Offre estivale Bibliothèque Numérique ENI :
50€ offerts pour préparer la rentrée ! Cliquez ici
Formez-vous en autonomie à Excel, Word, VBA, Microsoft 365…. Cliquez ici
  1. Livres & vidéos
  2. Débuter et se perfectionner avec Azure
  3. La sécurité
Extrait - Débuter et se perfectionner avec Azure Concepts fondamentaux et mise en œuvre (2e édition)
Extraits du livre
Débuter et se perfectionner avec Azure Concepts fondamentaux et mise en œuvre (2e édition) Revenir à la page d'achat du livre

La sécurité

Introduction

Tout en informatique est affaire de sécurité, et le sujet est traité globalement. Ce n’est pas une seule et même fonctionnalité qui va sécuriser le système d’information mais bien une succession de fonctionnalités complémentaires.

Dans le domaine, il faut s’entourer de plusieurs couches de sécurité. Sans cela, la moindre défaillance d’une couche donnerait accès à des données d’entreprise et aux systèmes qui la composent. C’est un premier point important. Il n’y a pas un élément ou service qui à lui seul va renforcer toute la sécurité. Ça n’existe pas, ce n’est pas possible. S’il est nécessaire de multiplier les couches, encore faut-il le faire avec une bonne connaissance des services cloud natifs qui sont une aide précieuse pour renforcer et sécuriser son cloud Azure.

Une partie des éléments de sécurité ont déjà été présentés dans les différents chapitres du livre : sécurité d’accès aux données stockées dans le chapitre Le stockage, sécurité des accès réseau dans le chapitre Le réseau, ou encore privatisation des accès à l’aide des liaisons privées...

Coffre de clés ou Azure Key Vault

Le coffre de clés Azure gère les clés, les certificats et les secrets pour les applications et services d’entreprise.

Il garantit une parfaite protection des secrets et une supervision des accès afin de savoir qui sollicite les secrets. Avoir les droits sur le composant coffre de clés, ce n’est pas avoir les droits sur son contenu. Les autorisations pour la consultation des clés, secrets et certificats sont définies dans des stratégies d’accès. Il supporte également le contrôle d’accès en fonction du rôle Azure. L’utilisation des stratégies d’accès est à déconseiller, il faut privilégier l’accès via le RBAC. Il faut même, si possible, empêcher la création des coffres de clés avec des accès non RBAC en utilisant une stratégie (policy) de blocage.

Le coffre est accédé par les utilisateurs ou administrateurs des ressources, mais il est surtout accédé directement par d’autres services ou ressources Azure. Si quelques personnes physiques conservent des accès, c’est uniquement pour stocker les valeurs des secrets, clés et certificats. Mais ce sont surtout les ressources qui vont utiliser le coffre, en utilisant un accès RBAC attaché à l’identité managée (voir chapitre Identité et accès) de la ressource qui doit récupérer un secret. C’est le modèle parfait, celui qui sécurise le plus l’accès et l’utilisation.

Comme de plus en plus de composants, il active par défaut les options de récupération (suppression réversible) pour une durée de 90 jours. La suppression réversible est l’option qui permet de récupérer un Azure Key Vault ou une partie de son contenu même après suppression. C’est une option particulièrement utile en cas de suppression accidentelle.

Il y a une différence notable entre les deux niveaux tarifaires proposés :

  • Standard : c’est le niveau par défaut, il ne supporte pas les modules HSM (Hardware Security Module ou module de sécurité...

Azure Firewall

Un firewall est un dispositif de sécurité réseau qui surveille et contrôle le trafic réseau entrant et le trafic sortant en fonction de règles de sécurité prédéfinies. Il agit comme une barrière de sécurité entre un réseau interne sécurisé et des réseaux externes non sécurisés, comme l’Internet. Il peut aussi agir sur le réseau Interne ó Interne. Il existe sur Azure un service de firewall appelé Azure Firewall.

Il y a sur la place de marché Azure (Azure Marketplace) un grand nombre de pare-feu d’éditeurs connus comme Cisco, Fortinet, Barracuda et bien d’autres.

images/12RI03N.png

Quelques éditeurs de firewall connus

Azure Firewall (ou pare-feu Azure) a été amélioré il y a peu de temps et offre une vraie solution de firewall sous la forme de service. Cette version ajoute un bon nombre d’options. Un pare-feu est une protection réseau pour les données entrantes ou sortantes. Même si c’est un peu réducteur, Azure Firewall est un super gestionnaire de NSG, mais beaucoup plus central et beaucoup plus complet.

Comme tout système de sécurité réseau, le service doit contrôler ce qui transite pour autoriser ou non le trafic de réseau à réseau. C’est donc une analyse de trafic basée sur des conditions ou règles (un protocole ou un port par exemple).

Azure Firewall peut contrôler les flux de l’Internet vers le réseau interne, du réseau interne vers l’Internet mais également le trafic entre les réseaux internes (par exemple, entre les VNet). Si cette dernière option est envisageable, elle n’est pourtant pas couramment mise en œuvre. On trouve plutôt le modèle d’architecture suivant pour le filtrage des flux réseau Azure (filtrage pour le réseau interne ou filtrage...

Stratégies WAF (Web Application Firewall)

Stratégies WAF (Web Application Firewall), ou WAF en langage courant, sécurise les applications web. Comme elles sont exposées publiquement, elles sont particulièrement vulnérables et sont des cibles fréquentes pour les attaquants. Sécuriser un site web est une opération compliquée.

En effet, les types d’attaques sont nombreux (attaques par scripts ou injection SQL par exemple). De plus, ces attaques évoluent et un site parfaitement sécurisé, c’est-à-dire répondant aux attaques existantes, doit constamment évoluer pour faire face aux nouvelles attaques et aux nouveaux types de risques de sécurité.

Déployer une stratégie WAF, c’est ajouter une couche de protection supplémentaire et renforcer la sécurité, même si elle a été traitée dans le cycle de développement du site ou de la ressource exposée. Il ne faut pas avoir peur d’en faire trop sur le sujet.

WAF est déployé en complément d’autres services Azure. Lors de la création d’une stratégie, il faut lier cette stratégie à l’un des services éligibles, Front Door, Application Gateway. Ils ne sont pas présentés très en détail dans cet ouvrage. À...

Protection DDoS (Distributed Denial of Service)

Les attaques par déni de service sont des scénarios d’attaques qui saturent un service. Les attaquants envoient un très grand nombre de requêtes non légitimes ou malveillantes (botnet par exemple) et le service ne sait plus répondre, ni aux requêtes légitimes ni aux requêtes non légitimes. Il est complètement saturé, il ne fonctionne plus.

Il existe d’autres types d’attaques ; augmenter le trafic jusqu’à le rendre inefficace est une attaque volumétrique.

Si le principe de ces attaques est assez simple, limiter efficacement la saturation du service n’est pas chose facile, principalement parce qu’il faut faire le « tri » entre ce qui constitue une requête légitime et une requête malveillante.

Pour cela, le service DDoS supervise (surveille) en continu le trafic et adapte automatiquement les paramètres de protection (grâce à un algorithme de Machine Learning). Au départ, pour connaître le trafic, il y a une forme d’apprentissage ; puis grâce à cet apprentissage, le service « sait » qu’un comportement normal pour les services protégés est par exemple compris entre 1000 et 3000 requêtes.

Si le seuil de 3000 est dépassé, DDoS commence à...