Introduction
Dans le cloud, il peut être assez simple et rapide de provisionner un service de base afin qu’il soit prêt à être utilisé. Cependant, il existe une série de pratiques qui peuvent être utilisées, seules ou en combinaison, pour assurer une sécurité supplémentaire à nos différentes ressources.
L’objectif de ce billet de blog est de vous donner quelques conseils sur certains services de sécurité que vous pouvez mettre en place afin d’ajouter de la robustesse aux services que vous utilisez sur le cloud, vous permettant ainsi de suivre et de mettre en œuvre certaines bonnes pratiques et règles que vous souhaitez appliquer pour votre entreprise.
Azure Virtual Network
Que sont les réseaux virtuels ?
Les réseaux virtuels Azure permettent aux ressources Azure, telles que les VM, les applications Web et les bases de données, de communiquer entre elles, avec les utilisateurs sur Internet et avec vos ordinateurs clients sur site.
Vous pouvez considérer un réseau Azure comme une extension de votre réseau sur site avec des ressources qui relient d’autres ressources Azure. Le réseau virtuel Azure vous permet de créer plusieurs réseaux virtuels isolés.
Lorsque vous configurez un réseau virtuel, vous définissez un espace d’adresses IP privé en utilisant des plages d’adresses IP publiques ou privées. La plage d’adresses IP publiques n’existe qu’au sein du réseau virtuel et n’est pas routable sur Internet. Vous pouvez diviser cet espace d’adresses IP en sous-réseaux et allouer une partie de l’espace d’adresses défini à chaque sous-réseau nommé.
Pour la résolution de noms, vous pouvez utiliser le service de résolution de noms intégré à Azure. Vous pouvez également configurer le réseau virtuel pour utiliser un serveur DNS interne ou externe.
Les réseaux virtuels Azure offrent les principales fonctionnalités de mise en réseau suivantes :
- Isolation et segmentation
- Communications Internet
- Communication entre les ressources Azure
- Communication avec les ressources sur site
- Acheminement du trafic réseau
- Filtrage du trafic réseau
- Connecter des réseaux virtuels
Communiquer entre les ressources Azure
Les ressources Azure communiquent entre elles de manière sécurisée par l’un des moyens suivants :
- Réseau virtuel : Vous pouvez déployer et plusieurs types de ressources Azure sur un réseau virtuel.
- Point de terminaison de service de réseau virtuel : Étendez l’espace d’adressage privé de votre réseau virtuel et l’identité de votre réseau virtuel aux ressources de service Azure via une connexion directe. Les endpoints de service vous permettent de sécuriser vos ressources de service Azure critiques à un réseau virtuel uniquement.
- VNet Peering : Vous pouvez relier des réseaux virtuels entre eux en utilisant le peering de réseau virtuel. Le peering permet aux ressources de chaque réseau virtuel de communiquer entre elles. Ces réseaux virtuels peuvent se trouver dans des régions distinctes, ce qui vous permet de créer un réseau interconnecté mondial via Azure.
Communiquer avec votre réseau via VPN Gateway
Une fois que vous avez un réseau virtuel, s’il n’a pas d’adresse IP publique, vous pouvez établir une connexion cryptée grâce aux VPN Gateway.
Les VPN utilisent un tunnel crypté au sein d’un autre réseau. Ils sont généralement déployés pour connecter deux ou plusieurs réseaux privés de confiance l’un à l’autre sur un réseau non fiable (généralement l’internet public). Le trafic est crypté lorsqu’il circule sur le réseau non fiable afin d’éviter les écoutes ou d’autres attaques.
VPN Gateway est un type de passerelle de réseau virtuel. Les instances du Azure VPN Gateway sont déployées dans un sous-réseau dédié du réseau virtuel et permettent la connectivité suivante :
- Connecter des centres de données sur site à des réseaux virtuels via une connexion site à site.
- Connecter des dispositifs individuels à des réseaux virtuels par le biais d’une connexion point à site.
- Connecter des réseaux virtuels à d’autres réseaux virtuels via une connexion de réseau à réseau.
Nos conseils sur le Azure Virtual Network
Dès la phase de développement, vous pouvez mettre en place des réseaux virtuels pour séparer vos différentes ressources entre elles, et en ajoutant un “VPN”, vous limiterez également la possibilité d’accès externes car la configuration peut se faire facilement sur une ou plusieurs machines grâce aux configurations “Point-to-site” qui ne nécessitent pas d’infrastructure matérielle dédiée.
L’inconvénient du VPN est qu’il génère un coût journalier dès sa mise en place et ne peut être désactivé comme une machine virtuelle, cependant l’offre de base, largement suffisante pour le développement, est très accessible.
Le deuxième élément à prendre en compte avec les réseaux privés virtuels est que certains services de base ne disposent pas de l’option nécessaire pour s’y connecter et il est alors nécessaire de souscrire à un service de niveau supérieur pour limiter ces accès au réseau.
Azure Policy
Azure Policy est un service qui vous permet de créer, d’attribuer et de gérer des politiques pour contrôler ou auditer vos ressources. Ces politiques appliquent différentes règles sur les configurations de vos ressources, afin que ces dernières restent conformes aux normes de l’entreprise.
Grâce à son tableau de bord de conformité, il fournit une vue agrégée pour évaluer l’état global de l’environnement, avec la possibilité d’effectuer une analyse approfondie de la granularité par ressource et par politique.
Elle aide également à mettre vos ressources en conformité grâce à une remédiation globale pour les ressources existantes et à une remédiation automatique pour les nouvelles ressources.
Les cas d’utilisation courants d’Azure Policy comprennent la mise en œuvre de la gouvernance pour la cohérence des ressources, la conformité réglementaire, la sécurité, les coûts et la gestion.
Les définitions de politiques pour ces cas d’utilisation courants sont déjà disponibles dans votre environnement Azure en tant que modules intégrés pour vous aider à démarrer.
Nos conseils sur Azure Policy
La définition d’un ensemble de règles peut demander un certain temps de réflexion pour définir et stipuler toutes les possibilités.
D’un autre côté, cela peut se faire dans le temps et présente l’avantage de restreindre complètement la mise en œuvre des services ou des utilisations qui sont faites dans le Cloud, comme des garde-fous qui évitent des erreurs telles que : laisser la voie ouverte pour permettre la création de machines virtuelles mais ne les autoriser que dans certaines régions pour des questions juridiques et/ou dans une gamme limitée de produits pour éviter des coûts supplémentaires.
Azure Blueprints
Azure Blueprints vous permet de définir un ensemble reproductible d’outils de gouvernance et de ressources Azure standard dont votre organisation a besoin.
Un blueprint est un ensemble lié à la mise en œuvre des services de cloud Azure, à la sécurité et à la conception.
En tant que moyen déclaratif d’orchestrer le déploiement de divers modèles de ressources et d’autres artefacts, un blueprint peut être réutilisé pour maintenir la cohérence et la conformité, permet aux équipes de développement de construire et de démarrer rapidement de nouveaux environnements avec la confiance qu’ils construisent dans la conformité organisationnelle avec un ensemble de composants intégrés pour accélérer le développement et la livraison.
Quelques-unes des caractéristiques d’Azure Blueprints :
- Peut être utilisé pour mettre à l’échelle les pratiques de gouvernance dans l’ensemble d’une organisation.
- Orchestrer le déploiement de divers modèles de ressources et d’autres artefacts (affectations de rôles, affectations de politiques, modèles ARM, groupes de ressources, …).
- La relation entre la définition du blueprint (ce qui doit être déployé) et l’affectation du blueprint (ce qui a été déployé) est préservée.
- Azure crée un enregistrement qui associe une ressource au blueprint qui la définit. Cette connexion vous aide à suivre et à auditer vos déploiements.
En quoi est-il différent des modèles ARM ?
Presque tout ce que vous voulez inclure pour le déploiement dans Azure Blueprints peut être accompli avec un modèle ARM.
Cependant, un modèle ARM est un document qui n’existe pas nativement dans Azure – chacun est stocké soit localement, soit dans le contrôle des sources, soit dans les modèles.
Le modèle est utilisé pour le déploiement d’une ou plusieurs ressources Azure, mais une fois que ces ressources sont déployées, il n’y a plus de connexion ou de relation active avec le modèle.
Intégration d'Azure Blueprints avec Azure Policy
Azure Policy est un système d’autorisation par défaut et de refus explicite axé sur les propriétés des ressources pour le déploiement et pour les ressources déjà existantes. L’Azure Policy prend en charge la gouvernance du cloud en validant que les ressources d’un abonnement respectent les exigences et les normes.
Vous pouvez inclure Azure Policy en tant qu’artefact dans une définition de blueprint. Une politique dans un blueprint permet la création du modèle ou de la conception correcte pendant l’affectation du blueprint. Vous pouvez vous assurer que seules les modifications approuvées ou attendues peuvent être apportées à l’environnement et protéger la conformité continue conformément à l’intention du plan directeur.
Plus d’informations : https://learn.microsoft.com/en-us/azure/governance/blueprints/overview.
Notre conseil
Là aussi, une certaine planification doit être pensée et réalisée. L’avantage de ce service, qui peut inclure plusieurs concepts (ARM, Policy, …), sera d’avoir une vision complète sur les paramètres des services qui seront mis en place, comme le ferait un architecte lorsqu’il soumet les plans de la future construction. A la différence des modèles ARM qui sont un modèle de définition ponctuel, ceci grâce à une méthode déclarative/répétable pour orchestrer les déploiements de vos ressources dans le cloud.
En savoir plus ?
Prenez contact avec nous !
