des principes de Confiance Zéro aux environnements IaaS Azure.

Pour obtenir des illustrations techniques supplémentaires, consultez Confiance Zéro illustrations pour les architectes et les implémenteurs informatiques.

Voici les modules d'e formation recommandés pour la Confiance Zéro.

Gestion et gouvernance d'Azure

Formation Décrire la gestion et la gouvernance d'Azure
La formation Principes de base de Microsoft Azure est composée de trois parcours d'apprentissage : Principes de base de Microsoft Azure : Décrire les concepts du cloud, Décrire l'architecture et les services Azure et Décrire la gestion et la gouvernance Azure. Notions de base Microsoft Azure : décrire la gestion et la gouvernance Azure est le troisième parcours d'apprentissage de Microsoft Azure. Ce parcours d'apprentissage explore les ressources de gestion et de gouvernance disponibles pour vous aider à gérer vos ressources Cloud et sur site.
Ce parcours d'apprentissage vous aide à vous préparer à l'Examen AZ-900 : Fondamentaux de Microsoft Azure.

Configurer Azure Policy

Formation Configurer Azure Policy
Découvrez comment configurer Azure Policy pour implémenter les exigences de conformité.
Dans ce module, vous allez découvrir comment :
  • Créer des groupes d'administration pour cibler des stratégies et dépenser des budgets.
  • Implémenter Azure Policy avec des définitions de stratégie et d'initiative.
  • Délimiter l'étendue des stratégies Azure et déterminer leur conformité.
  • Gérer les opérations de sécurité

    Formation Gérer les opérations de sécurité
    Une fois que vous avez déployé et sécurisé votre environnement Azure, découvrez comment superviser, utiliser et améliorer en permanence la sécurité de vos solutions.
    Ce parcours d'apprentissage vous aide à vous préparer à l'Examen AZ-500 : Technologies de sécurité Microsoft Azure.

    Configurer la sécurité du stockage

    Formation Configurer la sécurité du stockage
    Découvrez comment configurer les fonctionnalités de sécurité courantes du stockage Azure, telles que les signatures d'accès au stockage.
    Dans ce module, vous allez découvrir comment :
  • Configurez une signature d'accès partagé (SAP), notamment les paramètres URI (Uniform Resource Identifier) et SAS.
  • Configurer le chiffrement du Stockage Azure.
  • Implémenter des clés gérées par le client.
  • Recommander des opportunités d'améliorer la sécurité du Stockage Azure.
  • Configurer le pare-feu Azure

    Formation Configurer le pare-feu Azure
    Vous allez apprendre à configurer le Pare-feu Azure, notamment les règles de pare-feu.
    À la fin de ce module, vous pourrez :
  • Déterminer quand utiliser le Pare-feu Azure.
  • Implémenter le Pare-feu Azure, y compris des règles de pare-feu.
  • Pour plus de formation sur la sécurité dans Azure, consultez ces ressources dans le catalogue Microsoft :
    Sécurité dans Azure | Microsoft Learn

    Étapes suivantes

    Consultez ces articles supplémentaires pour appliquer les principes de Confiance Zéro à Azure :

    Consultez ces articles supplémentaires pour appliquer des principes de Confiance Zéro à la mise en réseau Azure :

    Références

    Consultez les liens suivants pour en savoir plus sur les différentes technologies et les services évoqués dans cet article.