Geekly articles weekly

Livre sur l'infrastructure de sécurité Microsoft Azure

Ce livre fournit des informations générales, des considérations de conception, des scénarios de déploiement, les meilleures pratiques, les résultats des enquêtes technologiques et des instructions pour vous aider à compiler une présentation complète des capacités de sécurité d'Azure.

Une connaissance approfondie d'Azure ou de PowerShell n'est pas requise. On suppose également que le lecteur possède une expérience des technologies de l'information de classe entreprise et un niveau de qualification suffisant pour travailler dans un centre de données.

Aujourd'hui, nous publions une partie du premier chapitre de ce livre. Vous pouvez télécharger la version complète gratuitement ici .


Table des matières


  • SĂ©curitĂ© cloud - 1;
  • Protection d'identitĂ© dans Azure - 19;
  • Azure Network Security - 53;
  • SĂ©curitĂ© des donnĂ©es et du stockage - 85;
  • Protection des machines virtuelles contre les logiciels malveillants - 103;
  • Gestion des clĂ©s dans Azure avec Key Vault - 119;
  • SĂ©curitĂ© de l'Internet des objets - 155;
  • Surveillance des environnements hybrides - 175;
  • Fonctionnement et gestion dans le cloud - 191;

Sécurité cloud


Avant de commencer à considérer le sujet principal de ce livre, à savoir l'infrastructure de sécurité Microsoft Azure, il est important de comprendre quel niveau de sécurité peut être fourni dans le cloud. Pour savoir pourquoi la plateforme cloud Azure est vraiment fiable, vous devez prendre en compte un certain nombre de facteurs importants qui affectent la sécurité des solutions dans le cloud. La sécurité dans le cloud est le résultat d'un effort de collaboration entre votre entreprise et votre fournisseur de services cloud. Ce chapitre traite des facteurs critiques qui vous aideront à comprendre les limites, les responsabilités et les capacités de la technologie cloud pour une utilisation ultérieure comme plate-forme fiable pour votre entreprise.

Facteurs importants affectant la sécurité du cloud


Avant de se lancer dans une implémentation à grande échelle de systèmes cloud, il est important que le personnel responsable de l'organisation comprenne comment fonctionne la sécurité dans le modèle cloud. Cette compréhension doit être développée avant de se lancer dans la planification. Si les participants ne sont pas suffisamment familiarisés avec les fonctionnalités de sécurité dans le cloud, la réussite de l'ensemble du projet de déploiement cloud peut être menacée.

Lors de la planification de la mise en œuvre de technologies cloud, il est important d'évaluer les aspects suivants de leur sécurité:

  • ConformitĂ©
  • Gestion des risques
  • Gestion des identitĂ©s et des accès
  • SĂ©curitĂ© des opĂ©rations
  • Protection des terminaux
  • Protection des donnĂ©es

Chacun de ces aspects nécessite une attention. La profondeur requise pour l'étude des problèmes individuels dépend des caractéristiques de votre entreprise: par exemple, les priorités d'un établissement médical et d'une entreprise de fabrication peuvent varier considérablement. Dans les sections suivantes, nous examinerons chacun de ces aspects plus en détail.

Conformité


Chaque organisation a certaines exigences et lors du passage au cloud, il est important de ne pas les violer. La source de ces exigences peut être des règles internes ou externes - par exemple, des normes de l'industrie qui sont obligatoires. Les fournisseurs de services cloud doivent être prêts à aider les clients à répondre aux exigences de déploiement du cloud. Dans de nombreux cas, les clients doivent compter sur un fournisseur de services cloud pour répondre aux exigences.

Afin d'aider les clients à répondre aux exigences actuelles, Microsoft utilise les trois méthodologies suivantes.

  • ComptabilitĂ© initiale des exigences requises
    • Une technologie fiable
    • Investissements dans les processus de conformitĂ©
    • Certification de tiers
  • Aider les clients Ă  se conformer
    • La transparence
    • Choix
    • FlexibilitĂ©
  • Collaboration avec des entreprises leaders dans divers secteurs
    • Élaboration de normes
    • Collaboration avec les organes lĂ©gislatifs et rĂ©glementaires

Il est recommandé de travailler en étroite collaboration avec votre fournisseur de services cloud pour analyser les exigences auxquelles votre organisation doit répondre et dans quelle mesure les offres du fournisseur de services cloud y correspondent. Il est également très important de s'assurer que le fournisseur de services cloud possède déjà une expérience dans la mise en œuvre des services cloud les plus sécurisés et les plus fiables qui offrent la plus grande confidentialité et protection des données client.
En savoir plus: Pour plus d'informations sur la façon dont Microsoft aide les clients à respecter les exigences de conformité, consultez cet article .

Gestion des risques


Pour une mise en œuvre réussie des systèmes cloud, il est très important que le client puisse faire confiance au système de sécurité de l'infrastructure du fournisseur. Le fournisseur de services cloud doit mettre en œuvre et appliquer strictement les politiques et programmes de gestion des risques de sécurité Internet. Lors de la gestion des risques dans un environnement cloud, il est important de prendre en compte son niveau de dynamisme.

Microsoft fournit avec succès des services en ligne à ses clients depuis de nombreuses années. Pendant ce temps, des processus très efficaces ont été développés qui vous permettent de maîtriser ces nouveaux risques. Dans le cadre de la gestion des risques, un fournisseur de services cloud doit effectuer les tâches suivantes:

  • Identifiez les vulnĂ©rabilitĂ©s et menaces environnementales.
  • Analyse quantitative des risques.
  • Publiez des donnĂ©es sur les risques dans le cloud.
  • Gestion des risques basĂ©e sur l'analyse des consĂ©quences possibles et de leur impact sur l'entreprise.
  • VĂ©rification de l'efficacitĂ© des contre-mesures possibles et analyse des risques rĂ©siduels.
  • Gestion continue des risques.

Il est très important que les clients collaborent activement avec les fournisseurs de services cloud et exigent d'eux qu'ils garantissent une transparence maximale des processus. Dans ce cas, les clients pourront analyser les mesures prises pour contrer les risques et évaluer leur adéquation avec le niveau de confidentialité des données et le degré de protection requis pour leur organisation.

Gestion des identités et des accès


Dans le monde d'aujourd'hui, les utilisateurs ont souvent la possibilité de travailler n'importe où dans le monde en utilisant une large gamme d'appareils, tout en accédant à une grande variété de services cloud. Dans de telles circonstances, la sécurité des identités des utilisateurs devient particulièrement importante. Lorsque l'on utilise des systèmes basés sur le cloud, ce sont précisément les identités qui deviennent la frontière entre «la sienne» et «celle d'autrui». Les identités sont le plan de contrôle de toute votre infrastructure, que ce soit sur site ou dans le cloud. Les identités sont utilisées pour contrôler l'accès à tous les services à partir de n'importe quel appareil et vous permettent de suivre et d'analyser les caractéristiques de l'utilisation des données.

Afin de mettre en œuvre des technologies cloud dans les organisations, il est nécessaire de vous familiariser avec les capacités disponibles pour la gestion des identités et des accès, et également de comprendre comment ces méthodes vous permettront d'interagir avec votre infrastructure locale existante. Lors de la planification de la gestion des identités et des accès, il est important de prendre en compte les facteurs suivants:

  • PrĂ©paration d'identitĂ©
    • Les exigences de prĂ©paration d'identitĂ© dĂ©pendent du modèle de cloud computing utilisĂ©: logiciel en tant que service (SaaS), plate-forme en tant que service (PaaS) ou infrastructure en tant que service (IaaS).
    • Évaluez les possibilitĂ©s d'automatiser en toute sĂ©curitĂ© la prĂ©paration des identitĂ©s Ă  l'aide de votre infrastructure locale existante.
  • FĂ©dĂ©ration
    • Analysez les mĂ©thodes disponibles et les possibilitĂ©s d'intĂ©gration de ces mĂ©thodes avec votre infrastructure locale existante.
  • Authentification unique (SSO)
    • Passez en revue les exigences d'authentification unique de votre organisation et la possibilitĂ© d'intĂ©grer l'authentification unique Ă  vos applications.
  • Gestion des profils
    • Passez en revue les options de solution disponibles proposĂ©es par votre fournisseur de services cloud et leur pertinence pour votre organisation.
  • ContrĂ´le d'accès
    • Évaluez les capacitĂ©s de contrĂ´le d'accès aux donnĂ©es offertes par votre fournisseur de services cloud.
    • ImplĂ©mentez le contrĂ´le d'accès basĂ© sur les rĂ´les (RBAC).

Sécurité des opérations


Pour les organisations qui passent à la technologie cloud, il est important d'adapter les processus internes en conséquence, y compris la surveillance de la sécurité, l'audit, la réponse aux incidents et les examens médico-légaux. La plate-forme basée sur le cloud devrait permettre aux administrateurs informatiques de surveiller l'état des services en temps réel pour surveiller leur état de santé et se remettre rapidement d'une panne.

Vous devez vous assurer que tous les services déployés sont surveillés et maintenus conformément à un accord de niveau de service (SLA) entre le fournisseur de services cloud et l'organisation cliente. D'autres facteurs qui affectent la sécurité du cloud sont répertoriés ci-dessous.

  • Former les employĂ©s de l'organisation au cours du processus.
  • Mettre en Ĺ“uvre les normes et pratiques de l'industrie pour les opĂ©rations, telles que NIST SP 800-531.
  • GĂ©rez les informations de sĂ©curitĂ© conformĂ©ment aux normes de l'industrie telles que NIST SP 800-612.
  • Utilisez l'analyse des menaces fournie par le fournisseur de services cloud.
  • Mise Ă  jour continue des contrĂ´les et de la gestion des risques pour augmenter la sĂ©curitĂ© des opĂ©rations.

Protection des terminaux


La sécurité de l'infrastructure du fournisseur de services cloud n'est pas le seul facteur déterminant la sécurité du cloud. Plus loin dans ce chapitre, nous examinerons le concept de responsabilité répartie. L'un de ses aspects est que lors de la mise en œuvre des technologies cloud, une organisation est tenue d'assurer la sécurité des terminaux. Lors de l'introduction de systèmes cloud dans l'entreprise, il est recommandé d'augmenter la sécurité des terminaux, car après une telle transition, ils ouvriront plus souvent des connexions externes et accéderont à plus d'applications pouvant être hébergées par d'autres fournisseurs de services cloud.

La cible principale des attaques est les utilisateurs, et c'est grâce à l'utilisation de terminaux que les utilisateurs reçoivent généralement des informations. L'ordinateur de travail d'un utilisateur, son smartphone, tout autre appareil à l'aide duquel vous pouvez accéder aux ressources cloud sont tous des points de terminaison. Les attaquants savent que ce sont les utilisateurs qui sont le maillon le plus faible de la chaîne de sécurité et ils améliorent constamment les méthodes d'ingénierie sociale (par exemple, les e-mails de phishing), dont la tâche est de forcer l'utilisateur à effectuer une action qui compromet le point de terminaison. Lors de la conception de la sécurité des terminaux dans le cadre d'une stratégie globale de sécurité cloud, nous vous recommandons de suivre ces instructions.

  • Gardez votre logiciel de point final Ă  jour.
  • Activez les mises Ă  jour de signature automatiques sur les terminaux.
  • Surveillez l'accès aux sources de mise Ă  jour logicielle.
  • Assurez-vous que les utilisateurs finaux ne disposent pas de privilèges d'administrateur local.
  • N'accordez aux utilisateurs que les privilèges minimum dont ils ont besoin pour travailler et utilisez l'administration basĂ©e sur les rĂ´les.
  • RĂ©pondez rapidement aux notifications des points de terminaison.

Faites attention. Sécuriser un accès privilégié est une étape cruciale pour sécuriser votre entreprise. Nous vous recommandons de lire l'article sur les postes de travail à accès privilégié (PAW) sur aka.ms/cyberpaw et d'en savoir plus sur la méthodologie de Microsoft pour protéger les actifs les plus précieux.

Protection des données


Du point de vue de la sécurité, l'objectif ultime lors du déplacement de données vers le cloud est de protéger les données où qu'elles se trouvent. Le processus de transfert de données comprend plusieurs étapes. Le pas est déterminé par l'emplacement des données à un instant particulier. Voir le schéma dans la figure:



Le diagramme montre les Ă©tapes suivantes:

  1. Les données sont stockées sur la machine utilisateur. Les données se trouvent au point de terminaison, qui peut être n'importe quel appareil. Il est nécessaire de s'assurer que les données stockées sur les appareils des utilisateurs utilisés à des fins commerciales (scripts BYOD), ainsi que sur les appareils de l'entreprise, doivent être cryptées.
  2. Les données sont transférées de l'appareil de l'utilisateur vers le cloud. Les données doivent être protégées lorsqu'elles quittent la machine utilisateur. De nombreuses technologies sont disponibles pour protéger les données quel que soit leur emplacement, comme Azure Rights Management. Le canal de données doit être crypté. Des technologies appropriées, telles que TLS, devraient être appliquées.
  3. Les données sont stockées dans le centre de données du fournisseur de services cloud. Lorsque les données atteignent les serveurs du fournisseur de services cloud, l'infrastructure de stockage doit fournir une redondance et une protection. Assurez-vous de savoir exactement comment le fournisseur de services cloud met en œuvre le chiffrement des données pendant le stockage, qui est responsable de la gestion des clés et comment la redondance des données est assurée.
  4. Les données sont transférées du cloud vers l'environnement local. Dans ce cas, les recommandations données pour l'étape 2. Il est nécessaire de fournir un chiffrement à la fois du fichier lui-même et de la couche de transport.
  5. Les données sont stockées dans un environnement local. La sécurisation des données dans un environnement local est la tâche du client. Une étape critique de sa mise en œuvre est le chiffrement des données stockées dans le centre de données de l'entreprise. Votre infrastructure doit fournir le niveau de chiffrement, la redondance des données et la gestion des clés nécessaires.

Facteurs importants affectant la sécurité du cloud
Avec la transition vers l'utilisation de la technologie cloud, d'autres principes commencent à s'appliquer. Les services cloud diffèrent des machines virtuelles et des mainframes sur site avec des temps d'accès partagés de diverses manières, y compris l'évolutivité, la vitesse et l'architecture. Par conséquent, leur approche devrait être différente. Lorsque vous travaillez avec un fournisseur de services cloud (par exemple, lorsque vous utilisez Azure), il est recommandé de prendre en compte les problèmes suivants.

Un service cloud bien conçu vous permet de mettre des machines en service ou de cesser de les utiliser en quelques minutes ou heures. De nombreux services de ce type peuvent faire face à des charges de pointe, plus de 10 fois supérieures à la normale et fonctionnant pendant la journée. Le développement logiciel est désormais très rapide, et les changements de code hebdomadaires (voire quotidiens) sont devenus la norme. Par conséquent, les tests doivent être effectués sur la base des services de travail, mais sans utiliser de données de travail confidentielles. Pour toute organisation qui passe à l'utilisation des technologies cloud, il est important d'établir une relation de confiance avec le fournisseur de services cloud et d'utiliser tous les outils disponibles pour déterminer et se conformer mutuellement aux exigences mutuellement acceptées au sein de ces relations.

Je donne parfois à mes amis l'exemple suivant. Si dans les années 90 j'avais besoin d'une douzaine de serveurs pour un nouveau projet, cela pourrait prendre 4 à 6 mois pour établir des plans, les commander, livrer, placer, connecter, configurer et déployer, et ce n'est qu'après que l'équipe a pu commencer à tester la version de travail du service . Aujourd'hui, grâce à Azure, je peux le faire en 30 minutes, en utilisant uniquement le téléphone.

Jim Molini
Gestionnaire de programme principal, Sécurité C + E

Répartition des responsabilités


Dans un centre de données traditionnel, la société informatique elle-même est responsable de tous les aspects de l'infrastructure. C'est ainsi que les environnements informatiques locaux ont fonctionné depuis l'avènement des architectures client-serveur modernes (et même plus tôt, à l'ère des mainframes). Si le réseau, les systèmes de stockage ou les systèmes informatiques ne fonctionnaient pas comme ils le devraient, alors c'est la société informatique qui devait établir la cause et résoudre le problème.

Avec les unités de sécurité, la situation était similaire. Le service de sécurité a collaboré avec le service informatique et, ensemble, ils ont assuré la protection des composants de l'infrastructure informatique. Le service de sécurité de l'entreprise a défini les exigences, en a discuté avec le service informatique et a déterminé les outils de gestion que l'infrastructure informatique et les opérateurs pouvaient mettre en œuvre. En outre, le département de la sécurité a établi des normes et a régulièrement audité l'infrastructure pour vérifier la conformité à ces normes.

Pour les centres de données situés en dehors des environnements locaux, tout cela reste valable. Cependant, avec l'avènement des environnements informatiques basés sur les clouds publics, les départements informatiques et de sécurité ont un nouveau partenaire - un fournisseur de services cloud. Un tel fournisseur possède sa propre infrastructure informatique et doit garantir sa conformité aux exigences de sécurité et de gestion.

Cela signifie que vous devez non seulement préparer et prendre en compte vos propres exigences de sécurité, mais également disposer de capacités suffisantes pour surveiller l'infrastructure de sécurité du fournisseur de services cloud et suivre ses opérations. Les capacités nécessaires pour une telle surveillance dépendent du modèle de sécurité cloud que votre entreprise utilise dans l'infrastructure du fournisseur de services.

Cloud computing


Dans cette section, nous passons brièvement en revue le sujet du cloud computing afin de partir des idées générales sur ce qui leur est lié et ce qui ne l'est pas. Cette section vous aidera à comprendre le fonctionnement de la sécurité dans le cloud, les approches utilisées dans les centres de données familiers qui sont restées valides et celles qui ont changé.

Définition du cloud publiée par le NIST


Pendant un certain temps, il n'y avait pas de définition formelle du terme «cloud computing». Bien sûr, les personnes ayant une expérience de l'industrie sous le «cloud» comprenaient Internet. Pour certains, l'essence du cloud computing était précisément la fourniture de services sur Internet.

Certains analystes ont utilisé le terme informatique utilitaire («l'informatique en tant que service utilitaire»), se concentrant ainsi sur le modèle de prestation de services. Dans le modèle communal, il existe un certain ensemble d'opportunités qui sont disponibles pour tout le monde. Le paiement est facturé en fonction du montant des ressources utilisées. Elle est très similaire à la consommation, par exemple, d'électricité et de gaz des particuliers.

Les autorités et les entreprises de nombreux pays utilisent actuellement la définition de l'informatique en nuage publiée par le NIST. Ils le considèrent comme le plus fiable et le plus utile. Le NIST est l'Institut national américain des normes et de la technologie.

Le NIST a publié les «cinq caractéristiques de base» du cloud computing, ainsi que la définition de modèles de services cloud et de déploiements cloud. Ces formulations ont considérablement amélioré la compréhension de la nature du cloud computing.

La figure montre cinq fonctionnalités de base, des modèles de service cloud et des modèles de déploiement cloud.



Fonctionnalités de Cloud Computing


Le NIST met en évidence les cinq caractéristiques de base suivantes du cloud computing:

  • GĂ®tes disponibles sur demande. La capacitĂ© de la plateforme cloud Ă  fournir aux consommateurs de services cloud les ressources nĂ©cessaires sans aucune interaction avec eux. Un exemple de la mise en Ĺ“uvre d'une telle opportunitĂ©: un consommateur remplit un formulaire Web, en indiquant ses besoins en ressources, et le fournisseur de services cloud sĂ©lectionne le nĂ©cessaire.
  • Accès rĂ©seau Ă©tendu. La possibilitĂ© d'accĂ©der aux ressources cloud de pratiquement n'importe oĂą dans le monde depuis n'importe quel appareil. Il est important de noter que de solides capacitĂ©s d'accès au rĂ©seau font partie de la dĂ©finition du cloud computing, et fournir un tel accès est une condition prĂ©alable importante pour un dĂ©ploiement rĂ©ussi. Mais ce paragraphe ne signifie pas que l'accès doit toujours ĂŞtre ouvert Ă  tous. En lisant ce livre, vous apprendrez que les contrĂ´les d'accès sont un Ă©lĂ©ment essentiel de tout système cloud.
  • Prise en charge des changements rapides.Cela signifie que les consommateurs de services cloud peuvent rapidement obtenir des ressources cloud selon les besoins, puis les remettre dans le pool de ressources cloud partagĂ©es lorsque ce besoin disparaĂ®t. Les services cloud sont conçus pour que les consommateurs puissent recevoir et renvoyer rapidement des ressources. Du point de vue du client, la quantitĂ© de ressources pouvant ĂŞtre obtenues Ă  partir du cloud est pratiquement illimitĂ©e. Si le consommateur du service cloud estime qu'il aura bientĂ´t besoin de plus de ressources, il peut les demander au fournisseur pour faire face Ă  la charge Ă  venir. Cette Ă©lasticitĂ© dynamique est basĂ©e sur les ressources illimitĂ©es du point de vue du consommateur.
  • . (). , . , , . . ( .)
  • . , — , , , , ( ). , — , .


, NIST, . , . , .

:

  • (laaS). , . , , . , laaS , .
  • (PaaS). , « », . , ( , ) (, -), , . ( ) , .
  • (SaaS). « ». , . « » , . Microsoft Exchange Server ( ) Microsoft SharePoint ( ). .


NIST :

  • . , . — , . , . , — : . .
  • . - . — ( ). , , , NIST ( ). ( , — , , ).

    ? , - .
  • . . — , . — .

    , -, . - , — . — , VPN- WAN-.
  • . , . — , , .

Azure


, . Azure . Azure , Security Development Lifecycle (SDL), « ». Azure , .

Azure : , , , . 1-4 Azure.



— . , Azure. . , , Azure. , - .
. Azure (RBAC). RBAC : azure.microsoft.com/documentation/articles/role-based-access-control-configure.
, , Azure. Azure , . , , .

( , ). Azure — , . , Azure.

, , , Azure. , (, -), (ACL). , (NSG).

. Azure Active Directory 2, « Azure». 3, « Azure».

, Azure Azure. Microsoft. — , . — (SLA).


Vous pouvez télécharger la version complète du livre gratuitement et l'étudier sur le lien ci-dessous.

→ Télécharger

Source: https://habr.com/ru/post/fr423177/

More articles:


All Articles