TECH Talk : Les meilleures pratiques de sécurité pour les charges de travail de l'IaaS dans Azure

Auteur : Stefan Gajic, Responsable Cloud et Infrastructure au sein du groupe P3, MCT à Semos Education

 

Dans ce blog, nous allons couvrir les meilleures pratiques de sécurité les plus importantes pour protéger votre IaaS. Ce sera un teaser pour ceux qui ne sont pas familiers avec ces méthodes pour commencer à penser et à apprendre sur la sécuritéAzure, et pour ceux d'entre vous qui mettent déjà en œuvre certaines de ces fonctionnalités de sécurité, des rappels pour continuer à le faire ou même pour prêter plus d'attention à la sécurité de l'IaaS.

N'oubliez pas que la sécurité Azure est une responsabilité partagée et que nous sommes responsables de la manière dont l'infrastructure sera protégée. Ne laissez pas les incidents être à l'origine d'une mise en ordre de la sécurité, mais soyez plutôt proactif et gardez toujours à l'esprit que vous êtes responsable de la sécurité des charges de travail dans Azure.

Voici les sujets que nous allons aborder, et ces meilleures pratiques sont déjà écrites dans la Microsoft documentation officielle, cependant, j'étais libre de pimenter le tout avec mon expérience :

  1. Planification et déploiement des machines virtuelles
  2. Protéger les machines virtuelles grâce au contrôle d'accès (IAM)
  3. Protection des points terminaux des machines virtuelles
  4. Disponibilité des VM
  5. Mises à jour des VM - correctifs de sécurité
  6. Cryptage des disques durs
  7. Sécurité des réseaux pour les VM
  8. Accès à la VM juste à temps
  9. Surveillance de votre infrastructure

Planification et déploiement des machines virtuelle
s
Lorsqu'il s'agit de planification, il y a beaucoup de choses considérées comme relevant du bon sens et, d'après mon expérience pratique, la plupart des choses qui "vont de soi" sont l'endroit où les choses vont s'écrouler. C'est pourquoi j'aime toujours commencer un projet avec une bonne planification, ou comme dirait mon ex-patron : "Faire quelque chose sans planification équivaut à ne pas le faire". Pour analyser et parler aux gens, vous pouvez travailler dans les opérations informatiques ou dans l'équipe de développement qui sera chargée d'attribuer l'accès à l'IaaS à d'autres personnes ou vous pouvez être demandeur, peu importe, toujours demander des sessions de planification - la question est pourquoi ? Eh bien, les gens demandent parfois des ressources dans le nuage qui ne sont pas nécessairement nécessaires, et, dans la plupart des cas, ils ne prêteront pas beaucoup d'attention à la sécurité. La sécurité est une RESPONSABILITÉ PARTAGÉE entre le fournisseur de cloud, dans ce cas, Microsoft et vous en tant que client :

Planification et déploiement des machines virtuelles

Une fois que vous avez tout réglé avec vos clients, vos collègues ou vos collègues de travail, documentez tout cela (ne vous laissez pas aller à la paresse et laissez cela pour plus tard), envoyez-le à votre équipe sous forme de mini plan de projet et, en tant que meilleure pratique, dans ce cas, faites votre documentation avec les pratiques que vous voulez mettre en œuvre - bien sûr, vous pouvez avoir des plans et des politiques en place, et si votre environnement est à ce niveau, bravo, mais généralement les départements informatiques n'auront pas beaucoup de temps pour configurer tout cela, alors préparez-vous avec des documents de "meilleures pratiques". 


Lors de la planification, l'utilisation du Azure calculateur et la mise en place d'alertes budgétaires pour votre infrastructure, au moins pour éviter les risques financiers, relèvent de la sécurité. 

 

Protéger les machines virtuelles grâce au contrôle d'accès (IAM)

La première chose que vous voulez savoir pendant les sessions de planification est ce qui est requis pour l'équipe ou la personne qui utilisera l'IaaS - utilisez toujours l'approche du moindre privilège - donc vous leur donnez exactement ce dont ils ont besoin, s'ils ont besoin de plus vous serez celui qui l'approuvera, et s'ils ne se plaignent pas, eh bien, vous êtes bon pour aller et être en sécurité. Il existe plusieurs rôles différents que vous pouvez utiliser. Suivez le lien officielMicrosoft pour vérifier lequel répond le mieux à vos besoins.

 

Protection des points terminaux des machines virtuelles

Une fois que vous avez déployé l'infrastructure ou la machine virtuelle, il est temps pour vous de penser à la protection des points d'extrémité. Comme pour votre ordinateur portable personnel, vous voulez être en sécurité, n'est-ce pas ? Alors comment se fait-il que certaines personnes oublient de mettre en place un point d'extrémité sur les machines virtuelles.


Vous devez installer une protection antimalware pour aider à identifier et à supprimer les virus, les logiciels espions et autres logiciels malveillants. Vous pouvez installer
Microsoft Antimalware ou la solution de protection des points terminaux d'un Microsoft partenaire (Trend Micro, Broadcom, McAfee, Windows Defenderet Protection des points terminaux du centre de système). Microsoft dépense 1 milliard par an pour la sécurité - pourquoi ne pas l'utiliser, c'est comme de l'argent gratuit qui peut sauver votre infra ?

Protection des terminaux pour les machines virtuelles

Disponibilité des VM

En ce qui concerne la disponibilité, les numéros garantis pour les SLA (Service Level Agreement) sont vraiment bons, mais votre VM peut baisser en cas de problème ou de fenêtre de maintenance.


Ces deux pratiques vous aideront :
Disponibilité des ensembles et Zone de disponibilité

Si vous ne savez pas encore comment utiliser ces fonctionnalités, je vous conseille vivement de les trouver dans les Microsoft documents et de commencer à les utiliser pour les ressources les plus importantes de votre environnement.

Disponibilité des VM

Mises à jour des VM - correctifs de sécurité

  • Azure Les VM, comme toutes les VM sur site, sont censées être gérées par les utilisateurs. Azure ne leur envoie pas de mises à jour Windows. Vous devez gérer les mises à jour de vos VM.
  • Gardez vos VM à jour. 
  • Si vous utilisez Windows Update, laissez le paramètre de mise à jour automatique de Windows activé. Assurez-vous au moment du déploiement que les images que vous avez créées incluent la série la plus récente de mises à jour Windows.
  • Redéployez périodiquement vos VM pour forcer une nouvelle version de l'OS.
  • Définissez votre VM avec un Azure Modèle de gestionnaire de ressources afin de pouvoir le redéployer facilement. L'utilisation d'un modèle vous permet de disposer d'une VM sécurisée et patchée quand vous en avez besoin.
  • Appliquer rapidement les mises à jour de sécurité aux VM.
  • Azure Centre de sécurité (niveau libre ou niveau standard) à identifier les mises à jour de sécurité manquantes et les appliquer.
  • Installez les dernières mises à jour de sécurité.
  • Déployer et tester une solution de sauvegarde.

Une sauvegarde doit être traitée de la même manière que toute autre opération. C'est le cas des systèmes qui font partie de votre environnement de production et qui s'étendent jusqu'au nuage.

 

Cryptage des disques durs

  • Il est fortement recommandé de crypter vos disques durs virtuels (VHD) pour protéger votre volume de démarrage et les volumes de données au repos en stockage, ainsi que vos clés de cryptage et vos secrets. Azure Le cryptage des disques utilise le standard de l'industrie BitLocker de Windows et de la fonction DM-Crypt de Linux pour assurer le cryptage en volume du système d'exploitation et des disques de données.
  • Utilisez une clé de cryptage (KEK) pour un niveau de sécurité supplémentaire des clés de cryptage. Ajoutez une KEK à votre coffre-fort de clés.
  • Prenez un instantané et/ou de sauvegarde avant que les disques ne soient cryptés. Les sauvegardes offrent une option de récupération si une défaillance inattendue se produit pendant le cryptage.
  • Pour s'assurer que les secrets de cryptage ne franchissent pas les frontières régionales, Azure le cryptage de disque a besoin que le coffre-fort de clés et les machines virtuelles soient situés dans la même région.

Sécurité des réseaux pour les VM

  • Identifier et remédier aux VM exposées qui permettent l'accès à partir de "n'importe quelle" adresse IP source.
  • Configurer le NSG - Groupes de sécurité du réseau. 
  • Par défaut, chaque VM a ouvert des ports RDP et SSH depuis n'importe quel endroit. Ceci, avec une adresse IP publique assignée à la VM, est un appel aux pirates, car chaque adresse IP publique est scannée et les attaquants peuvent, ou je dirais même vont l'attaquer si vous la laissez comme ça.
  • Entrez dans les détails et construisez votre NSG de sorte que seuls les utilisateurs de certaines adresses IP puissent accéder à votre VM.
  • Prenez un serveur hautement confidentiel où sont stockées les données des utilisateurs. Comment les protéger ? Envisagez d'utiliser des serveurs de saut. Il s'agit de machines virtuelles, non liées à un domaine, à partir desquelles vous pouvez accéder à d'autres machines virtuelles dans votre environnement. 
Sécurité des réseaux pour les VM

Accès à la VM juste à temps (JIT
)
Restreindre les ports de gestion (RDP, SSH). Détail : L'accès juste-à-temps (JIT) aux machines virtuelles peut être utilisé pour verrouiller le trafic entrant vers vos Azure machines virtuelles, réduisant ainsi l'exposition aux attaques tout en offrant un accès facile pour se connecter aux machines virtuelles lorsque cela est nécessaire. Lorsque le JIT est activé, le centre de sécurité verrouille le trafic entrant vers vos Azure machines virtuelles en créant une règle de groupe de sécurité réseau. Vous sélectionnez les ports de la VM vers lesquels le trafic entrant sera verrouillé. Ces ports sont contrôlés par la solution JIT.

Lisez les scénarios d'attaque potentiels qui peuvent vous arriver et vous pourrez ensuite mettre en œuvre rapidement le JIT 😊.

Accès aux VM

Surveillance de votre infrastructure

Azure Le Security Center est un système de gestion de la sécurité de l'infrastructure unifiée qui renforce la posture de sécurité de vos centres de données et fournit une protection avancée contre les menaces pour toutes vos charges de travail hybrides dans le nuage - qu'elles soient Azure ou non dans le nuage - ainsi que sur site. Il est recommandé d'utiliser Azure Surveillez pour obtenir une visibilité sur la santé de votre ressource. Azure Surveiller les caractéristiques :

Les organisations qui ne surveillent pas les performances des VM ne peuvent pas déterminer si certains changements dans les modèles de performance sont normaux ou anormaux. Une VM qui consomme plus de ressources que la normale peut indiquer une attaque d'une ressource externe ou un processus compromis s'exécutant dans la VM.

Surveillance de votre infrastructure

Merci de lire ce blog.

Pour plus de détails et de références, voir à ce sujet lien

Bonnes pratiques de sécurité pour les charges de travail de l'IaaS dans Azure
Menu