Meilleures pratiques en matière de sécurisation et de gestion des charges de travail migrées vers Azure

Lorsque vous planifiez et concevez la migration, en plus de penser à la migration elle-même, vous devez considérer votre modèle de sécurité et de gestion dans Azure après la migration. Cet article décrit la planification et les bonnes pratiques pour la sécurisation de votre déploiement Azure après la migration. Il couvre également les tâches en cours, afin de maintenir votre déploiement à un niveau optimal.

Important

Les meilleures pratiques et opinions décrites dans cet article sont basées sur la plateforme Azure et les fonctionnalités disponibles au moment de la rédaction. Les fonctionnalités et les capacités changent au fil du temps.

Sécuriser les charges de travail migrées

Après la migration, la tâche la plus critique consiste à protéger les charges de travail migrées des menaces internes et externes. Ces meilleures pratiques vous aideront à le faire :

  • Découvrez comment utiliser la supervision, les évaluations et les recommandations fournies par Azure Security Center.
  • Obtenez les meilleures pratiques pour chiffrer vos données dans Azure.
  • Protégez vos machines virtuelles contre les attaques et logiciels malveillants.
  • Protégez les informations sensibles dans les applications web migrées.
  • Vérifiez qui peut accéder à vos abonnements et ressources Azure après la migration.
  • Passez en revue vos journaux d’activité d’audit et de sécurité Azure régulièrement.
  • Comprenez et évaluez les fonctionnalités de sécurité avancées d’Azure.

Ces bonnes pratiques sont décrites plus en détail dans les sections suivantes.

Bonne pratique : Suivre les recommandations d’Azure Security Center

Les administrateurs de locataire Azure doivent activer des fonctionnalités de sécurité qui protègent les charges de travail contre les attaques. Security Center fournit la gestion de la sécurité unifiée. Depuis Security Center, vous pouvez appliquer des stratégies de sécurité sur l’ensemble des charges de travail, limiter l’exposition aux menaces, détecter et répondre aux attaques. Security Center analyse les ressources et les configurations des locataires Azure, puis émet des recommandations de sécurité, notamment :

  • Gestion de stratégie centralisée : Assurez la conformité aux exigences de sécurité obligatoires ou de votre société en gérant de façon centralisée les stratégies de sécurité dans toutes vos charges de travail cloud hybrides.
  • Évaluation continue de la sécurité : Supervisez la posture de sécurité des machines, réseaux, services de stockage et de données, et des applications pour découvrir d’éventuels problèmes de sécurité.
  • Recommandations exploitables : Corrigez les vulnérabilités avant qu’elles ne puissent être exploitées par des attaquants, avec des recommandations de sécurité actionnables et classées par ordre de priorité.
  • Alertes et incidents classés par ordre de priorité : Concentrez-vous en premier lieu sur les menaces les plus importantes avec les incidents et alertes de sécurité classés par ordre de priorité.

En plus des évaluations et des recommandations, Security Center offre d’autres fonctionnalités de sécurité que vous pouvez activer pour des ressources spécifiques.

  • Accès juste-à-temps (JIT). Réduisez votre surface d’attaque réseau grâce à un accès contrôlé et JIT aux ports de gestion sur les machines virtuelles Azure.
    • Si le port RDP 3389 de vos machines virtuelles est ouvert sur Internet, celles-ci sont exposées à l’activité continue d’acteurs malveillants. Les adresses IP Azure sont bien connues et les pirates les sondent continuellement pour détecter les attaques sur les ports 3389 ouverts.
    • JIT utilise des groupes de sécurité réseau (NSG) et des règles de trafic entrant qui limitent la durée d’ouverture d’un port spécifique.
    • Quand l’accès JIT est activé, Security Center vérifie qu’un utilisateur dispose des droits d’accès en écriture du contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour une machine virtuelle. Vous pouvez également définir des règles sur la façon dont les utilisateurs peuvent se connecter aux machines virtuelles. Si les autorisations sont correctes, une requête d’accès est approuvée et Security Center configure les groupes de sécurité réseau (NSG) afin d’autoriser le trafic entrant vers les ports sélectionnés, pendant la durée que vous spécifiez. Les groupes de sécurité réseau retournent à leur état antérieur à l’expiration du délai.
  • Contrôles d’application adaptative. Protégez les machines virtuelles des programmes malveillants et des logiciels en déterminant quelles applications peuvent s’exécuter sur elles dans une liste verte dynamique.
    • Les contrôles d'application adaptatifs vous permettent de placer des applications en liste verte et d'empêcher les utilisateurs ou administrateurs malhonnêtes d'installer des applications logicielles non approuvées ou en cours d'approbation sur vos machines virtuelles.
      • Vous pouvez bloquer ou alerter sur les tentatives d'exécution d'applications malveillantes, éviter les applications indésirables ou malveillantes, et assurer la conformité avec la stratégie de sécurité des applications de votre organisation.
  • Monitoring d’intégrité de fichier. Garantissez l’intégrité des fichiers s’exécutant sur les machines virtuelles.
    • Des problèmes de machines virtuelles peuvent se produire indépendamment de l’installation de logiciels. La modification d’un fichier système peut également entraîner une défaillance de la machine virtuelle ou une dégradation des performances. La fonctionnalité de supervision de l'intégrité des fichiers examine les fichiers système et les paramètres du registre pour détecter les modifications, et vous avertit si quelque chose est mis à jour.
    • Security Center recommande les fichiers à surveiller.

En savoir plus :

Bonne pratique : Chiffrer les données

Le chiffrement est une partie importante des pratiques de sécurité d’Azure. S’assurer que le chiffrement est activé à tous les niveaux évite que les parties non autorisées accèdent aux données sensibles, notamment les données en transit et au repos.

Chiffrement pour une infrastructure as a service

  • Machines virtuelles : pour les machines virtuelles, vous pouvez utiliser Azure Disk Encryption pour chiffrer vos disques de machines virtuelles Windows et l’infrastructure as a service (IaaS) Linux.
    • Azure Disk Encryption utilise BitLocker pour Windows, et dm-crypt pour Linux, afin de fournir un chiffrement de volume pour le système d’exploitation et les disques de données.
    • Vous pouvez utiliser une clé de chiffrement créée par Azure, ou fournir vos propres clés de chiffrement, sauvegardées dans Azure Key Vault.
    • Avec la fonctionnalité Azure Disk Encryption, les données de la machine virtuelle IaaS sont sécurisées au repos (sur le disque) et pendant le démarrage de la machine virtuelle.
      • Security Center vous envoie une alerte dès lors que certaines de vos machines virtuelles ne sont pas chiffrées.
  • Stockage : Protégez les données au repos stockées dans le stockage Azure.
    • Les données stockées dans les comptes du stockage Azure peuvent être chiffrées à l’aide de clés AES générées par Microsoft, en conformité avec la norme FIPS 140-2, mais vous pouvez utiliser vos propres clés.
    • Le chiffrement du stockage Azure est activé pour tous les comptes de stockage nouveaux et existants, et il ne peut pas être désactivé.

Chiffrement pour platform as a service

Contrairement à l’IaaS, capacité dans laquelle vous gérez vos propres machines virtuelles et votre infrastructure, dans un modèle PaaS (platform as a service), la plateforme et l’infrastructure sont gérées par le fournisseur. Vous pouvez vous concentrer sur la logique et les fonctionnalités des applications centrales. Avec autant de types de service PaaS différents, chaque service est évalué individuellement pour des raisons de sécurité. À titre d’exemple, voyons comment vous pourriez activer le chiffrement pour Azure SQL Database.

  • Always Encrypted : L’Assistant Always Encrypted de SQL Server Management Studio permet de protéger les données au repos.
    • Vous créez une clé Always Encrypted pour chiffrer les données de chaque colonne.
    • Les clés Always Encrypted peuvent être stockées sous forme chiffrée dans les métadonnées de la base de données ou stockées dans des magasins de clés sécurisés, tels qu’Azure Key Vault.
    • Il est très probable que vous deviez apporter des modifications à l’application pour utiliser cette fonctionnalité.
  • Transparent Data Encryption (TDE) : Protégez la base de données Azure SQL Database à l’aide du chiffrement et du déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux de transactions au repos.
    • TDE permet aux activités de chiffrement de se dérouler sans modification au niveau de la couche Application.
    • TDE peut utiliser les clés de chiffrement fournies par Microsoft. Sinon, vous avez la possibilité d’apporter vos propres clés.

En savoir plus :

Bonne pratique : Protéger les machines virtuelles avec un logiciel anti-programme malveillant

En particulier, les anciennes machines virtuelles migrées sur Azure peuvent ne pas forcément disposer du niveau approprié de logiciel anti-programme malveillant installé. Azure fournit une solution de point de terminaison gratuite qui aide à protéger les machines virtuelles contre les virus, les logiciels espions et autres logiciels malveillants.

  • Microsoft Antimalware pour Azure Cloud Services et Machines Virtuelles produit des alertes lorsqu’un logiciel malveillant ou indésirable connu tente de s’installer.

  • Il s’agit d’une solution d’agent unique qui fonctionne en arrière-plan sans intervention humaine.

  • Dans Security Center, vous pouvez identifier les machines virtuelles dont les points de terminaison ne sont pas protégés et installer Microsoft Antimalware si nécessaire.

    Capture d’écran d’Antimalware pour les machines virtuelles. Figure 1 : Antimalware pour les machines virtuelles.

En savoir plus :

Bonne pratique : Sécuriser les applications web

Les applications web migrées sont confrontées à quelques problèmes :

  • La plupart des applications web héritées ont tendance à contenir des informations sensibles dans les fichiers de configuration. Les fichiers contenant de telles informations peuvent présenter des problèmes de sécurité lorsque les applications sont sauvegardées, ou lorsque le code d'application est vérifié dans le cadre ou hors du contrôle de code source.
  • Lorsque vous migrez des applications web résidant dans une machine virtuelle, vous déplacez probablement cette machine d’un environnement de réseau local protégé par un pare-feu vers un environnement accessible sur Internet. Veillez à mettre en place une solution qui fait le même travail que vos ressources de protection locales.

Azure propose les solutions suivantes :

  • Azure Key Vault : Aujourd’hui, les développeurs d’applications web prennent des mesures pour s’assurer que les informations sensibles de ces fichiers ne sont pas divulguées. Une méthode pour sécuriser les informations est de les extraire des fichiers et de les placer dans un Azure Key Vault.

    • Vous pouvez utiliser un coffre de clés pour centraliser le stockage des secrets d'application et contrôler leur distribution. Cela évite d'avoir à stocker les informations de sécurité dans les fichiers d'application.
    • Les applications peuvent accéder de manière sécurisée aux informations du coffre à l’aide des URI, sans avoir besoin de code personnalisé.
    • Azure Key Vault vous permet de verrouiller l’accès via les contrôles de sécurité Azure, et d’implémenter sans interruption les clés renouvelées. Microsoft ne voit ni n’extrait vos données.
  • App Service Environment pour Power Apps : si une application que vous migrez a besoin d’une protection supplémentaire, envisagez d’ajouter App Service Environment et un pare-feu d’applications web pour protéger les ressources d’application.

    • App Service Environment fournit un environnement entièrement isolé et dédié pour l’exécution d’applications, telles que les applications web Windows et Linux, les conteneurs Docker, les applications mobiles et les applications de fonction.
    • Cet environnement est utile pour les applications à très grande échelle, qui nécessitent un isolement et un accès réseau sécurisé, ou qui sollicitent fortement la mémoire.
  • Pare-feu d'applications web : c’est une fonctionnalité d’Azure Application Gateway qui fournit une protection centralisée pour les applications web.

    • Il protège les applications web sans nécessiter de modifications du code principal.
    • Il protège de nombreuses applications web en même temps, derrière Application Gateway.
    • Vous pouvez superviser le pare-feu d’applications web avec Azure Monitor. Web Application Firewall est intégré à Security Center.

    Diagramme d’Azure Key Vault et des applications web sécurisées. Figure 2 : Azure Key Vault.

En savoir plus :

Bonne pratique : Examiner les abonnements et les autorisations de ressources

Lorsque vous migrez et exécutez vos charges de travail dans Azure, le personnel ayant accès aux charges de travail se déplace. Votre équipe de sécurité doit examiner régulièrement l’accès à vos groupes de locataires et de ressources Azure. Azure propose des offres pour la gestion des identités et la sécurité du contrôle d’accès, y compris le contrôle d’accès en fonction du rôle Azure (RBAC Azure) pour fournir des autorisations d’accès aux ressources Azure.

  • RBAC Azure attribue des autorisations d’accès aux principaux de sécurité. Les principaux de sécurité représentent les utilisateurs, les groupes (ensemble d'utilisateurs), les principaux de service (identité utilisée par les applications et les services) et les identités managées (identité Azure Active Directory managée automatiquement par Azure).
  • RBAC Azure peut attribuer des rôles aux principaux de sécurité, comme le propriétaire, le contributeur et le lecteur, et affecter des définitions de rôles (une collection d’autorisations) qui définissent les opérations pouvant être effectuées par les rôles.
  • RBAC Azure peut aussi définir des étendues qui définissent les limites d’un rôle. L’étendue peut être définie à plusieurs niveaux, notamment un groupe d’administration, un abonnement, un groupe de ressources ou une ressource.
  • Veillez à ce que les administrateurs avec accès Azure ne puissent accéder qu’aux ressources que vous voulez autoriser. Si les rôles prédéfinis dans Azure ne sont pas assez précis, vous pouvez créer des rôles personnalisés pour séparer et limiter les autorisations d’accès.

Veillez à ce que les administrateurs avec accès Azure ne puissent accéder qu’aux ressources que vous voulez autoriser. Si les rôles prédéfinis dans Azure ne sont pas assez précis, vous pouvez créer des rôles personnalisés pour séparer et limiter les autorisations d’accès.

Capture d’écran du contrôle d’accès. Figure 3 : Contrôle d’accès.

En savoir plus :

Bonne pratique : Réviser les journaux d’activité d’audit et de sécurité

Azure AD fournit les journaux d’activité qui apparaissent dans Azure Monitor. Les journaux d’activité de bord capturent les opérations effectuées dans la location Azure, le moment où elles ont eu lieu et qui les a effectuées.

  • Les journaux d’audit présentent l’historique des tâches dans le locataire. Les journaux d’activité de connexion indiquent qui a effectué les tâches.

  • L’accès aux rapports de sécurité dépend de votre licence Azure AD. Avec les licences Gratuit et De base, vous obtenez la liste des utilisateurs et des connexions à risque. Avec les licences Premium, vous recevez des informations sur les événements sous-jacents.

  • Vous pouvez maintenant acheminer les journaux d’activité vers divers points de terminaison pour une rétention à long terme et l’analyse des données.

  • Prenez l’habitude d’examiner les journaux, ou intégrez vos outils d’informations de sécurité et de gestion d’événements (SIEM) pour examiner automatiquement les anomalies. Si vous n’utilisez pas une licence Premium, vous devrez effectuer un grand nombre d’analyses vous-même, ou utiliser votre système SIEM. L’analyse comprend la recherche de connexions et d’événements à risque, ainsi que d’autres modèles d’attaques d’utilisateurs.

    Capture d’écran des utilisateurs et groupes Azure AD. Figure 4 : Utilisateurs et groupes Azure AD.

En savoir plus :

Bonne pratique : Évaluer d’autres fonctionnalités de sécurité

Azure offre d’autres fonctionnalités de sécurité qui proposent des options de sécurité avancées. Notez que certaines des bonnes pratiques suivantes nécessitent des licences supplémentaires et des options premium.

  • Implémenter les unités administratives (AU) d’Azure AD. Déléguer des tâches administratives au personnel du support peut s’avérer délicat par un simple contrôle d’accès de base Azure. L’attribution d’accès au personnel du support en vue d’administrer tous les groupes Azure AD n’est peut-être pas l’approche idéale pour la sécurité de l’organisation. L’utilisation d’AU vous permet de séparer les ressources Azure dans des conteneurs de la même manière que les unités d’organisation (UO) locales. Pour utiliser des AU, l’administrateur d’unités administratives doit avoir une licence Azure AD Premium. Pour plus d’informations, consultez Gérer des unités administratives dans Azure AD.
  • Utiliser l’authentification multifacteur. Si vous possédez une licence premium Azure AD, vous pouvez activer et appliquer l’authentification multifacteur sur vos comptes d’administrateur. L’hameçonnage est le moyen le plus courant de compromettre l’identité des comptes. Lorsqu’une personne malveillante est en possession d’informations d’identification de compte d’administration, rien ne l’empêche d’entreprendre des actions de grande envergure, telles que la suppression de tous vos groupes de ressources. Vous pouvez établir l’authentification multifacteur de plusieurs façons, y compris par e-mail, application d’authentification ou message texte sur téléphone. En tant qu’administrateur, vous pouvez choisir l’option la moins intrusive. L’authentification multifacteur s’intègre à l’analytique des menaces et aux stratégies d’accès conditionnel pour exiger aléatoirement une réponse à une demande d’authentification multifacteur. Apprenez-en davantage sur les conseils de sécurité et sur la configuration de l’authentification multifacteur (MFA).
  • Implémenter l’accès conditionnel. Dans la plupart des petites et moyennes entreprises, les administrateurs Azure et l'équipe du support technique se situent dans la même zone géographique. Dans ce cas, la plupart des connexions proviennent des mêmes zones. Si les adresses IP de ces emplacements sont assez statiques, il est logique que vous ne puissiez pas voir les connexions administrateur si vous vous trouvez à l’extérieur de ces zones. Même si une personne malveillante distante compromet les informations d’identification d’un administrateur, vous pouvez implémenter des fonctionnalités de sécurité, comme l’accès conditionnel, associé à l’authentification multifacteur, pour empêcher l’ouverture de session à partir d’emplacements distants. Cette façon de faire peut également empêcher les emplacements usurpés à partir d’adresses IP aléatoires. Apprenez-en davantage sur l'accès conditionnel, et passez en revue les meilleures pratiques en matière d'accès conditionnel dans Azure AD.
  • Passez en revue les permissions d'application d'entreprise. Au fil du temps, les administrateurs sélectionnent les liens Microsoft et tiers sans connaître les conséquences à craindre pour l’organisation. Les liens peuvent présenter des écrans de consentement qui affectent des autorisations à des applications Azure. L’accès en lecture à des données Azure AD peut être autorisé, ou même un accès complet pour gérer l’intégralité de votre abonnement Azure. Vous devez régulièrement passer en revue les applications pour lesquelles vos administrateurs et utilisateurs ont autorisé l'accès aux ressources Azure. Assurez-vous que ces applications disposent uniquement des autorisations nécessaires. De plus, tous les trimestres ou tous les semestres, vous pouvez envoyer aux utilisateurs un e-mail contenant un lien d’accès aux pages d’application, afin qu’ils sachent à quelles applications ils ont attribué l’accès de leurs données organisationnelles. Pour plus d’informations, consultez Application inattendue dans la liste d’applications et comment contrôler les affectations d’applications dans Azure AD.

Charges de travail migrées gérées

Dans les sections suivantes, nous recommandons l’adoption de quelques bonnes pratiques pour la gestion d’Azure, notamment :

  • Meilleures pratiques pour les groupes de ressources et les ressources Azure, y compris le nommage intelligent, la prévention de la suppression accidentelle, la gestion des autorisations des ressources et le balisage efficace des ressources.
  • Consultez une vue d’ensemble rapide sur l’utilisation des blueprints pour construire et administrer vos environnements de déploiement.
  • Passez en revue les exemples d’architectures Azure pour en tirer des leçons lorsque vous construisez vos déploiements après la migration.
  • Si vous avez plusieurs abonnements, vous pouvez les regrouper dans des groupes d’administration et appliquer les paramètres de gouvernance à ces groupes.
  • Appliquez les stratégies de conformité à vos ressources Azure.
  • Élaborez une stratégie de continuité d’activité et reprise d’activité (BCDR) pour assurer la sécurité des données, la résilience de votre environnement et la disponibilité des ressources en cas de panne.
  • Rassemblez les machines virtuelles en groupes de disponibilité pour la résilience et la haute disponibilité. Utilisez des disques managés pour faciliter la gestion des disques et du stockage des machines virtuelles.
  • Activez la journalisation des diagnostics pour les ressources Azure, créez des alertes et des playbooks pour un dépannage proactif, et utilisez le tableau de bord Azure pour obtenir un affichage unifié sur l’état d’intégrité et le statut de votre déploiement.
  • Analysez votre plan de Support Azure et les possibilités d’implémentation, prenez connaissance des meilleures pratiques pour maintenir à jour les machines virtuelles et mettez en place des processus pour la gestion des changements.

Bonne pratique : Groupes de ressources de nom

Assurez-vous que les noms des groupes de ressources sont significatifs, qu’ils sont facilement reconnaissables et analysables par les administrateurs et les membres de l’équipe du support technique. La productivité et l’efficacité peuvent ainsi s’en trouver considérablement améliorées.

Si vous synchronisez votre instance Active Directory locale avec Azure AD avec Azure AD Connect, pensez à faire correspondre les noms des groupes de sécurité locaux avec les noms des groupes de ressources dans Azure.

Capture d’écran du nommage de groupes de ressources. Figure 5 : Nommage de groupes de ressources.

En savoir plus :

Bonne pratique : Implémenter les verrous de suppression pour les groupes de ressources

La dernière chose dont vous pouvez vous passer est qu’un groupe de ressources disparaisse parce qu’il a été supprimé accidentellement. Nous vous recommandons d’implémenter des verrous de suppression pour que cela ne se produise pas.

Capture d’écran de verrous de suppression. Figure 6 : Verrous de suppression.

En savoir plus :

Bonne pratique : Comprendre les autorisations d’accès aux ressources

Un propriétaire d’abonnement a accès à tous les groupes de ressources et ressources de votre abonnement.

  • Ajoutez des personnes avec parcimonie à cette affectation précieuse. Il est important de comprendre les ramifications de ces types d’autorisations pour assurer la sécurité et la stabilité de votre environnement.
  • Assurez-vous de placer les ressources dans des groupes de ressources appropriés :
    • Associez les ressources ayant un cycle de vie similaire. Idéalement, vous ne devriez pas avoir besoin de déplacer une ressource lorsque vous devez supprimer un groupe de ressources complet.
    • Les ressources qui prennent en charge une fonction ou une charge de travail doivent être regroupées pour simplifier leur gestion.

En savoir plus :

Bonne pratique : Baliser des ressources efficacement

Il est fréquent que l’utilisation d’un seul nom de groupe de ressources lié aux ressources ne permette pas de fournir suffisamment de métadonnées pour une mise en œuvre efficace de mécanismes, tels que la facturation interne ou la gestion au sein d’un abonnement.

  • En guise de bonne pratique, utilisez des étiquettes Azure pour ajouter des métadonnées utiles, pouvant être interrogées et faire l’objet de rapports.

  • Les balises permettent d’organiser logiquement les ressources avec les propriétés que vous définissez. Les balises peuvent être appliquées à des groupes de ressources ou des ressources directement.

  • Les balises peuvent être appliquées à un groupe de ressources ou des ressources individuelles. Les balises figurant dans un groupe de ressources ne sont pas héritées par les ressources qui le composent.

  • Vous pouvez automatiser l’étiquetage en utilisant PowerShell ou Azure Automation, ou étiqueter des groupes et des ressources individuellement.

  • Si vous avez mis en place un système de gestion des changements et des requêtes, vous pouvez facilement utiliser les informations contenues dans la requête HTTP pour remplir les étiquettes de ressources spécifiques à votre entreprise.

    Capture d’écran de l’étiquetage. Figure 7 : Étiquetage.

En savoir plus :

Bonne pratique : Implémenter des blueprints

À l’instar d’un blueprint qui permet aux ingénieurs et aux architectes de décrire les paramètres de conception d’un projet, le service Azure Blueprints permet aux architectes cloud et aux groupes du service informatique central de définir un ensemble reproductible de ressources Azure. Ils peuvent ainsi implémenter et respecter les normes, modèles et exigences d’une organisation. Avec Azure Blueprints, les équipes de développement peuvent rapidement générer et créer des environnements qui répondent aux exigences de conformité de l’organisation. Ces nouveaux environnements disposent d’un ensemble de composants intégrés, comme le réseau, pour accélérer le développement et la livraison.

  • Utilisez des blueprints pour orchestrer le déploiement des groupes de ressources, des modèles Azure Resource Manager et des affectations de rôles et de stratégies.
  • Stockez les blueprints Azure dans Azure Cosmos DB, service distribué à l’échelle mondiale. Les objets Blueprint sont répliqués dans plusieurs régions Azure. La réplication offre une faible latence, une haute disponibilité et un accès toujours identique à un blueprint, quelle que soit la région dans laquelle le blueprint déploie des ressources.

En savoir plus :

Bonne pratique : Réviser les architectures de référence Azure

Construire des charges de travail sécurisées, évolutives et gérables dans Azure peut s’avérer décourageant. Avec les changements continus, il peut être difficile de suivre les différentes fonctionnalités pour un environnement optimal. Il peut être utile d’avoir une référence pour en tirer des leçons lors de la conception et de la migration de vos charges de travail. Azure et ses partenaires Azure ont construit plusieurs exemples d’architectures de référence pour différents types d’environnements. Ces exemples sont conçus pour vous fournir des idées dont vous pouvez tirer des leçons et sur lesquelles vous pouvez vous appuyer.

Les architectures de référence sont organisées par scénario. Elles contiennent les meilleures pratiques et des conseils sur la gestion, la disponibilité, l’évolutivité et la sécurité. App Service Environment fournit un environnement entièrement isolé et dédié qui permet l’exécution d’applications, telles que les applications web Windows et Linux, les conteneurs Docker, les applications mobiles et les fonctions. App Service ajoute la puissance d’Azure à votre application grâce à la sécurité, l’équilibrage de charge, la mise à l’échelle automatique et la gestion automatisée. Vous pouvez également bénéficier de ses fonctionnalités DevOps, notamment le déploiement continu à partir d’Azure DevOps et GitHub, la gestion des packages, les environnements intermédiaires et les certificats SSL. App Service est utile pour les applications qui ont besoin d'un isolement et d'un accès réseau sécurisé, et pour celles qui utilisent de grandes quantités de mémoire et d'autres ressources qui ont besoin d'être mises à l'échelle.

En savoir plus :

Bonne pratique : Gérer les ressources avec les groupes d’administration Azure

Si votre organisation dispose de plusieurs abonnements, vous avez besoin de gérer l’accès, les stratégies et la conformité de ceux-ci. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements. Voici quelques conseils :

  • Vous organisez les abonnements en conteneurs appelés groupes d’administration et vous leur appliquez des conditions de gouvernance.
  • Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions du groupe d’administration.
  • Les groupes d’administration fournissent une gestion de qualité professionnelle, à grande échelle, quel que soit le type de vos abonnements.
  • Par exemple, vous pouvez appliquer une stratégie de groupe de gestion qui limite les régions dans lesquelles les machines virtuelles peuvent être créées. Une telle stratégie s’applique alors à tous les groupes d’administration, abonnements et ressources sous ce groupe d’administration.
  • Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements pour organiser vos ressources dans une hiérarchie à des fins de stratégie unifiée et de gestion de l’accès.

Le diagramme suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes d’administration.

Diagramme de groupes d’administration. Figure 8 : Groupes d’administration.

En savoir plus :

Bonne pratique : Déployer Azure Policy

Azure Policy est un service utilisé pour créer, attribuer et gérer des stratégies. Les stratégies appliquent des règles et des effets différents sur vos ressources, afin que ces ressources restent conformes aux normes et aux contrats de niveau de service de l'entreprise.

Azure Policy évalue vos ressources en analysant celles qui ne sont pas conformes avec vos stratégies. Par exemple, vous pouvez créer une stratégie qui n’autorise qu’une taille de SKU spécifique pour les machines virtuelles dans votre environnement. Azure Policy évalue ce paramètre lorsque vous créez et mettez à jour des ressources, ainsi que pendant l’analyse des ressources existantes. Notez qu’Azure fournit des stratégies intégrées que vous pouvez affecter, ou que vous pouvez créer vous-même.

Capture d’écran d’Azure Policy. Figure 9 : Azure Policy.

En savoir plus :

Bonne pratique : Implémenter une stratégie BCDR

La planification de BCDR est un exercice essentiel que vous devez effectuer dans le cadre de votre processus de planification de la migration vers Azure. En termes juridiques, votre contrat peut comporter une clause de force majeure qui excuse les obligations dues à une force de caractère exceptionnel, comme les ouragans ou les tremblements de terre. Cependant, vous devez vous assurer que les services essentiels continuent à s’exécuter normalement et à récupérer si un désastre survient. Votre capacité à le faire peut faire ou défaire l’avenir de votre entreprise.

D’une manière générale, votre stratégie BCDR doit prendre en compte ce qui suit :

  • Sauvegarde de données : Comment sécuriser vos données afin de pouvoir les récupérer facilement en cas de panne.
  • Récupération d’urgence : Comment assurer la résilience et la disponibilité de vos applications.

Configurer la continuité d’activité et reprise d’activité

Lors de la migration vers Azure, vous devez comprendre que même si la plateforme Azure fournit des fonctionnalités de résilience intégrées, il vous revient l’obligation de concevoir votre déploiement Azure pour tirer parti de celles-ci.

  • Votre solution BCDR dépendra des objectifs de votre entreprise et de votre stratégie de déploiement Azure. Les déploiements Infrastructure as a Service (IaaS) et Platform as a Service (PaaS) posent des problèmes différents à la continuité d’activité et reprise d’activité.
  • Après leur mise en place, vos solutions BCDR doivent être testées régulièrement pour vérifier que votre stratégie reste viable.

Sauvegarder un déploiement IaaS

Dans la plupart des cas, une charge de travail locale est supprimée après la migration, et votre stratégie de sauvegarde des données sur site doit être étendue ou remplacée. Si vous migrez l’ensemble de votre centre de données vers Azure, vous devrez concevoir et implémenter une solution de sauvegarde complète en utilisant les technologies Azure, ou des solutions intégrées tierces.

Pour les charges de travail exécutées sur des machines virtuelles Azure IaaS, pensez à ces solutions de sauvegarde :

  • Sauvegarde Azure : Fournit des sauvegardes cohérentes avec les applications pour les machines virtuelles Azure Linux et Windows.
  • Instantanés du stockage : prend des instantanés du Stockage Blob.

Sauvegarde Azure

Sauvegarde Azure crée des points de récupération de données enregistrés dans Stockage Azure. Sauvegarde Azure peut sauvegarder les disques de machine virtuelle Azure Files (en préversion). Azure Files fournit des partages de fichiers dans le cloud qui sont accessibles via le protocole SMB (Server Message Block).

Vous pouvez utiliser Sauvegarde Azure pour sauvegarder les machines virtuelles suivant ces différentes façons :

  • Sauvegarde directe à partir des paramètres de machine virtuelle. Vous pouvez sauvegarder des machines virtuelles avec Sauvegarde Azure directement depuis les options de machine virtuelle dans le portail Azure. Vous pouvez sauvegarder la machine virtuelle une fois par jour et restaurer le disque de machine virtuelle si nécessaire. Sauvegarde Azure prend des captures instantanées de données tenant compte des applications, et aucun agent n’est installé sur la machine virtuelle.
  • Sauvegarde directe dans un coffre Recovery Services. Vous pouvez sauvegarder vos machines virtuelles IaaS en déployant un coffre Azure Backup Recovery Services. Cela fournit un emplacement unique pour le suivi et la gestion des sauvegardes, ainsi que des options de sauvegarde et de restauration précises. La sauvegarde s’effectue jusqu’à trois fois par jour, aux niveaux des fichiers et des dossiers. Elle ne tient pas compte des applications, et Linux n’est pas pris en charge. Installez l’agent des services de récupération Microsoft Azure (MARS) sur chaque machine virtuelle que vous souhaitez sauvegarder à l’aide de cette méthode.
  • Protéger la machine virtuelle dans le serveur de sauvegarde Azure. Le serveur de sauvegarde Azure est fourni gratuitement avec Sauvegarde Azure. La machine virtuelle est sauvegardée dans le stockage du serveur de sauvegarde Azure local. Vous sauvegardez ensuite le serveur de sauvegarde Azure dans un coffre-fort Azure. La sauvegarde est compatible avec les applications, avec une précision totale sur les sauvegardes fréquentes et la rétention. Vous pouvez sauvegarder au niveau de l'application, par exemple en sauvegardant SQL Server ou SharePoint.

Pour des raisons de sécurité, le service Sauvegarde Azure chiffre les données à la volée par le biais du chiffrement AES 256. Il les envoie via HTTPS à Azure. Les données sauvegardées au repos dans Azure sont chiffrées à l’aide de la fonctionnalité de chiffrement du Stockage Azure.

Capture d’écran de Sauvegarde Azure. Figure 10 : Sauvegarde Azure.

En savoir plus :

Captures instantanées du stockage

Les machines virtuelles Azure sont stockés en tant qu’objets blob de pages dans Stockage Azure. Les instantanés capturent l’état de l’objet blob à un instant précis. Comme méthode de sauvegarde alternative pour les disques Azure VM, vous pouvez effectuer une capture instantanée des blobs de stockage et les copier sur un autre compte de stockage.

Vous pouvez copier un blob entier ou utiliser une copie de capture instantanée incrémentielle pour ne copier que les modifications delta et réduire l’espace de stockage. Par mesure de précaution supplémentaire, vous pouvez activer la suppression réversible pour les comptes de Stockage Blob. Lorsque cette fonction est activée, un blob supprimé est marqué pour suppression, mais il n’est pas immédiatement purgé. Pendant la période transitoire, vous pouvez restaurer le blob.

En savoir plus :

Sauvegarde tierce

De plus, vous pouvez utiliser des solutions tierces pour sauvegarder les machines virtuelles et les conteneurs de stockage Azure vers le stockage local ou d’autres fournisseurs de cloud. Pour plus d’informations, consultez Solutions de sauvegarde dans Place de marché Azure.

Configurer la récupération d'urgence pour les applications IaaS

En plus de protéger les données, la planification BCDR (continuité d'activité et reprise d'activité) doit déterminer le moyen d'assurer la disponibilité des applications et des charges de travail en cas d'incident. Pour les charges de travail qui s’exécutent sur des machines virtuelles Azure IaaS et le stockage Azure, envisagez les solutions des sections suivantes.

Azure Site Recovery

Azure Site Recovery est le principal service Azure qui permet d’assurer la mise en ligne des machines virtuelles Azure, et la mise à disposition des applications de celles-ci, en cas de panne.

Site Recovery réplique des machines virtuelles, d’une région primaire à une région secondaire Azure. En cas de sinistre, vous basculez les machines virtuelles depuis la région primaire, et continuez à y accéder normalement dans la région secondaire. Lorsque les opérations reviennent à la normale, vous pouvez faire basculer les machines virtuelles vers la région primaire.

Diagramme d’Azure Site Recovery. Figure 11 : Site Recovery.

En savoir plus :

Bonne pratique : Utiliser des disques managés et des groupes à haute disponibilité

Azure utilise des groupes à haute disponibilité pour regrouper logiquement les machines virtuelles et pour isoler les machines virtuelles d’un groupe d’autres ressources. Les machines virtuelles d’un groupe à haute disponibilité sont réparties sur plusieurs domaines d’erreur avec des sous-systèmes distincts, ce qui assure une protection contre les pannes locales. Les machines virtuelles sont aussi réparties sur plusieurs domaines de mise à jour, ce qui évite un redémarrage simultané de toutes les machines virtuelles du groupe.

Les disques managés Azure simplifient la gestion des disques pour les machines virtuelles Azure en gérant les comptes de stockage associés aux disques des machines virtuelles.

  • Utilisez des disques managés dans la mesure du possible. Vous avez simplement à spécifier le type de stockage à utiliser et la taille de disque dont vous avez besoin, et Azure crée et gère le disque à votre place.

  • Vous pouvez convertir des disques existants en disques managés.

  • Vous devez créer des machines virtuelles dans des groupes à haute disponibilité pour la résilience et la haute disponibilité. Quand des arrêts planifiés ou imprévus surviennent, les groupes à haute disponibilité garantissent qu’au moins une de vos machines virtuelles du groupe reste disponible.

    Diagramme de disques managés. Figure 12 : Disques managés.

En savoir plus :

Bonne pratique : Superviser l’utilisation des ressources et les performances

Vous avez peut-être déplacé vos charges de travail vers Azure pour ses immenses capacités de mise à l’échelle. Mais le déplacement de votre charge de travail ne signifie pas qu'Azure implémentera automatiquement la mise à l'échelle. Voici deux exemples :

  • Si votre organisation de marketing lance une nouvelle publicité télévisée qui génère 300 % de trafic en plus, des problèmes de disponibilité du site pourraient en découler. Votre charge de travail nouvellement migrée pourrait atteindre les limites attribuées et planter.
  • Si une attaque par déni de service distribué (DDoS) se produit sur votre charge de travail migrée, dans ce cas, il se peut que vous ne souhaitiez pas effectuer de mise à l’échelle. Vous voulez empêcher la source des attaques d’atteindre vos ressources.

Ces deux cas ont des résolutions différentes, mais, pour chacun d’eux, vous avez besoin d’avoir une idée de ce qui se passe avec l’analyse de l’utilisation et des performances.

  • Azure Monitor peut contribuer à faire émerger ces métriques et fournir une réponse avec des alertes, une mise à l’échelle automatique, Event Hubs et Logic Apps.

  • Vous pouvez également intégrer votre application SIEM tierce, afin de superviser les journaux Azure pour les événements d’audit et de performance.

    Capture d’écran d’Azure Monitor. Figure 13 : Azure Monitor.

En savoir plus :

Bonne pratique : Activer la journalisation des diagnostics

Les ressources Azure génèrent un bon nombre de métriques de journalisation et de données de télémétrie. Par défaut, la journalisation des diagnostics n’est pas activée pour la plupart des types de ressources. En activant la journalisation des diagnostics sur l’ensemble de vos ressources, vous pouvez interroger les données de journalisation et créer des alertes et des playbooks basés sur celles-ci.

Lorsque vous activez l’enregistrement de diagnostic, chaque ressource possède un ensemble spécifique de catégories. Vous sélectionnez une ou plusieurs catégories de journalisation et un emplacement pour les données de journalisation. Les journaux peuvent être envoyés à un compte de stockage, à un hub d’événements ou à Journaux Azure Monitor.

Capture d’écran de la journalisation des diagnostics. Figure 14 : Journalisation des diagnostics.

En savoir plus :

Bonne pratique : Configurer les alertes et les playbooks

Alors que la journalisation des diagnostics est activée pour les ressources Azure, vous pouvez commencer à utiliser les données de journalisation pour créer des alertes personnalisées.

  • Les alertes vous avertissent de façon proactive lorsque des conditions sont détectées dans vos données de surveillance. Vous pouvez alors résoudre les problèmes avant que les utilisateurs du système ne s’en aperçoivent. Vous pouvez définir des alertes sur les valeurs de métriques, les requêtes de recherche dans les journaux, les événements du journal d’activité, l’état d’intégrité de la plateforme et la disponibilité du site web.

  • Lorsque des alertes sont déclenchées, vous pouvez exécuter un playbook d'applications logiques. Un playbook vous aide à automatiser et orchestrer une réponse à une alerte spécifique. Les playbooks sont basés sur Azure Logic Apps. Vous pouvez utiliser des modèles d'applications logiques pour créer des playbooks, ou créer les vôtres.

  • Par exemple, vous pouvez créer une alerte qui se déclenche lorsqu’une analyse de port se produit dans un NSG. Vous pouvez configurer un playbook qui exécute et verrouille l’adresse IP de l’origine de l’analyse.

  • Une application présentant une fuite de mémoire en est un autre exemple. Lorsque l’utilisation de la mémoire atteint un certain point, un playbook peut recycler le processus.

    Capture d’écran des alertes. Figure 15 : Alertes.

En savoir plus :

Bonne pratique : Utiliser le tableau de bord Azure

Le portail Azure est une seule console unifiée qui permet de créer, gérer et surveiller tout, de simples applications web à des applications de cloud complexes. Il comprend un tableau de bord personnalisable et des options d’accessibilité.

  • Vous pouvez créer plusieurs tableaux de bord et les partager avec d’autres personnes ayant accès à vos abonnements Azure.

  • Avec ce modèle partagé, votre équipe a une visibilité sur l’environnement Azure, ce qui l’aide à être proactive dans la gestion des systèmes dans le cloud.

    Capture d’écran du tableau de bord Azure.

    Capture d’écran du tableau de bord Azure. Figure 16 : Tableau de bord Azure.

En savoir plus :

Bonne pratique : Comprendre les plans de support

À un moment donné, vous devrez collaborer avec votre personnel de soutien ou le personnel du support technique Microsoft. Il est essentiel de disposer d’un ensemble de stratégies et de procédures de support lors de scénarios, tels que la récupération d’urgence. De plus, vos administrateurs et votre personnel de support doivent être formés à l’implémentation de ces stratégies.

  • Dans le cas peu probable où un problème de service Azure aurait un impact sur votre charge de travail, les administrateurs devraient savoir comment soumettre un ticket de support à Microsoft de la manière la plus appropriée et efficace.

  • Familiarisez-vous avec les différents plans de support offerts pour Azure. Ils vont des temps de réponse dédiés aux instances Développeur, au support Premier avec un temps de réponse inférieur à 15 minutes.

    Capture d’écran des plans de support. Figure 17 : Plans de support.

En savoir plus :

Bonne pratique : Gérer les mises à jour

Le maintien à jour des machines virtuelles Azure avec les dernières mises à jour du système d’exploitation et du logiciel est une tâche énorme. La capacité de faire émerger toutes les machines virtuelles, de déterminer les mises à jour dont elles ont besoin et d’envoyer (push) automatiquement ces mises à jour est extrêmement utile.

  • Vous pouvez utiliser Update Management dans Azure Automation pour gérer les mises à jour de système d’exploitation. Cela s’applique aux machines qui exécutent des ordinateurs Windows et Linux déployés dans Azure, localement, et dans d’autres fournisseurs de cloud.

  • Utilisez Update Management pour évaluer rapidement l’état des mises à jour disponibles sur tous les ordinateurs d’agent et gérer l’installation des mises à jour.

  • Vous pouvez activer Update Management pour les machines virtuelles directement depuis un compte Azure Automation. Vous pouvez également mettre à jour une même machine virtuelle depuis la page Machine virtuelle du portail Azure.

  • De plus, vous pouvez inscrire les machines virtuelles Azure avec System Center Configuration Manager. Vous pouvez ensuite migrer la charge de travail Configuration Manager vers Azure, et effectuer des rapports et des mises à jour logicielles à partir d’une même interface web.

    Diagramme des mises à jour de machine virtuelle. Figure 18 : Mises à jour des machines virtuelles.

En savoir plus :

Implémenter un processus de gestion des changements

Comme pour tout système de production, tout type de changement peut avoir un impact sur votre environnement. Un processus de gestion des changements qui exige que des requêtes soient soumises afin d’apporter des changements aux systèmes de production est un ajout précieux dans votre environnement migré.

  • Vous pouvez établir des cadres de meilleures pratiques pour la gestion des changements afin de sensibiliser les administrateurs et le personnel de support.
  • Vous pouvez utiliser Azure Automation pour vous aider dans la gestion de la configuration et le suivi des changements dans le cadre de vos flux de travail migrés.
  • Lors de la mise en application du processus de gestion des changements, vous pouvez utiliser les journaux d’audit pour lier les journaux des modifications Azure aux demandes de modification existantes. Ainsi, si vous voyez une modification apportée sans demande de modification correspondante, vous pouvez rechercher la cause du problème dans le processus.

Azure possède une solution de suivi des modifications dans Azure Automation :

  • La solution suit les modifications apportées aux logiciels et fichiers Windows et Linux, aux clés de Registre Windows, aux services Windows et aux démons Linux.

  • Les modifications apportées sur les serveurs supervisés sont envoyées à Azure Monitor pour traitement.

  • La logique est appliquée aux données reçues, et le service cloud enregistre les données.

  • Le tableau de bord de suivi des modifications vous permet d'accéder facilement aux modifications apportées à votre infrastructure de serveur.

    Capture d’écran d’un graphique de gestion des changements.

    Figure 19 : un graphique de gestion des modifications.

En savoir plus :

Étapes suivantes

Passez en revue d’autres meilleures pratiques :