Le cloud a redéfini la manière dont les entreprises gèrent la sécurité, exigeant une plus grande vigilance et des mises en œuvre de sécurité multicouches, que vous ayez affaire à des applications nées dans le cloud ou que vous migriez des charges de travail à partir de vos locaux.
En tant que l'un des principaux fournisseurs de services cloud, Microsoft Azure dispose d'une pléthore de services et d'outils pour vous aider à relever ces nouveaux défis. Cependant, la sécurité sur le site cloud est une responsabilité partagée. Bien que certains facteurs tels que la sécurité physique des actifs, le système d'exploitation (dans le cas des services PaaS) ou la pile application (dans le cas du modèle SaaS) soient pris en charge par le fournisseur de services cloud, la sécurité des données, du poste et la gestion des comptes et des accès restent de la responsabilité du client.
La plateforme Azure offre un certain nombre de services qui peuvent être classés dans les catégories suivantes : Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) et Software-as-a-Service (Modèle SaaS). Il prend en charge plusieurs systèmes d'exploitation, les piles application, les plates-formes de bases de données les plus courantes et les solutions d'hébergement de conteneurs. Que votre application soit construite avec .NET, PHP, Python, Node.JS, Java, MySQL, SQL, MariaDB, Docker, Kubernetes, ellepeut trouver sa place dans Azure.
Au fur et à mesure que vous migrez des applications d'un centre de données entièrement géré par vos soins vers Azure, vous dépendrez fortement de la plateforme pour protéger ces charges de travail. Le modèle de responsabilité partagée pour la sécurité devient donc très pertinent ici pour la délimitation des rôles et des responsabilités.
Microsoft possède l'infrastructure physique de la plateforme Azure et s'occupe de sa sécurité, couvrant plusieurs aspects tels que le centre de données physique, le contrôle d'accès, la formation obligatoire du personnel en matière de sécurité, la vérification des antécédents, etc. Cependant, lorsque vous déployez des charges de travail sur la plateforme Azure, il convient de tenir compte d'une répartition des responsabilités entre vous et votre fournisseur, comme indiqué ci-dessous :
Comme le montre l'image ci-dessus, certaines responsabilités en matière de sécurité, notamment pour le centre de données physique, le réseau et l'hôte, sont prises en charge par les fournisseurscloud . Toutefois, selon que vous utilisez un modèle IaaS, PaaS ou SaaS, vous devez prendre en compte la pile du système d'exploitation (OS) application et les exigences supplémentaires en matière de sécurité de la couche réseau.
Les exigences de sécurité de chaque organisation sont uniques et nécessitent d'importantes adaptations pour garantir la sécurité de chaque charge de travail spécifique. Les vecteurs de menaces avancées sur le site cloud exigent une approche de sécurité zéro confiance, où rien n'est fiable par défaut et où tout est vérifié. Cette approche proactive de la Sécurité du cloud permet de réduire la surface d'attaque et de limiter les dégâts en cas d'attaque.
La sécurité doit être mise en œuvre à chaque couche de votre pile application, depuis l'informatique, le stockage et le réseau jusqu'aux contrôles spécifiques à applicationet à la gestion des identités et des accès. La visibilité de l'état de la sécurité de votre environnement est également importante, car toute activité malveillante doit être détectée en temps réel pour une protection optimale.
Azure assure la sécurité de la charge de travail grâce à de nombreux outils et services configurables que vous pouvez utiliser pour répondre à des demandes de sécurité variées et améliorer votre position en matière de sécurité du cloud. Vous pouvez également utiliser des solutions de sécurité de partenaires, le cas échéant, pour renforcer cette position.
Security Center est la solution centralisée de gestion de la sécurité d'Azure qui vous aide à adapter vos contrôles de sécurité à l'évolution du paysage des menaces et à protéger de manière proactive votre organisation contre de nombreux types d'attaques. Les services Azure sont automatiquement intégrés au Security Center et contrôlés par rapport aux normes de sécurité définies. Des politiques par défaut ou personnalisées peuvent être utilisées pour surveiller l'état de votre abonnement Azure et des ressources incluses. Basé sur l'évaluation continue de vos environnements Azure, le Security Center fournit des recommandations exploitables qui peuvent être utilisées pour remédier de manière proactive au manque de sécurité.
Azure Security Center offre également une protection complète contre les menaces et utilise l'analyse de la chaîne de la mort cybernétique pour vous donner une visibilité de bout en bout sur le vecteur d'attaque. Vous pouvez également utiliser Microsoft Defender for poste pour protéger vos serveurs Azure. Il fournit des capteurs avancés de détection des brèches qui s'adaptent rapidement à l'évolution des menaces grâce à la puissance du big data et de l'analytique, et fournit des renseignements de qualité supérieure sur les menaces pour protéger vos charges de travail.
De plus, la capacité d'intégration automatique des serveurs Windows et la visibilité à partir d'un seul volet facilitent la vie des équipes de Sécurité du cloud en réduisant les frais généraux d'exploitation. Azure Security Center s'intègre à des solutions telles que Azure Policy, Azure Monitor Logs et Azure cloud App Security pour une sécurité renforcée.
Les menaces qui pèsent sur le site cloud ne sont pas les mêmes que celles qui pèsent sur les sites. Le site cloud a besoin de solutions nées sur le sitecloud pour garantir l'hygiène de la sécurité et la mise en œuvre des meilleures pratiques de sécurité. La sécurité du cloud Posture Management d'Azure vous aide à cet égard, en vous permettant de gérer de manière proactive vos charges de travail de sécurité dans Azure.
L'option "secure score" du Security Center permet de quantifier la posture de sécurité de vos environnements à l'aide de plusieurs contrôles de sécurité prédéfinis par rapport auxquels les environnements sont évalués. Si l'un de ces contrôles n'est pas mis en œuvre ou s'il y a des erreurs de configuration, le centre de sécurité propose des recommandations normatives pour améliorer votre score. Le score de conformité réglementaire évalue les charges de travail par rapport à des normes telles que PCI DSS, HIPAA, le CIS d'Azure et le NIST, ce qui vous permet de faire le point sur votre statut officiel de conformité.
Le Security Center permet le CSPM en fournissant une vue d'ensemble de la vulnérabilité et en générant des alertes sur les attaques potentielles. Chaque alerte est assortie d'un niveau de gravité qui vous permet de hiérarchiser les activités d'atténuation. Parallèlement aux charges de travail cloud-natives, aux services IoT et aux services de données, Security Center peut protéger les machines Windows et Linux dans tous les environnements contre les menaces, réduisant ainsi la surface d'attaque.
Avec cloud application , il est de plus en plus difficile de contrôler toutes les applications et de garantir la sécurité des transactions de données. Azure contribue à répondre à cette préoccupation grâce à une solution de sécurité du cloud broker appelée Microsoft cloud App Security.
Cet outil protège contre l'informatique parallèle en vous aidant à détecter les services cloud utilisés par votre organisation et à identifier les risques qui y sont associés. Les politiques intégrées du service vous permettent d'automatiser la mise en œuvre des contrôles de sécurité pour les applications cloud. De plus, vous pouvez sanctionner ou désanctionner les applications grâce à la fonctionnalité du catalogue d'applications cloud, qui couvre plus de 16 000 applications et les évalue sur la base de plus de 80 facteurs de risque afin que vous puissiez prendre une décision éclairée sur le type d'applications que vous souhaitez autoriser dans votre organisation.
cloud App Security offre en outre une visibilité sur vos applications et leur état de sécurité, et contrôle la manière dont les données circulent entre elles. Il peut également détecter des comportements inhabituels afin d'identifier les applications compromises et déclencher une auto-remédiation pour réduire les risques. Vous pouvez également évaluer la conformité réglementaire de votre application et restreindre le mouvement des données vers les applications non conformes, tout en protégeant les données réglementées contenues dans vos applications contre tout accès non autorisé.
L'intégration native avec d'autres solutions de sécurité Microsoft fournit des renseignements inégalés sur les menaces et des analyses approfondies pour défendre votre application contre différents types d'attaques sur le site cloud.
Azure Security Center offre une base de sécurité et une évaluation des environnements d'hébergement de conteneurs tels qu'AKS ainsi que des machines virtuelles exécutant Docker afin d'identifier les erreurs de configuration et les failles de sécurité potentielles. Le durcissement des environnements Docker est rendu possible par la surveillance des critères de référence du CIS, les recommandations étant consolidées dans le Security Center. De même, la surveillance et la détection avancée des menaces sont disponibles pour les nœuds et les grappes AKS. Vous pouvez également activer le module complémentaire de stratégie Azure pour les clusters Kubernetes afin de contrôler les demandes de serveurs API Kubernetes par rapport aux meilleures pratiques définies avant de les traiter.
Parallèlement, Azure Defender protège les nœuds et les clusters AKS contre les vulnérabilités et les infiltrations en cours d'exécution en détectant les activités suspectes telles que la détection d'un shell web, les demandes de connexion provenant d'IP suspectes, le provisionnement de conteneurs privilégiés, etc. Azure Defender comprend également une intégration Qualys pour analyser les images tirées ou poussées vers Azure Container Registry. Les résultats sont classés et affichés dans le centre de sécurité, ce qui vous permet de distinguer les images saines des images malsaines.
Les NSG constituent la première ligne de défense du réseau pour les charges de travail connectées aux VNets Azure. Il filtre le trafic entrant et sortant au moyen de cinq règles tuple utilisant la source, le port source, la destination, le port de destination et le protocole. Ces groupes peuvent être associés à des sous-réseaux ou aux cartes NIC de la machine virtuelle et sont accompagnés de quelques règles par défaut pour permettre la communication inter-réseau et l'accès à l'internet. Les groupes de sécurité réseau vous permettent en outre de contrôler finement le trafic est-ouest et nord-sud et de séparer la communication des composants de votre application.
Azure VNet est l'élément de base de la mise en réseau dans Azure et contribue à la micro-segmentation des charges de travail, permettant la communication sécurisée des charges de travail connectées avec d'autres ressources Azure, des ressources sur site et l'internet. Par défaut, les ressources d'un réseau virtuel Azure ne peuvent pas communiquer avec les ressources d'un réseau virtuel différent, sauf si elles sont explicitement connectées par le biais d'options telles que Peering, RVP, Private Link, etc. Une autre couche de sécurité peut être ajoutée en activant les NSG dans les sous-réseaux à l'intérieur du VNet. En outre, vous pouvez utiliser la mise en forme du trafic au sein du réseau virtuel en créant des tables de routage personnalisées, par exemple, si vous voulez que tout le trafic soit acheminé via une appliance virtuelle de réseau pour l'inspection des paquets.
Azure RVP vous permet de vous connecter en toute sécurité aux ressources Azure à partir d'un centre de données réseau sur site grâce à une connexion site à site ou à partir de machines individuelles grâce à une connexion point à site. Le trafic vers Azure passe par l'internet mais à travers un tunnel sécurisé et crypté utilisant SSTP, OpenVPN ou IPSec. Alors que la connexion RVP fonctionne bien dans les scénarios de succursales, pour une connectivité garantie par les accords de niveau de service d'Azure, les clients peuvent opter pour ExpressRoute, qui est une connexion dédiée entre votre centre de données sur site et Azure cloud.
Azure application passerelle est un équilibreur de charge qui opère au niveau de la couche application (couche OSI 7) et redirige le trafic vers les ressources du pool backend en fonction des attributs HTTP. Il est doté d'un Pare-feu pour applications Web(WAF) qui aide à protéger votre application contre les attaques courantes, telles que les attaques par injection SQL, les scripts intersites, le fractionnement des requêtes HTTP, l'inclusion de fichiers à distance, etc. Il est livré avec un ensemble prédéfini de règles de sécurité, mais offre également la possibilité de définir vos propres règles. Le service est basé sur l'ensemble de règles de base ModSecurity de l'OWASP et est capable de se mettre à jour automatiquement pour protéger votre application contre les vulnérabilités nouvelles et évolutives.
Dans un monde dominé par cloud, l'identité est devenue le nouveau périmètre de sécurité. Azure fournit un contrôle d'accès basé sur les rôles (RBAC) activé par Azure Active Directory (AD) pour contrôler l'accès aux applications hébergées. Il est recommandé de suivre le principe du moindre privilège (PoLP) afin que les utilisateurs n'aient que l'accès minimum nécessaire à leur travail. Cette autorisation est déterminée par le rôle attribué à l'utilisateur, qui peut être l'un des rôles intégrés ou un rôle personnalisé défini par l'administrateur.
Vous pouvez encore renforcer l'IAM grâce à des options telles que l'accès juste à temps (JIT) pour les machines virtuelles, la signature d'accès partagé pour le stockage, l'authentification multifacteurs, etc. Il est également important d'enregistrer et de suivre l'activité des utilisateurs dans les journaux d'audit Azure AD et les journaux d'activité Azure afin d'identifier les identités compromises et les utilisateurs malhonnêtes.
Si les outils et services natifs constituent souvent un bon point de départ, vous avez également besoin d'outils dotés de capacités avancées pour protéger votre application contre l'évolution des acteurs de la menace sur le site cloud. Les capacités supplémentaires suivantes sont essentielles pour garantir une sécurité complète du nuage:
CloudGuard peut vous aider dans tous ces domaines, car il est préinstallé avec ces fonctionnalités. Il s'intègre de manière transparente à vos outils natifs d'Azure et renforce la sécurité de vos données et charges de travail hébergées dans Azure.
Découvrez comment CloudGuard peut vous aider à atteindre vos objectifs en matière de sécurité du cloud dès aujourd'hui.