Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les meilleures pratiques en matière de sécurité pour les machines virtuelles et les systèmes d’exploitation.
Les meilleures pratiques proviennent d’un consensus d’opinion et fonctionnent avec les fonctionnalités de plateforme et les ensembles de fonctionnalités actuels Azure. Étant donné que les opinions et les technologies peuvent changer au fil du temps, cet article est mis à jour pour refléter ces changements.
Dans la plupart des scénarios IaaS (Infrastructure as a Service), Azure virtual machines (machines virtuelles) sont la charge de travail principale pour les organisations qui utilisent le cloud computing. Cela est particulièrement vrai dans les scénarios hybrides où les organisations souhaitent migrer lentement les charges de travail vers le cloud. Dans ces cas, suivez les considérations générales de sécurité pour IaaS et appliquez les meilleures pratiques de sécurité à toutes vos machines virtuelles.
Protéger les machines virtuelles à l’aide de l’authentification et de access control
Pour protéger vos machines virtuelles, assurez-vous que seuls les utilisateurs autorisés peuvent configurer de nouvelles machines virtuelles et access machines virtuelles existantes.
Remarque
Pour améliorer la sécurité des machines virtuelles Linux sur Azure, vous pouvez intégrer l’authentification Microsoft Entra. Lorsque vous utilisez l’authentification Microsoft Entra pour les machines virtuelles Linux, vous contrôlez et appliquez de manière centralisée les stratégies qui autorisent ou refusent des access aux machines virtuelles.
Meilleure pratique : contrôler l'accès de la machine virtuelle. Detail : utilisez des stratégies Azure pour établir des conventions pour les ressources de votre organisation et créer des stratégies personnalisées. Appliquez ces stratégies à des ressources, telles que des groupes resource. Les machines virtuelles qui appartiennent à un groupe de ressources héritent des stratégies de ce dernier.
Si votre organisation dispose de nombreux abonnements, vous devrez peut-être gérer efficacement les accès, les politiques et la conformité de ces abonnements. Groupes d'administration Azure fournissent un niveau d'étendue supérieur aux abonnements. Vous organisez les abonnements en groupes d’administration (conteneurs) et vous appliquez vos conditions de gouvernance à ces groupes. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées au groupe. Les groupes d’administration vous permettent une gestion de qualité professionnelle à grande échelle, quel que soit le type de vos abonnements.
Meilleure pratique : réduire la variabilité au niveau de la configuration et du déploiement des machines virtuelles. Detail : utilisez des modèles Azure Resource Manager pour renforcer vos choix de déploiement et faciliter la compréhension et l’inventaire des machines virtuelles dans votre environnement.
Meilleure pratique : sécuriser les accès privilégiés. Detail : utilisez une approche de moindre privilège et des rôles Azure intégrés pour permettre aux utilisateurs d'accéder et de configurer des machines virtuelles :
- Contributeur de l’ordinateur virtuel : peut gérer des machines virtuelles, mais pas le compte virtual network ou storage auquel ils sont connectés.
- Contributeur de machine virtuelleclassique : peut gérer les machines virtuelles créées à l’aide du modèle de déploiement classique, mais pas du compte virtual network ou storage auquel les machines virtuelles sont connectées.
- Admin de sécurité : Dans Defender pour cloud uniquement : peut afficher les stratégies de sécurité, afficher les états de sécurité, modifier les stratégies de sécurité, afficher les alertes et les recommandations, ignorer les alertes et les recommandations.
- DevTest Labs User : peut tout afficher et se connecter, démarrer, redémarrer et arrêter des machines virtuelles.
Les administrateurs d’abonnement et les coadministrateurs peuvent modifier ce paramètre, ce qui les rend administrateurs de toutes les machines virtuelles d’un abonnement. Faites confiance à tous vos administrateurs d’abonnement et coadmins pour vous connecter à l’une de vos machines.
Remarque
Consolidez les machines virtuelles avec le même cycle de vie dans le même groupe de ressources. Les groupes de ressources vous aident à déployer et surveiller vos ressources, tout en compilant leur coût.
Les organisations qui contrôlent l'accès et la configuration des machines virtuelles améliorent leur sécurité globale.
Utiliser les Virtual Machine Scale Sets pour assurer une haute disponibilité.
Si votre machine virtuelle exécute des applications critiques nécessitant une haute disponibilité, utilisez Virtual Machine Scale Sets.
Virtual Machine Scale Sets vous permettent de créer et de gérer un groupe de machines virtuelles à charge équilibrée. Le nombre d’instances de machine virtuelle peut augmenter ou diminuer automatiquement en fonction d’une demande ou d’un calendrier défini. Les ensembles d'échelle fournissent une haute disponibilité à vos applications, et vous pouvez gérer, configurer et mettre à jour de nombreuses machines virtuelles de façon centralisée. Il n’y a aucun coût pour l’ensemble de mise à l’échelle lui-même, vous payez uniquement pour chaque instance de VM que vous créez.
Vous pouvez déployer des machines virtuelles dans un groupe de machines virtuelles identiques (scale set) sur plusieurs zones de disponibilité, sur une seule zone de disponibilité ou à l’échelle régionale
Se protéger des programmes malveillants
Installez la protection contre les logiciels malveillants pour identifier et supprimer les virus, logiciels espions et autres logiciels malveillants. Vous pouvez installer Microsoft Antimalware ou une solution de protection des points de terminaison d’un partenaire de Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender ou System Center Endpoint Protection).
Le logiciel Microsoft Antimalware inclut des fonctionnalités telles que la protection en temps réel, l’analyse planifiée, la correction des logiciels malveillants, la mise à jour des signatures, la mise à jour des moteurs, des exemples de création de rapport et la collecte d’événements d’exclusion. Pour les environnements hébergés séparément de votre environnement de production, utilisez une extension anti-programme malveillant pour protéger vos machines virtuelles et vos cloud services.
Vous pouvez intégrer Microsoft Antimalware et des solutions partenaires à Microsoft Defender for Cloud pour faciliter le déploiement et les détections intégrées (alertes et incidents).
Meilleure pratique : installer une solution anti-programme malveillant pour se protéger des logiciels malveillants.
Procédure détaillée : Installer une solution de partenaire Microsoft ou Microsoft Antimalware
Meilleure pratique : intégrer votre solution anti-programme malveillant avec Defender pour le cloud afin de surveiller l’état de votre protection.
Détail : gérer les problèmes de protection du point de terminaison avec Defender pour le cloud.
Gérer les sauvegardes des machines virtuelles
Azure machines virtuelles, comme toutes les machines virtuelles locales, sont destinées à être gérées par l’utilisateur. Azure ne les envoie pas de mises à jour Windows. Vous devez gérer vous-même les mises à jour de vos machines virtuelles.
Meilleure pratique : veiller à ce que les machines virtuelles soient toujours à jour.
Detail : utilisez la solution Update Management dans Azure Automation pour gérer les mises à jour du système d’exploitation pour vos ordinateurs Windows et Linux déployés dans Azure, dans des environnements locaux ou dans d’autres fournisseurs de cloud. Vous pouvez rapidement évaluer l’état des mises à jour disponibles sur tous les ordinateurs d’agent et gérer le processus d’installation des mises à jour requises pour les serveurs.
Les ordinateurs gérés par Update Management utilisent les configurations suivantes pour effectuer l’évaluation et les déploiements de mises à jour :
- Microsoft Monitoring Agent (MMA) pour Windows ou Linux
- PowerShell Desired State Configuration (DSC) pour Linux
- Runbook Worker hybride Automation
- Services Microsoft Update ou Windows Server Update (WSUS) pour ordinateurs Windows
Si vous utilisez Windows Update, laissez le paramètre de Windows Update automatique activé.
Meilleure pratique : s’assurer, au moment du déploiement, que les images créées incluent les dernières mises à jour Windows.
Procédure détaillée : recherchez et installez toutes les mises à jour Windows au début de chaque déploiement. Cette phase est particulièrement importante lorsque vous déployez les images que vous avez créées ou issues de votre propre bibliothèque. Bien que les images de l’Azure Marketplace soient mises à jour automatiquement par défaut, il peut y avoir un décalage (jusqu’à quelques semaines) après une mise en production publique.
Meilleure pratique : redéployer régulièrement ses machines virtuelles pour actualiser la version du système d’exploitation.
Detail : définissez votre machine virtuelle avec un modèle Azure Resource Manager afin de pouvoir le redéployer facilement. L’utilisation d’un modèle vous permet de bénéficier d’une machine virtuelle corrigée et sécurisée lorsque vous en avez besoin.
Bonne pratique: appliquez rapidement les mises à jour de sécurité aux machines virtuelles.
Detail : activez Microsoft Defender for Cloud (niveau Gratuit ou niveau Standard) pour identifier les mises à jour de sécurité manquantes et les appliquer.
Meilleure pratique : installer les dernières mises à jour de sécurité.
Detail : certaines des premières charges de travail que les clients passent à Azure sont des laboratoires et des systèmes externes. Si vos machines virtuelles Azure hébergent des applications ou des services qui doivent être accessibles à Internet, soyez vigilants sur la mise à jour corrective. Installez les correctifs au-delà du système d’exploitation. Des vulnérabilités non corrigées sur des applications partenaires peuvent également entraîner des problèmes pouvant être facilement évités avec une gestion efficace des correctifs.
Meilleure pratique : déployer et tester une solution de sauvegarde.
Procédure détaillée : la sauvegarde doit être gérée de la même façon que les autres opérations. Cette gestion est vraie pour les systèmes qui font partie de votre environnement de production qui s’étendent au cloud.
Les systèmes de développement et de test doivent suivre des stratégies de sauvegarde capables de fournir des capacités de restauration similaires à ce à quoi les utilisateurs se sont habitués au cours de leur expérience avec des environnements sur site. Les charges de travail de production déplacées vers Azure doivent s’intégrer aux solutions de sauvegarde existantes si possible. Vous pouvez également utiliser Azure Backup pour répondre à vos besoins de sauvegarde.
Les organisations qui n’appliquent pas de stratégies de mise à jour logicielle s’exposent davantage aux menaces qui exploitent les vulnérabilités connues, déjà corrigées. Pour se conformer aux réglementations en vigueur, les entreprises doivent prouver leur diligence et la mise en place de contrôles appropriés visant à améliorer la sécurité de leurs charges de travail dans le cloud.
Les meilleures pratiques de mise à jour logicielle pour un centre de données traditionnel et Azure IaaS présentent de nombreuses similitudes. Évaluez vos stratégies de mise à jour logicielle actuelles pour inclure des machines virtuelles situées dans Azure.
Gérer l’état de sécurité des machines virtuelles
Les cyberthréats évoluent toujours. La protection de vos machines virtuelles nécessite une fonctionnalité de supervision qui peut détecter rapidement les menaces, empêcher les access non autorisés à vos ressources, déclencher des alertes et réduire les faux positifs.
Pour surveiller la posture de sécurité de vos machines virtuelles Windows et Linux machines virtuelles, utilisez Microsoft Defender for Cloud. Dans Defender pour le cloud, protégez vos machines virtuelles en tirant parti des fonctionnalités suivantes :
- Appliquer les paramètres de sécurité du système d’exploitation avec les règles de configuration recommandées
- Rechercher et télécharger les mises à jour critiques et les mises à jour de sécurité qui peuvent être manquantes
- Mettre en œuvre les recommandations de protection contre les logiciels malveillants
- Valider le chiffrement des disques
- Évaluer et corriger les vulnérabilités
- Détecter les menaces
Defender pour cloud peut surveiller activement les menaces et les alertes de sécurité exposent des menaces potentielles. Les menaces corrélées sont regroupées sous la forme d’un incident de sécurité.
Defender pour Cloud stocke les données dans journaux Azure Monitor. Azure Monitor logs fournit un langage de requête et un moteur analytique qui vous donne des informations sur le fonctionnement de vos applications et ressources. Les données sont également collectées à partir de Azure Monitor, de solutions de gestion et d’agents installés sur virtual machines dans le cloud ou localement. Cette fonctionnalité partagée vous permet de constituer une image complète de votre environnement.
Si vous n’appliquez pas de sécurité forte pour vos machines virtuelles, vous ne connaissez pas les tentatives potentielles des utilisateurs non autorisés pour contourner les contrôles de sécurité.
Analyser les performances des machines virtuelles
Parfois, une machine virtuelle consomme trop de ressources, ce qui peut poser problème. Une machine virtuelle insuffisamment performante peut entraîner une interruption de service, réduisant ainsi la disponibilité. Ce problème est particulièrement important pour les machines virtuelles qui hébergent IIS ou d’autres serveurs web, car une utilisation élevée du processeur ou de la mémoire peut indiquer une attaque par déni de service (DoS). Il est impératif de surveiller les access de machines virtuelles non seulement réactivement pendant qu'un problème se produit, mais également de manière proactive par rapport aux performances de référence mesurées pendant l'opération normale.
Utilisez Azure Monitor pour obtenir une visibilité de l’intégrité de votre ressource. fonctionnalités Azure Monitor :
- Resource diagnostic log files : surveille vos ressources de machine virtuelle et identifie les problèmes potentiels susceptibles de compromettre les performances et la disponibilité.
- extension Azure Diagnostics : fournit des fonctionnalités de surveillance et de diagnostic sur les machines virtuelles Windows. Vous pouvez activer ces fonctionnalités en incluant l’extension dans le cadre du modèle Azure Resource Manager.
Si vous ne surveillez pas les performances des machines virtuelles, vous ne pouvez pas déterminer si certaines modifications des modèles de performances sont normales ou anormales. Une machine virtuelle qui consomme plus de ressources que la normale peut indiquer une attaque à partir d’une ressource externe ou d’un processus compromis s’exécutant dans la machine virtuelle.
Chiffrer les fichiers de disque dur virtuel
Chiffrez vos disques durs virtuels (VHD) afin de protéger votre volume de démarrage et les volumes de données au repos au niveau du stockage, ainsi que vos clés de chiffrement et vos secrets.
Important
Azure Disk Encryption est prévu pour la mise hors service le 15 septembre 2028. Jusqu’à cette date, vous pouvez continuer à utiliser Azure Disk Encryption sans interruption. Le 15 septembre 2028, les charges de travail compatibles avec ADE continueront d’être exécutées, mais les disques chiffrés ne pourront pas être déverrouillés après le redémarrage de la machine virtuelle, ce qui entraîne une interruption du service.
Utilisez le chiffrement sur l’hôte pour les nouvelles machines virtuelles ou tenez compte des tailles de machine virtuelle confidentielle avec le chiffrement de disque du système d’exploitation pour les charges de travail d’informatique confidentielle. Toutes les machines virtuelles compatibles ADE (y compris les sauvegardes) doivent migrer vers le chiffrement à l’hôte avant la date de mise hors service pour éviter toute interruption de service. Pour plus d’informations, consultez Migrez d'Azure Disk Encryption au chiffrement à l'hôte.
Encryption sur l’hôte fournit un chiffrement de bout en bout pour vos données de machine virtuelle par défaut, le chiffrement des disques temporaires, des caches de système d’exploitation et des disques de données et des flux de données vers Azure Storage. Par défaut, le chiffrement sur l’hôte utilise des clés gérées par la plateforme sans configuration supplémentaire requise. Si vous le souhaitez, vous pouvez configurer la solution pour utiliser des clés gérées par le client stockées dans Azure Key Vault ou Azure Key Vault HSM managé lorsque vous devez contrôler et gérer vos propres clés de chiffrement de disque. La solution garantit que toutes les données sur les disques de machine virtuelle sont chiffrées au repos dans Azure Storage.
Les meilleures pratiques suivantes vous aident à utiliser le chiffrement sur l’hôte :
Bonne pratique : activez le chiffrement sur l’hôte sur les machines virtuelles par défaut.
Détail : le chiffrement sur l’hôte est activé par défaut pour les nouvelles machines virtuelles et fournit un chiffrement transparent à l’aide de clés gérées par la plateforme sans nécessiter de configuration supplémentaire. Si vous choisissez d’utiliser des clés gérées par le client, stockez-les dans Azure Key Vault ou Azure Key Vault HSM managé. L’authentification Microsoft Entra est requise pour l'accès. Pour l’authentification, vous pouvez utiliser soit l’authentification par secret client, soit l’authentification Microsoft Entra par certificat client.
Bonne pratique : lors de l’utilisation de clés gérées par le client, utilisez une clé de chiffrement de clé (KEK) pour une couche supplémentaire de sécurité pour les clés de chiffrement.
Detail : lorsque vous utilisez des clés gérées par le client, utilisez l’applet de commande Add-AzKeyVaultKey pour créer une clé de chiffrement de clé dans Azure Key Vault ou un HSM managé. Vous pouvez également importer une clé KEK à partir de votre module de sécurité matériel local (HSM). Pour plus d’informations, consultez la documentation Key Vault. Lorsque vous spécifiez une clé de chiffrement principale, le chiffrement sur l’hôte utilise cette clé pour envelopper les secrets de chiffrement. La conservation d’une copie de cette clé dans un HSM de gestion de clés local offre une protection supplémentaire contre la suppression accidentelle de clés.
Meilleure pratique : Prenez un instantané et/ou une sauvegarde avant d’apporter des modifications de configuration de chiffrement. Les sauvegardes fournissent une option de récupération si une défaillance inattendue se produit.
Detail : sauvegardez régulièrement des machines virtuelles avec managed disks. Pour plus d’informations sur la sauvegarde et la restauration des machines virtuelles chiffrées, consultez l’article Azure Backup.
Bonne pratique : lorsque vous utilisez des clés gérées par le client, assurez-vous que les secrets de chiffrement ne dépassent pas les limites régionales en localisant votre service de gestion des clés et vos machines virtuelles dans la même région.
Detail : lors de l’utilisation de clés gérées par le client, créez et utilisez un HSM key vault ou managé qui se trouve dans la même région que la machine virtuelle à chiffrer.
Lorsque vous appliquez le chiffrement sur l’hôte, vous pouvez répondre aux besoins métier suivants :
- Les machines virtuelles IaaS sont sécurisées au repos via une technologie de chiffrement standard permettant de répondre aux exigences de sécurité et de conformité des organisations.
- Les machines virtuelles IaaS démarrent sous des clés et des stratégies contrôlées par le client, et vous pouvez auditer leur utilisation dans votre service de gestion des clés.
Limiter la connectivité Internet directe
Surveillez et limitez la connectivité Internet directe des machines virtuelles. Les attaquants analysent constamment les plages d’adresses IP du cloud public pour rechercher des ports de gestion ouverts et tentent des attaques « faciles », telles que les mots de passe courants et les vulnérabilités non corrigées connues. Le tableau suivant répertorie les meilleures pratiques contribuant à protéger les utilisateurs contre ces attaques :
Bonne pratique: empêcher une exposition involontaire au routage et à la sécurité du réseau.
Detail : utilisez Azure RBAC pour vous assurer que seul le groupe de mise en réseau central est autorisé à mettre en réseau des ressources.
Meilleure pratique : identifiez et corrigez les machines virtuelles exposées qui autorisent l'accès à partir de « n'importe quelle » adresse IP source.
Detail : utilisez Microsoft Defender for Cloud. Defender pour Cloud vous recommande de restreindre l’accès via des points de terminaison exposés à Internet si l’un de vos groupes de sécurité réseau a une ou plusieurs règles de trafic entrant qui autorisent l’accès à partir de n'importe quelle adresse IP source. Defender pour Cloud vous recommande de modifier ces règles de trafic entrant pour restreindre l'accès aux adresses IP sources qui ont réellement besoin de l'accès.
Bonne pratique: restreindre les ports de gestion (RDP, SSH).
Detail : utilisez just-in-time (JIT) vm access pour verrouiller le trafic entrant vers vos machines virtuelles Azure. Cela réduit l'exposition aux attaques et fournit un accès facile pour se connecter aux machines virtuelles lorsque nécessaire. Lorsque vous activez JIT, Defender pour Cloud verrouille le trafic entrant vers vos machines virtuelles Azure en créant une règle de groupe de sécurité réseau. Vous sélectionnez les ports sur la machine virtuelle vers laquelle le trafic entrant est verrouillé. La solution JIT contrôle ces ports.
Étapes suivantes
Pour plus de bonnes pratiques de sécurité à utiliser lorsque vous concevez, déployez et gérez vos solutions cloud à l'aide de Azure, consultez Azure meilleures pratiques et modèles de sécurité.
Les ressources suivantes fournissent des informations plus générales sur la sécurité Azure et les services Microsoft associés :
- Blog de l’équipe de sécurité Azure - pour obtenir les dernières informations à jour sur la sécurité Azure
- Microsoft Security Response Center : où vous pouvez signaler des vulnérabilités de sécurité Microsoft, y compris des problèmes liés à Azure, ou envoyer un e-mail à secure@microsoft.com