Meilleures pratiques en matière de sécurisation et de gestion des charges de travail migrées vers AzureBest practices to secure and manage workloads migrated to Azure

Lorsque vous planifiez et concevez la migration, en plus de penser à la migration elle-même, vous devez considérer votre modèle de sécurité et de gestion dans Azure après la migration.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. Cet article décrit la planification et les bonnes pratiques pour la sécurisation de votre déploiement Azure après la migration.This article describes planning and best practices for securing your Azure deployment after migrating. Il couvre également les tâches en cours, afin de maintenir votre déploiement à un niveau optimal.It also covers ongoing tasks to keep your deployment running at an optimal level.

Important

Les meilleures pratiques et opinions décrites dans cet article sont basées sur la plateforme Azure et les fonctionnalités disponibles au moment de la rédaction.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Les fonctionnalités et les capacités changent au fil du temps.Features and capabilities change over time.

Sécuriser les charges de travail migréesSecure migrated workloads

Après la migration, la tâche la plus critique consiste à protéger les charges de travail migrées des menaces internes et externes.After migration, the most critical task is to secure migrated workloads from internal and external threats. Ces meilleures pratiques vous aideront à le faire :These best practices help you to do that:

  • Découvrez comment utiliser la supervision, les évaluations et les recommandations fournies par Azure Security Center.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • Obtenez les meilleures pratiques pour chiffrer vos données dans Azure.Get best practices for encrypting your data in Azure.
  • Protégez vos machines virtuelles contre les attaques et logiciels malveillants.Protect your VMs from malware and malicious attacks.
  • Protégez les informations sensibles dans les applications web migrées.Keep sensitive information secure in migrated web apps.
  • Vérifiez qui peut accéder à vos abonnements et ressources Azure après la migration.Verify who can access your Azure subscriptions and resources after migration.
  • Passez en revue vos journaux d’activité d’audit et de sécurité Azure régulièrement.Review your Azure auditing and security logs on a regular basis.
  • Comprenez et évaluez les fonctionnalités de sécurité avancées d’Azure.Understand and evaluate advanced security features that Azure offers.

Ces bonnes pratiques sont décrites plus en détail dans les sections suivantes.These best practices are described in more detail in the sections that follow.

Bonne pratique : Suivre les recommandations d’Azure Security CenterBest practice: Follow Azure Security Center recommendations

Les administrateurs de locataire Azure doivent activer des fonctionnalités de sécurité qui protègent les charges de travail contre les attaques.Azure tenant admins need to enable security features that protect workloads from attacks. Azure Security Center fournit la gestion de la sécurité unifiée.Azure Security Center provides unified security management. Depuis Security Center, vous pouvez appliquer des stratégies de sécurité sur l’ensemble des charges de travail, limiter l’exposition aux menaces, détecter et répondre aux attaques.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center analyse les ressources et les configurations des locataires Azure, puis émet des recommandations de sécurité, notamment :Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Gestion de stratégie centralisée : Assurez la conformité aux exigences de sécurité obligatoires ou de votre société en gérant de façon centralisée les stratégies de sécurité dans toutes vos charges de travail cloud hybrides.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Évaluation continue de la sécurité : Supervisez la posture de sécurité des machines, réseaux, services de stockage et de données, et des applications pour découvrir d’éventuels problèmes de sécurité.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Recommandations exploitables : Corrigez les vulnérabilités avant qu’elles ne puissent être exploitées par des attaquants, avec des recommandations de sécurité actionnables et classées par ordre de priorité.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Alertes et incidents classés par ordre de priorité : Concentrez-vous en premier lieu sur les menaces les plus importantes avec les incidents et alertes de sécurité classés par ordre de priorité.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

En plus des évaluations et des recommandations, Azure Security Center offre d’autres fonctionnalités de sécurité que vous pouvez activer pour des ressources spécifiques.In addition to assessments and recommendations, Azure Security Center provides other security features that you can enable for specific resources.

  • Accès juste-à-temps (JIT).Just-in-time (JIT) access. Réduisez votre surface d’attaque réseau grâce à un accès contrôlé et juste-à-temps aux ports de gestion sur les machines virtuelles Azure.Reduce your network attack surface with just-in-time, controlled access to management ports on Azure VMs.
    • Si le port RDP 3389 de vos machines virtuelles est ouvert sur Internet, celles-ci sont exposées à l’activité continue d’acteurs malveillants.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Les adresses IP Azure sont bien connues et les pirates les sondent continuellement pour détecter les attaques sur les ports 3389 ouverts.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • JIT utilise des groupes de sécurité réseau (NSG) et des règles de trafic entrant qui limitent la durée d’ouverture d’un port spécifique.Just-in-time uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Lorsque l’accès juste-à-temps est activé, Security Center vérifie qu’un utilisateur dispose des droits d’accès en écriture du contrôle d’accès en fonction du rôle (RBAC) pour une machine virtuelle.With just-in-time access enabled, Security Center checks that a user has role-based access control (RBAC) write access permissions for a VM. Vous pouvez également définir des règles sur la façon dont les utilisateurs peuvent se connecter aux machines virtuelles.In addition, you can specify rules for how users can connect to VMs. Si les autorisations sont correctes, une requête d’accès est approuvée et Security Center configure les groupes de sécurité réseau (NSG) afin d’autoriser le trafic entrant vers les ports sélectionnés, pendant la durée que vous spécifiez.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. Les groupes de sécurité réseau retournent à leur état antérieur à l’expiration du délai.NSGs return to their previous state when the time expires.
  • Contrôles d’application adaptative.Adaptive application controls. Protégez les machines virtuelles des programmes malveillants et des logiciels en déterminant quelles applications peuvent s’exécuter sur elles dans une liste verte dynamique.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • Les contrôles d'application adaptatifs vous permettent de placer des applications en liste verte et d'empêcher les utilisateurs ou administrateurs malhonnêtes d'installer des applications logicielles non approuvées ou en cours d'approbation sur vos machines virtuelles.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • Vous pouvez bloquer ou alerter sur les tentatives d'exécution d'applications malveillantes, éviter les applications indésirables ou malveillantes, et assurer la conformité avec la stratégie de sécurité des applications de votre organisation.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • Monitoring d’intégrité de fichier.File Integrity Monitoring. Garantissez l’intégrité des fichiers s’exécutant sur les machines virtuelles.Ensure the integrity of files running on VMs.
    • Des problèmes de machines virtuelles peuvent se produire indépendamment de l’installation de logiciels.You don't need to install software to cause VM issues. La modification d’un fichier système peut également entraîner une défaillance de la machine virtuelle ou une dégradation des performances.Changing a system file can also cause VM failure or performance degradation. La fonctionnalité de supervision de l'intégrité des fichiers examine les fichiers système et les paramètres du registre pour détecter les modifications, et vous avertit si quelque chose est mis à jour.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Security Center recommande les fichiers à surveiller.Security Center recommends which files you should monitor.

En savoir plus :Learn more:

Bonne pratique : Chiffrer les donnéesBest practice: Encrypt data

Le chiffrement est une partie importante des pratiques de sécurité d’Azure.Encryption is an important part of Azure security practices. S’assurer que le chiffrement est activé à tous les niveaux évite que les parties non autorisées accèdent aux données sensibles, notamment les données en transit et au repos.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Chiffrement pour IaaS (infrastructure as a service)Encryption for infrastructure as a service (IaaS)

  • Machines virtuelles : Pour les machines virtuelles, vous pouvez utiliser Azure Disk Encryption pour chiffrer vos disques de machines virtuelles Windows et Linux IaaS.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux IaaS VM disks.
    • Azure Disk Encryption utilise BitLocker pour Windows, et dm-crypt pour Linux, afin de fournir un chiffrement de volume pour le système d’exploitation et les disques de données.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • Vous pouvez utiliser une clé de chiffrement créée par Azure, ou fournir vos propres clés de chiffrement, sauvegardées dans Azure Key Vault.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Avec la fonctionnalité Azure Disk Encryption, les données de la machine virtuelle IaaS sont sécurisées au repos (sur le disque) et pendant le démarrage de la machine virtuelle.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Azure Security Center vous envoie une alerte dès lors que certaines de vos machines virtuelles ne sont pas chiffrées.Azure Security Center alerts you if you have VMs that aren't encrypted.
  • Stockage : Protégez les données au repos stockées dans le stockage Azure.Storage: Protect at-rest data stored in Azure Storage.
    • Les données stockées dans les comptes du stockage Azure peuvent être chiffrées à l’aide de clés AES générées par Microsoft, en conformité avec la norme FIPS 140-2, mais vous pouvez utiliser vos propres clés.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Le chiffrement du stockage Azure est activé pour tous les comptes de stockage nouveaux et existants, et il ne peut pas être désactivé.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Chiffrement pour PaaS (platform as a service)Encryption for platform as a service (PaaS)

Contrairement à IaaS, capacité dans laquelle vous gérez vos propres machines virtuelles et votre infrastructure, dans un modèle PaaS, la plateforme et l’infrastructure sont gérées par le fournisseur.Unlike IaaS, in which you manage your own VMs and infrastructure, in a PaaS model platform and infrastructure is managed by the provider. Vous pouvez vous concentrer sur la logique et les fonctionnalités des applications centrales.You can focus on core application logic and capabilities. Avec autant de types de service PaaS différents, chaque service est évalué individuellement pour des raisons de sécurité.With so many different types of PaaS services, each service is evaluated individually for security purposes. À titre d’exemple, voyons comment vous pourriez activer le chiffrement pour Azure SQL Database.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted : L’assistant Always Encrypted de SQL Server Management Studio permet de protéger les données au repos.Always Encrypted: Use the Always Encrypted Wizard in SQL Server Management Studio to protect data at rest.
    • Vous créez une clé Always Encrypted pour chiffrer les données de chaque colonne.You create an Always Encrypted key to encrypt individual column data.
    • Les clés Always Encrypted peuvent être stockées sous forme chiffrée dans les métadonnées de la base de données ou stockées dans des magasins de clés sécurisés, tels qu’Azure Key Vault.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Il est très probable que, pour utiliser cette fonctionnalité, vous deviez apporter des modifications à l’application.Most likely, to use this feature, you'll need to make application changes.
  • Transparent Data Encryption (TDE) : Protégez la base de données Azure SQL Database à l’aide du chiffrement et du déchiffrement en temps réel de la base de données, des sauvegardes associées et des fichiers journaux de transactions au repos.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE permet aux activités de chiffrement de se dérouler sans modification au niveau de la couche Application.TDE allows encryption activities to take place without changes at the application layer.
    • TDE peut utiliser les clés de chiffrement fournies par Microsoft. Sinon, vous avez la possibilité d’apporter vos propres clés.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

En savoir plus :Learn more:

Bonne pratique : Protéger les machines virtuelles avec un logiciel anti-programme malveillantBest practice: Protect VMs with antimalware

En particulier, les anciennes machines virtuelles migrées sur Azure peuvent ne pas forcément disposer du niveau approprié de logiciel anti-programme malveillant installé.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure fournit une solution de point de terminaison gratuite qui aide à protéger les machines virtuelles contre les virus, les logiciels espions et autres logiciels malveillants.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Microsoft Antimalware pour Azure Cloud Services et Machines Virtuelles produit des alertes lorsqu’un logiciel malveillant ou indésirable connu tente de s’installer.Microsoft Antimalware for Azure Cloud Services and Virtual Machines generates alerts when known malicious or unwanted software tries to install itself.

  • Il s’agit d’une solution d’agent unique qui fonctionne en arrière-plan, sans intervention humaine.It's a single agent solution that runs in the background, without human intervention.

  • Dans Azure Security Center, vous pouvez facilement identifier les machines virtuelles dont les points de terminaison ne sont pas protégés et installer Microsoft Antimalware si nécessaire.In Azure Security Center, you can easily identify VMs that don't have endpoint protection running, and install Microsoft antimalware as needed.

    Capture d’écran d’Antimalware pour les machines virtuelles. Figure 1 : Antimalware pour les machines virtuelles.Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

En savoir plus :Learn more:

Bonne pratique : Sécuriser les applications webBest practice: Secure web apps

Les applications web migrées sont confrontées à quelques problèmes :Migrated web apps face a couple of issues:

  • La plupart des applications web héritées ont tendance à contenir des informations sensibles dans les fichiers de configuration.Most legacy web applications tend to have sensitive information inside configuration files. Les fichiers contenant de telles informations peuvent présenter des problèmes de sécurité lorsque les applications sont sauvegardées, ou lorsque le code d'application est vérifié dans le cadre ou hors du contrôle de code source.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • Lorsque vous migrez des applications web résidant dans une machine virtuelle, vous déplacez probablement cette machine d’un environnement de réseau local protégé par un pare-feu vers un environnement accessible sur Internet.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Veillez à mettre en place une solution qui fait le même travail que vos ressources de protection locales.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure propose les solutions suivantes :Azure provides the following solutions:

  • Azure Key Vault : Aujourd’hui, les développeurs d’applications web prennent des mesures pour s’assurer que les informations sensibles de ces fichiers ne sont pas divulguées.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. Une méthode pour sécuriser les informations est de les extraire des fichiers et de les placer dans un Azure Key Vault.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • Vous pouvez utiliser un coffre de clés pour centraliser le stockage des secrets d'application et contrôler leur distribution.You can use Key Vault to centralize storage of application secrets, and control their distribution. Cela évite d'avoir à stocker les informations de sécurité dans les fichiers d'application.It avoids the need to store security information in application files.
    • Les applications peuvent accéder de manière sécurisée aux informations du coffre à l’aide des URI, sans avoir besoin de code personnalisé.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Azure Key Vault vous permet de verrouiller l’accès via les contrôles de sécurité Azure, et d’implémenter sans interruption les clés renouvelées.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Microsoft ne voit ni n’extrait vos données.Microsoft doesn't see or extract your data.
  • App Service Environment pour Power Apps : si une application que vous migrez a besoin d’une protection supplémentaire, envisagez d’ajouter App Service Environment et un pare-feu d’applications web pour protéger les ressources d’application.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • App Service Environment fournit un environnement entièrement isolé et dédié pour l’exécution d’applications, telles que les applications web Windows et Linux, les conteneurs Docker, les applications mobiles et les applications de fonction.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • Cet environnement est utile pour les applications à très grande échelle, qui nécessitent un isolement et un accès réseau sécurisé, ou qui sollicitent fortement la mémoire.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Pare-feu d'applications web : c’est une fonctionnalité d’Azure Application Gateway qui fournit une protection centralisée pour les applications web.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Il protège les applications web sans nécessiter de modifications du code principal.It protects web apps without requiring back-end code modifications.
    • Il protège de nombreuses applications web en même temps, derrière Application Gateway.It protects multiple web apps at the same time, behind Application Gateway.
    • Vous pouvez superviser le pare-feu d’applications web avec Azure Monitor.You can monitor Web Application Firewall by using Azure Monitor. Le pare-feu d’applications web est intégré à Azure Security Center.Web Application Firewall is integrated into Azure Security Center.

    Diagramme d’Azure Key Vault et des applications web sécurisées. Figure 2 : Azure Key Vault.Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

En savoir plus :Learn more:

Bonne pratique : Examiner les abonnements et les autorisations de ressourcesBest practice: Review subscriptions and resource permissions

Lorsque vous migrez et exécutez vos charges de travail dans Azure, le personnel ayant accès aux charges de travail se déplace.As you migrate your workloads and run them in Azure, staff with workload access move around. Votre équipe de sécurité doit examiner régulièrement l’accès à vos groupes de locataires et de ressources Azure.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure propose des offres pour la gestion des identités et la sécurité du contrôle d’accès, y compris le contrôle d’accès en fonction du rôle (RBAC) pour fournir des autorisations d’accès aux ressources Azure.Azure has offerings for identity management and access control security, including role-based access control (RBAC) to authorize permissions to access Azure resources.

  • RBAC attribue des autorisations d’accès aux principaux de sécurité.RBAC assigns access permissions for security principals. Les principaux de sécurité représentent les utilisateurs, les groupes (ensemble d'utilisateurs), les principaux de service (identité utilisée par les applications et les services) et les identités managées (identité Azure Active Directory managée automatiquement par Azure).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • La fonctionnalité RBAC peut assigner des rôles aux principaux de sécurité, tels que le propriétaire, le contributeur et le lecteur, et assigner des définitions de rôles (ensemble d’autorisations) qui définissent les opérations pouvant être effectuées par les rôles.RBAC can assign roles to security principals, such as owner, contributor and reader, and role definitions (a collection of permissions) that define the operations that can be performed by the roles.
  • La fonctionnalité RBAC peut aussi établir une étendue qui définit les limites d’un rôle.RBAC can also set scopes that set the boundary for a role. L’étendue peut être définie à plusieurs niveaux, notamment un groupe d’administration, un abonnement, un groupe de ressources ou une ressource.Scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Veillez à ce que les administrateurs avec accès Azure ne puissent accéder qu’aux ressources que vous voulez autoriser.Ensure that admins with Azure access can access only resources that you want to allow. Si les rôles prédéfinis dans Azure ne sont pas assez précis, vous pouvez créer des rôles personnalisés pour séparer et limiter les autorisations d’accès.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Veillez à ce que les administrateurs avec accès Azure ne puissent accéder qu’aux ressources que vous voulez autoriser.Ensure that admins with Azure access can access only resources that you want to allow. Si les rôles prédéfinis dans Azure ne sont pas assez précis, vous pouvez créer des rôles personnalisés pour séparer et limiter les autorisations d’accès.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Capture d’écran du contrôle d’accès.Screenshot of Access control. Figure 3 : Contrôle d’accès.Figure 3: Access control.

En savoir plus :Learn more:

Bonne pratique : Réviser les journaux d’activité d’audit et de sécuritéBest practice: Review audit and security logs

Azure Active Directory (Azure AD) fournit les journaux d’activité qui apparaissent dans Azure Monitor.Azure Active Directory (Azure AD) provides activity logs that appear in Azure Monitor. Les journaux d’activité de bord capturent les opérations effectuées dans la location Azure, le moment où elles ont eu lieu et qui les a effectuées.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • Les journaux d’audit présentent l’historique des tâches dans le locataire.Audit logs show the history of tasks in the tenant. Les journaux d’activité de connexion indiquent qui a effectué les tâches.Sign-in activity logs show who carried out the tasks.

  • L’accès aux rapports de sécurité dépend de votre licence Azure AD.Access to security reports depends on your Azure AD license. Avec les licences Gratuit et De base, vous obtenez la liste des utilisateurs et des connexions à risque. Avec les licences Premium, vous recevez des informations sur les événements sous-jacents.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • Vous pouvez maintenant acheminer les journaux d’activité vers divers points de terminaison pour une rétention à long terme et l’analyse des données.You can route activity logs to various endpoints for long-term retention and data insights.

  • Prenez l’habitude d’examiner les journaux, ou intégrez vos outils d’informations de sécurité et de gestion d’événements (SIEM) pour examiner automatiquement les anomalies.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Si vous n’utilisez pas une licence Premium, vous devrez effectuer un grand nombre d’analyses vous-même, ou utiliser votre système SIEM.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. L’analyse comprend la recherche de connexions et d’événements à risque, ainsi que d’autres modèles d’attaques d’utilisateurs.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Capture d’écran des utilisateurs et groupes Azure AD. Figure 4 : Utilisateurs et groupes Azure AD.Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

En savoir plus :Learn more:

Bonne pratique : Évaluer d’autres fonctionnalités de sécuritéBest practice: Evaluate other security features

Azure offre d’autres fonctionnalités de sécurité qui proposent des options de sécurité avancées.Azure provides other security features that provide advanced security options. Notez que certaines des bonnes pratiques suivantes nécessitent des licences supplémentaires et des options premium.Note that some of the following best practices require add-on licenses and premium options.

  • Implémenter les unités administratives (AU) d’Azure AD.Implement Azure AD administrative units (AU). Déléguer des tâches administratives au personnel du support peut s’avérer délicat par un simple contrôle d’accès de base Azure.Delegating administrative duties to support staff can be tricky with just basic Azure access control. L’attribution d’accès au personnel du support en vue d’administrer tous les groupes Azure AD n’est peut-être pas l’approche idéale pour la sécurité de l’organisation.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. L’utilisation d’AU vous permet de séparer les ressources Azure dans des conteneurs de la même manière que les unités d’organisation (OU) locales.Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OU). Pour utiliser des AU, l’administrateur d’unités administratives doit avoir une licence Azure AD Premium.To use AU, the AU admin must have a premium Azure AD license. Pour plus d’informations, consultez Gestion des unités administratives dans Azure Active Directory.For more information, see Administrative units management in Azure Active Directory.
  • Utiliser l’authentification multifacteur.Use multi-factor authentication. Si vous possédez une licence premium Azure AD, vous pouvez activer et appliquer l’authentification multifacteur sur vos comptes d’administrateur.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. L’hameçonnage est le moyen le plus courant de compromettre l’identité des comptes.Phishing is the most common way that accounts credentials are compromised. Lorsqu’une personne malveillante est en possession d’informations d’identification de compte d’administration, rien ne l’empêche d’entreprendre des actions de grande envergure, telles que la suppression de tous vos groupes de ressources.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. Vous pouvez établir l’authentification multifacteur de plusieurs façons, y compris par e-mail, application d’authentification ou message texte sur téléphone.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. En tant qu’administrateur, vous pouvez choisir l’option la moins intrusive.As an administrator, you can select the least intrusive option. L’authentification multifacteur s’intègre à l’analytique des menaces et aux stratégies d’accès conditionnel pour exiger aléatoirement une réponse à une demande d’authentification multifacteur.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. Apprenez-en davantage sur les conseils de sécurité et sur la configuration de l’authentification multifacteur (MFA).Learn more about security guidance, and how to set up multi-factor authentication.
  • Implémenter l’accès conditionnel.Implement conditional access. Dans la plupart des petites et moyennes entreprises, les administrateurs Azure et l'équipe du support technique se situent dans la même zone géographique.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. Dans ce cas, la plupart des connexions proviennent des mêmes zones.In this case, most sign-ins come from the same areas. Si les adresses IP de ces emplacements sont assez statiques, il est logique que vous ne puissiez pas voir les connexions administrateur si vous vous trouvez à l’extérieur de ces zones.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Même si une personne malveillante distante compromet les informations d’identification d’un administrateur, vous pouvez implémenter des fonctionnalités de sécurité, comme l’accès conditionnel, associé à l’authentification multifacteur, pour empêcher l’ouverture de session à partir d’emplacements distants.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Cette façon de faire peut également empêcher les emplacements usurpés à partir d’adresses IP aléatoires.This can also prevent spoofed locations from random IP addresses. Apprenez-en davantage sur l'accès conditionnel, et passez en revue les meilleures pratiques en matière d'accès conditionnel dans Azure AD.Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Passez en revue les permissions d'application d'entreprise.Review enterprise application permissions. Au fil du temps, les administrateurs sélectionnent les liens Microsoft et tiers sans connaître les conséquences à craindre pour l’organisation.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. Les liens peuvent présenter des écrans de consentement qui affectent des autorisations à des applications Azure.Links can present consent screens that assign permissions to Azure apps. L’accès en lecture à des données Azure AD peut être autorisé, ou même un accès complet pour gérer l’intégralité de votre abonnement Azure.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. Vous devez régulièrement passer en revue les applications pour lesquelles vos administrateurs et utilisateurs ont autorisé l'accès aux ressources Azure.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Assurez-vous que ces applications disposent uniquement des autorisations nécessaires.Ensure that these applications have only the permissions that are necessary. De plus, tous les trimestres ou tous les semestres, vous pouvez envoyer aux utilisateurs un e-mail contenant un lien d’accès aux pages d’application, afin qu’ils sachent à quelles applications ils ont attribué l’accès de leurs données organisationnelles.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. Pour plus d’informations, consultez Application inattendue dans la liste d’applications et comment contrôler les affectations d’applications dans Azure AD.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Charges de travail migrées géréesManaged migrated workloads

Dans les sections suivantes, nous recommandons l’adoption de quelques bonnes pratiques pour la gestion d’Azure, notamment :In the following sections, we'll recommend some best practices for Azure management, including:

  • Meilleures pratiques pour les groupes de ressources et les ressources Azure, y compris le nommage intelligent, la prévention de la suppression accidentelle, la gestion des autorisations des ressources et le balisage efficace des ressources.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • Consultez une vue d’ensemble rapide sur l’utilisation des blueprints pour construire et administrer vos environnements de déploiement.Get a quick overview on using blueprints for building and managing your deployment environments.
  • Passez en revue les exemples d’architectures Azure pour en tirer des leçons lorsque vous construisez vos déploiements après la migration.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • Si vous avez plusieurs abonnements, vous pouvez les regrouper dans des groupes d’administration et appliquer les paramètres de gouvernance à ces groupes.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • Appliquez les stratégies de conformité à vos ressources Azure.Apply compliance policies to your Azure resources.
  • Élaborez une stratégie de continuité d’activité et reprise d’activité (BCDR) pour assurer la sécurité des données, la résilience de votre environnement et la disponibilité des ressources en cas de panne.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • Rassemblez les machines virtuelles en groupes de disponibilité pour la résilience et la haute disponibilité.Group VMs into availability groups for resilience and high availability. Utilisez des disques managés pour faciliter la gestion des disques et du stockage des machines virtuelles.Use managed disks for ease of VM disk and storage management.
  • Activez la journalisation des diagnostics pour les ressources Azure, créez des alertes et des playbooks pour un dépannage proactif, et utilisez le tableau de bord Azure pour obtenir un affichage unifié sur l’état d’intégrité et le statut de votre déploiement.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Comprendre votre plan de support Azure et la façon de le mettre en œuvre, d’obtenir les meilleures pratiques pour maintenir à jour les machines virtuelles et de mettre en place des processus pour la gestion des changements.Understand your Azure support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Bonne pratique : Groupes de ressources de nomBest practice: Name resource groups

Assurez-vous que les noms des groupes de ressources sont significatifs, qu’ils sont facilement reconnaissables et analysables par les administrateurs et les membres de l’équipe du support technique.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. La productivité et l’efficacité peuvent ainsi s’en trouver considérablement améliorées.This can drastically improve productivity and efficiency.

Si vous synchronisez votre instance Active Directory locale avec Azure AD avec Azure AD Connect, pensez à faire correspondre les noms des groupes de sécurité locaux avec les noms des groupes de ressources dans Azure.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Capture d’écran du nommage de groupes de ressources.Screenshot of resource group naming. Figure 5 : Nommage de groupes de ressources.Figure 5: Resource group naming.

En savoir plus :Learn more:

Bonne pratique : Implémenter les verrous de suppression pour les groupes de ressourcesBest practice: Implement delete locks for resource groups

La dernière chose dont vous pouvez vous passer est qu’un groupe de ressources disparaisse parce qu’il a été supprimé accidentellement.The last thing you need is for a resource group to disappear because it was deleted accidentally. Nous vous recommandons d’implémenter des verrous de suppression pour que cela ne se produise pas.We recommend that you implement delete locks, so that this doesn't happen.

Capture d’écran de verrous de suppression.Screenshot of delete locks. Figure 6 : Verrous de suppression.Figure 6: Delete locks.

En savoir plus :Learn more:

Bonne pratique : Comprendre les autorisations d’accès aux ressourcesBest practice: Understand resource access permissions

Un propriétaire d’abonnement a accès à tous les groupes de ressources et ressources de votre abonnement.A subscription owner has access to all the resource groups and resources in your subscription.

  • Ajoutez des personnes avec parcimonie à cette affectation précieuse.Add people sparingly to this valuable assignment. Il est important de comprendre les ramifications de ces types d’autorisations pour assurer la sécurité et la stabilité de votre environnement.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Assurez-vous de placer les ressources dans des groupes de ressources appropriés :Make sure you place resources in appropriate resources groups:
    • Associez les ressources ayant un cycle de vie similaire.Match resources with a similar lifecycle together. Idéalement, vous ne devriez pas avoir besoin de déplacer une ressource lorsque vous devez supprimer un groupe de ressources complet.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Les ressources qui prennent en charge une fonction ou une charge de travail doivent être regroupées pour simplifier leur gestion.Resources that support a function or workload should be placed together for simplified management.

En savoir plus :Learn more:

Bonne pratique : Baliser des ressources efficacementBest practice: Tag resources effectively

Il est fréquent que l’utilisation d’un seul nom de groupe de ressources lié aux ressources ne permette pas de fournir suffisamment de métadonnées pour une mise en œuvre efficace de mécanismes, tels que la facturation interne ou la gestion au sein d’un abonnement.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • En guise de bonne pratique, utilisez des étiquettes Azure pour ajouter des métadonnées utiles, pouvant être interrogées et faire l’objet de rapports.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • Les balises permettent d’organiser logiquement les ressources avec les propriétés que vous définissez.Tags provide a way to logically organize resources with properties that you define. Les balises peuvent être appliquées à des groupes de ressources ou des ressources directement.Tags can be applied to resource groups or resources directly.

  • Les balises peuvent être appliquées à un groupe de ressources ou des ressources individuelles.Tags can be applied on a resource group or on individual resources. Les balises figurant dans un groupe de ressources ne sont pas héritées par les ressources qui le composent.Resource group tags aren't inherited by the resources in the group.

  • Vous pouvez automatiser l’étiquetage en utilisant PowerShell ou Azure Automation, ou étiqueter des groupes et des ressources individuellement.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • Si vous avez mis en place un système de gestion des changements et des requêtes, vous pouvez facilement utiliser les informations contenues dans la requête HTTP pour remplir les étiquettes de ressources spécifiques à votre entreprise.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Capture d’écran de l’étiquetage. Figure 7 : Étiquetage.Screenshot of tagging. Figure 7: Tagging.

En savoir plus :Learn more:

Bonne pratique : Implémenter des blueprintsBest practice: Implement blueprints

À l’instar d’un blueprint qui permet aux ingénieurs et aux architectes de décrire les paramètres de conception d’un projet, le service Azure Blueprints permet aux architectes cloud et aux groupes du service informatique central de définir un ensemble reproductible de ressources Azure.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Ils peuvent ainsi implémenter et respecter les normes, modèles et exigences d’une organisation.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Avec Azure Blueprints, les équipes de développement peuvent rapidement générer et créer des environnements qui répondent aux exigences de conformité de l’organisation.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Ces nouveaux environnements disposent d’un ensemble de composants intégrés, comme le réseau, pour accélérer le développement et la livraison.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Utilisez des blueprints pour orchestrer le déploiement des groupes de ressources, des modèles Azure Resource Manager et des affectations de rôles et de stratégies.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Stockez les blueprints Azure dans Azure Cosmos DB, service distribué à l’échelle mondiale.Store blueprints in a globally distributed service, Azure Cosmos DB. Les objets Blueprint sont répliqués dans plusieurs régions Azure.Blueprint objects are replicated to multiple Azure regions. La réplication offre une faible latence, une haute disponibilité et un accès toujours identique à un blueprint, quelle que soit la région dans laquelle le blueprint déploie des ressources.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

En savoir plus :Learn more:

Bonne pratique : Réviser les architectures de référence AzureBest practice: Review Azure reference architectures

Construire des charges de travail sécurisées, évolutives et gérables dans Azure peut s’avérer décourageant.Building secure, scalable, and manageable workloads in Azure can be daunting. Avec les changements continus, il peut être difficile de suivre les différentes fonctionnalités pour un environnement optimal.With continual changes, it can be difficult to keep up with different features for an optimal environment. Il peut être utile d’avoir une référence pour en tirer des leçons lors de la conception et de la migration de vos charges de travail.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure et ses partenaires Azure ont construit plusieurs exemples d’architectures de référence pour différents types d’environnements.Azure and Azure partners have built several sample reference architectures for various types of environments. Ces exemples sont conçus pour vous fournir des idées dont vous pouvez tirer des leçons et sur lesquelles vous pouvez vous appuyer.These samples are designed to provide ideas that you can learn from and build on.

Les architectures de référence sont organisées par scénario.Reference architectures are arranged by scenario. Elles contiennent les meilleures pratiques et des conseils sur la gestion, la disponibilité, l’évolutivité et la sécurité.They contain best practices and advice on management, availability, scalability, and security. App Service Environment fournit un environnement entièrement isolé et dédié qui permet l’exécution d’applications, telles que les applications web Windows et Linux, les conteneurs Docker, les applications mobiles et les fonctions.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. App Service ajoute la puissance d’Azure à votre application grâce à la sécurité, l’équilibrage de charge, la mise à l’échelle automatique et la gestion automatisée.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. Vous pouvez également bénéficier de ses fonctionnalités DevOps, notamment le déploiement continu à partir d’Azure DevOps et GitHub, la gestion des packages, les environnements intermédiaires et les certificats SSL.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service est utile pour les applications qui ont besoin d'un isolement et d'un accès réseau sécurisé, et pour celles qui utilisent de grandes quantités de mémoire et d'autres ressources qui ont besoin d'être mises à l'échelle.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

En savoir plus :Learn more:

Bonne pratique : Gérer les ressources avec les groupes d’administration AzureBest practice: Manage resources with Azure management groups

Si votre organisation dispose de plusieurs abonnements, vous avez besoin de gérer l’accès, les stratégies et la conformité de ceux-ci.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements.Azure management groups provide a level of scope above subscriptions. Voici quelques conseils :Here are some tips:

  • Vous organisez les abonnements en conteneurs appelés groupes d’administration et vous leur appliquez des conditions de gouvernance.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions du groupe d’administration.All subscriptions in a management group automatically inherit the management group conditions.
  • Les groupes d’administration fournissent une gestion de qualité professionnelle, à grande échelle, quel que soit le type de vos abonnements.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • Par exemple, vous pouvez appliquer une stratégie de groupe de gestion qui limite les régions dans lesquelles les machines virtuelles peuvent être créées.For example, you can apply a management group policy that limits the regions in which VMs can be created. Une telle stratégie s’applique alors à tous les groupes d’administration, abonnements et ressources sous ce groupe d’administration.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements pour organiser vos ressources dans une hiérarchie à des fins de stratégie unifiée et de gestion de l’accès.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Le diagramme suivant montre un exemple de création d’une hiérarchie pour la gouvernance à l’aide des groupes d’administration.The following diagram shows an example of creating a hierarchy for governance by using management groups.

Diagramme de groupes d’administration.Diagram of management groups. Figure 8 : Groupes d’administration.Figure 8: Management groups.

En savoir plus :Learn more:

Bonne pratique : Déployer Azure PolicyBest practice: Deploy Azure Policy

Azure Policy est un service utilisé pour créer, attribuer et gérer des stratégies.Azure Policy is a service that you use to create, assign, and manage policies. Les stratégies appliquent des règles et des effets différents sur vos ressources, afin que ces ressources restent conformes aux normes et aux contrats de niveau de service de l'entreprise.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Azure Policy évalue vos ressources en analysant celles qui ne sont pas conformes avec vos stratégies.Azure Policy evaluates your resources, scanning for those not compliant with your policies. Par exemple, vous pouvez créer une stratégie qui n’autorise qu’une taille de SKU spécifique pour les machines virtuelles dans votre environnement.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. Azure Policy évalue ce paramètre lorsque vous créez et mettez à jour des ressources, ainsi que pendant l’analyse des ressources existantes.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Notez qu’Azure fournit des stratégies intégrées que vous pouvez affecter, ou que vous pouvez créer vous-même.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Capture d’écran d’Azure Policy.Screenshot of Azure Policy. Figure 9 : Azure Policy.Figure 9: Azure Policy.

En savoir plus :Learn more:

Bonne pratique : Implémenter une stratégie BCDRBest practice: Implement a BCDR strategy

La planification de continuité d’activité et reprise d’activité (BCDR) est un exercice essentiel que vous devez effectuer dans le cadre de votre processus de planification de la migration vers Azure.Planning for business continuity and disaster recovery (BCDR) is a critical exercise that you should complete as part of your Azure migration planning process. En termes juridiques, votre contrat peut comporter une clause de force majeure qui excuse les obligations dues à une force de caractère exceptionnel, comme les ouragans ou les tremblements de terre.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. En revanche, vous avez également des obligations impliquant votre capacité à assurer le maintien du fonctionnement des services et leur rétablissement s’il y a lieu, en cas de sinistre.But you also have obligations around your ability to ensure that services will continue to run, and recover where necessary, when disaster strikes. Votre capacité à le faire peut faire ou défaire l’avenir de votre entreprise.Your ability to do this can make or break your company's future.

D’une manière générale, votre stratégie BCDR doit prendre en compte ce qui suit :Broadly, your BCDR strategy must consider:

  • Sauvegarde de données : Comment sécuriser vos données afin de pouvoir les récupérer facilement en cas de panne.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Récupération d’urgence : Comment assurer la résilience et la disponibilité de vos applications.Disaster recovery: How to keep your applications resilient and available if outages occur.

Configurer la continuité d’activité et reprise d’activitéSet up BCDR

Lors de la migration vers Azure, vous devez comprendre que même si la plateforme Azure fournit des fonctionnalités de résilience intégrées, il vous revient l’obligation de concevoir votre déploiement Azure pour tirer parti de celles-ci.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • Votre solution BCDR dépendra des objectifs de votre entreprise et de votre stratégie de déploiement Azure.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. Les déploiements Infrastructure as a Service (IaaS) et Platform as a Service (PaaS) posent des problèmes différents à la continuité d’activité et reprise d’activité.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • Après leur mise en place, vos solutions BCDR doivent être testées régulièrement pour vérifier que votre stratégie reste viable.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Sauvegarder un déploiement IaaSBack up an IaaS deployment

Dans la plupart des cas, une charge de travail locale est supprimée après la migration, et votre stratégie de sauvegarde des données sur site doit être étendue ou remplacée.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Si vous migrez l’ensemble de votre centre de données vers Azure, vous devrez concevoir et implémenter une solution de sauvegarde complète en utilisant les technologies Azure, ou des solutions intégrées tierces.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Pour les charges de travail exécutées sur des machines virtuelles Azure IaaS, pensez à ces solutions de sauvegarde :For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Sauvegarde Azure : Fournit des sauvegardes cohérentes avec les applications pour les machines virtuelles Azure Linux et Windows.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Captures instantanées du stockage : Prend des captures instantanées du stockage Blob.Storage snapshots: Takes snapshots of Blob storage.

Sauvegarde AzureAzure Backup

Sauvegarde Azure crée des points de récupération de données enregistrés dans Stockage Azure.Azure Backup creates data recovery points that are stored in Azure Storage. Sauvegarde Azure peut sauvegarder les disques de machine virtuelle Azure Files (en préversion).Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files fournit des partages de fichiers dans le cloud qui sont accessibles via le protocole SMB (Server Message Block).Azure Files provide file shares in the cloud, accessible via Server Message Block.

Vous pouvez utiliser Sauvegarde Azure pour sauvegarder les machines virtuelles suivant ces différentes façons :You can use Azure Backup to back up VMs in the following ways:

  • Sauvegarde directe à partir des paramètres de machine virtuelle.Direct backup from VM settings. Vous pouvez sauvegarder des machines virtuelles avec Sauvegarde Azure directement depuis les options de machine virtuelle dans le portail Azure.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. Vous pouvez sauvegarder la machine virtuelle une fois par jour et restaurer le disque de machine virtuelle si nécessaire.You can back up the VM once per day, and you can restore the VM disk as needed. Sauvegarde Azure prend des captures instantanées de données tenant compte des applications,et aucun agent n’est installé sur la machine virtuelle.Azure Backup takes app-aware data snapshots, and no agent is installed on the VM.
  • Sauvegarde directe dans un coffre Recovery Services.Direct backup in a Recovery Services vault. Vous pouvez sauvegarder vos machines virtuelles IaaS en déployant un coffre Azure Backup Recovery Services.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. Cela fournit un emplacement unique pour le suivi et la gestion des sauvegardes, ainsi que des options de sauvegarde et de restauration précises.This provides a single location to track and manage backups, as well as granular backup and restore options. La sauvegarde s’effectue jusqu’à trois fois par jour, aux niveaux des fichiers et des dossiers.Backup is up to three times a day, at the file and folder levels. Elle ne tient pas compte des applications, et Linux n’est pas pris en charge.It isn't app-aware, and Linux isn't supported. Installez l’agent Microsoft Azure Recovery Services (MARS) sur chaque machine virtuelle que vous souhaitez sauvegarder à l’aide de cette méthode.Install the Microsoft Azure Recovery Services (MARS) agent on each VM that you want to back up by using this method.
  • Protéger la machine virtuelle dans le serveur de sauvegarde Azure.Protect the VM to Azure Backup server. Le serveur de sauvegarde Azure est fourni gratuitement avec Sauvegarde Azure.Azure Backup server is provided free with Azure Backup. La machine virtuelle est sauvegardée dans le stockage du serveur de sauvegarde Azure local.The VM is backed up to local Azure Backup server storage. Vous sauvegardez ensuite le serveur de sauvegarde Azure dans un coffre-fort Azure.You then back up the Azure Backup server to Azure in a vault. La sauvegarde est compatible avec les applications, avec une granularité totale sur les sauvegardes fréquentes et la rétention.Backup is app-aware, with full granularity over backup frequency and retention. Vous pouvez sauvegarder au niveau de l'application, par exemple en sauvegardant SQL Server ou SharePoint.You can back up at the application level, for example by backing up SQL Server or SharePoint.

Pour des raisons de sécurité, le service Sauvegarde Azure chiffre les données à la volée par le biais du chiffrement AES 256.For security, Azure Backup encrypts data in-flight by using AES-256. Il les envoie via HTTPS à Azure.It sends it over HTTPS to Azure. Les données sauvegardées au repos dans Azure sont chiffrées à l’aide de la fonctionnalité de chiffrement du Stockage Azure.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Capture d’écran de Sauvegarde Azure. Figure 10 : Sauvegarde Azure.Screenshot of Azure Backup. Figure 10: Azure Backup.

En savoir plus :Learn more:

Captures instantanées du stockageStorage snapshots

Les machines virtuelles Azure sont stockés en tant qu’objets blob de pages dans Stockage Azure.Azure VMs are stored as page blobs in Azure Storage. Les instantanés capturent l’état de l’objet blob à un instant précis.Snapshots capture the blob state at a specific point in time. Comme méthode de sauvegarde alternative pour les disques Azure VM, vous pouvez effectuer une capture instantanée des blobs de stockage et les copier sur un autre compte de stockage.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

Vous pouvez copier un blob entier ou utiliser une copie de capture instantanée incrémentielle pour ne copier que les modifications delta et réduire l’espace de stockage.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. Par mesure de précaution supplémentaire, vous pouvez activer la suppression réversible pour les comptes de stockage Blob.As an extra precaution, you can enable soft delete for Blob storage accounts. Lorsque cette fonction est activée, un blob supprimé est marqué pour suppression, mais il n’est pas immédiatement purgé.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Pendant la période transitoire, vous pouvez restaurer le blob.During the interim period, you can restore the blob.

En savoir plus :Learn more:

Sauvegarde tierceThird-party backup

De plus, vous pouvez utiliser des solutions tierces pour sauvegarder les machines virtuelles et les conteneurs de stockage Azure vers le stockage local ou d’autres fournisseurs de cloud.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Pour plus d’informations, consultez Solutions de sauvegarde dans Place de marché Azure.For more information, see Backup solutions in Azure Marketplace.

Configurer la récupération d'urgence pour les applications IaaSSet up disaster recovery for IaaS applications

En plus de protéger les données, la planification BCDR (continuité d'activité et reprise d'activité) doit déterminer le moyen d'assurer la disponibilité des applications et des charges de travail en cas d'incident.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. Pour les charges de travail qui s’exécutent sur des machines virtuelles Azure IaaS et le stockage Azure, envisagez les solutions des sections suivantes.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery est le principal service Azure qui permet d’assurer la mise en ligne des machines virtuelles Azure, et la mise à disposition des applications de celles-ci, en cas de panne.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery réplique des machines virtuelles, d’une région primaire à une région secondaire Azure.Site Recovery replicates VMs from a primary to a secondary Azure region. En cas de sinistre, vous basculez les machines virtuelles depuis la région primaire, et continuez à y accéder normalement dans la région secondaire.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. Lorsque les opérations reviennent à la normale, vous pouvez faire basculer les machines virtuelles vers la région primaire.When operations return to normal, you can fail back VMs to the primary region.

Diagramme d’Azure Site Recovery.Diagram of Azure Site Recovery. Figure 11 : Site Recovery.Figure 11: Site Recovery.

En savoir plus :Learn more:

Bonne pratique : Utiliser des disques managés et des groupes à haute disponibilitéBest practice: Use managed disks and availability sets

Azure utilise des groupes à haute disponibilité pour regrouper logiquement les machines virtuelles et pour isoler les machines virtuelles d’un groupe d’autres ressources.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. Les machines virtuelles d’un groupe à haute disponibilité sont réparties sur plusieurs domaines d’erreur avec des sous-systèmes distincts, ce qui assure une protection contre les pannes locales.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. Les machines virtuelles sont aussi réparties sur plusieurs domaines de mise à jour, ce qui évite un redémarrage simultané de toutes les machines virtuelles du groupe.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Les disques managés Azure simplifient la gestion des disques pour les machines virtuelles Azure en gérant les comptes de stockage associés aux disques des machines virtuelles.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Utilisez des disques managés dans la mesure du possible.Use managed disks wherever possible. Vous avez simplement à spécifier le type de stockage à utiliser et la taille de disque dont vous avez besoin, et Azure crée et gère le disque à votre place.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • Vous pouvez convertir des disques existants en disques managés.You can convert existing disks to managed disks.

  • Vous devez créer des machines virtuelles dans des groupes à haute disponibilité pour la résilience et la haute disponibilité.You should create VMs in availability sets for high resilience and availability. Quand des arrêts planifiés ou imprévus surviennent, les groupes à haute disponibilité garantissent qu’au moins une de vos machines virtuelles du groupe reste disponible.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Diagramme de disques managés. Figure 12 : Disques managés.Diagram of managed disks. Figure 12: Managed disks.

En savoir plus :Learn more:

Bonne pratique : Superviser l’utilisation des ressources et les performancesBest practice: Monitor resource usage and performance

Vous avez peut-être déplacé vos charges de travail vers Azure pour ses immenses capacités de mise à l’échelle.You might have moved your workloads to Azure for its immense scaling capabilities. Mais le déplacement de votre charge de travail ne signifie pas qu'Azure implémentera automatiquement la mise à l'échelle.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Voici deux exemples :Here are two examples:

  • Si votre organisation de marketing lance une nouvelle publicité télévisée qui génère 300 % de trafic en plus, des problèmes de disponibilité du site pourraient en découler.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. Votre charge de travail nouvellement migrée pourrait atteindre les limites attribuées et planter.Your newly migrated workload might hit assigned limits, and crash.
  • Si une attaque par déni de service distribué (DDoS) se produit sur votre charge de travail migrée, dans ce cas, il se peut que vous ne souhaitiez pas effectuer de mise à l’échelle.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. Vous voulez empêcher la source des attaques d’atteindre vos ressources.You want to prevent the source of the attacks from reaching your resources.

Ces deux cas ont des résolutions différentes, mais, pour chacun d’eux, vous avez besoin d’avoir une idée de ce qui se passe avec l’analyse de l’utilisation et des performances.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Azure Monitor peut contribuer à faire émerger ces métriques et fournir une réponse avec des alertes, une mise à l’échelle automatique, des hubs d’événements et des applications logiques.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, event hubs, and logic apps.

  • Vous pouvez également intégrer votre application SIEM tierce, afin de superviser les journaux Azure pour les événements d’audit et de performance.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Capture d’écran d’Azure Monitor. Figure 13 : Azure Monitor.Screenshot of Azure Monitor. Figure 13: Azure Monitor.

En savoir plus :Learn more:

Bonne pratique : Activer la journalisation des diagnosticsBest practice: Enable diagnostic logging

Les ressources Azure génèrent un bon nombre de métriques de journalisation et de données de télémétrie.Azure resources generate a fair number of logging metrics and telemetry data. Par défaut, la journalisation des diagnostics n’est pas activée pour la plupart des types de ressources.By default, most resource types don't have diagnostic logging enabled. En activant la journalisation des diagnostics sur l’ensemble de vos ressources, vous pouvez interroger les données de journalisation et créer des alertes et des playbooks basés sur celles-ci.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

Lorsque vous activez l’enregistrement de diagnostic, chaque ressource possède un ensemble spécifique de catégories.When you enable diagnostic logging, each resource will have a specific set of categories. Vous sélectionnez une ou plusieurs catégories de journalisation et un emplacement pour les données de journalisation.You select one or more logging categories, and a location for the log data. Les journaux d’activité peuvent être envoyés à un compte de stockage, à un Event Hub ou à Azure Monitor.Logs can be sent to a storage account, event hub, or to Azure Monitor logs.

Capture d’écran de la journalisation des diagnostics. Figure 14 : Journalisation des diagnostics.Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

En savoir plus :Learn more:

Bonne pratique : Configurer les alertes et les playbooksBest practice: Set up alerts and playbooks

Alors que la journalisation des diagnostics est activée pour les ressources Azure, vous pouvez commencer à utiliser les données de journalisation pour créer des alertes personnalisées.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Les alertes vous avertissent de façon proactive lorsque des conditions sont détectées dans vos données de surveillance.Alerts proactively notify you when conditions are found in your monitoring data. Vous pouvez alors résoudre les problèmes avant que les utilisateurs du système ne s’en aperçoivent.You can then address issues before system users notice them. Vous pouvez définir des alertes sur les valeurs de métriques, les requêtes de recherche dans les journaux, les événements du journal d’activité, l’état d’intégrité de la plateforme et la disponibilité du site web.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • Lorsque des alertes sont déclenchées, vous pouvez exécuter un playbook d'applications logiques.When alerts are triggered, you can run a logic app playbook. Un playbook vous aide à automatiser et orchestrer une réponse à une alerte spécifique.A playbook helps you to automate and orchestrate a response to a specific alert. Les playbooks sont basés sur Azure Logic Apps.Playbooks are based on Azure Logic Apps. Vous pouvez utiliser des modèles d'applications logiques pour créer des playbooks, ou créer les vôtres.You can use logic app templates to create playbooks, or create your own.

  • Par exemple, vous pouvez créer une alerte qui se déclenche lorsqu’une analyse de port se produit dans un groupe de sécurité réseau.As a simple example, you can create an alert that triggers when a port scan happens against a network security group. Vous pouvez configurer un playbook qui exécute et verrouille l’adresse IP de l’origine de l’analyse.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Une application présentant une fuite de mémoire en est un autre exemple.Another example is an application with a memory leak. Lorsque l’utilisation de la mémoire atteint un certain point, un playbook peut recycler le processus.When the memory usage gets to a certain point, a playbook can recycle the process.

    Capture d’écran des alertes. Figure 15 : Alertes.Screenshot of alerts. Figure 15: Alerts.

En savoir plus :Learn more:

Bonne pratique : Utiliser le tableau de bord AzureBest practice: Use the Azure dashboard

Le portail Azure est une seule console unifiée qui permet de créer, gérer et surveiller tout, de simples applications web à des applications de cloud complexes.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Il comprend un tableau de bord personnalisable et des options d’accessibilité.It includes a customizable dashboard and accessibility options.

  • Vous pouvez créer plusieurs tableaux de bord, et les partager avec d’autres personnes ayant accès à vos abonnements Azure.You can create multiple dashboards, and share them with others who have access to your Azure subscriptions.

  • Avec ce modèle partagé, votre équipe dispose d’une visibilité sur l’environnement Azure, ce qui lui permet d’être proactive dans la gestion des systèmes dans le cloud.With this shared model, your team has visibility into the Azure environment, allowing them to be proactive when managing systems in the cloud.

    Capture d’écran du tableau de bord Azure. Figure 16 : Tableau de bord Azure.Screenshot of Azure dashboard. Figure 16: Azure dashboard.

En savoir plus :Learn more:

Bonne pratique : Comprendre les plans de supportBest practice: Understand support plans

À un moment donné, vous devrez collaborer avec votre personnel de soutien ou le personnel du support technique Microsoft.At some point, you will need to collaborate with your support staff or Microsoft support staff. Il est essentiel de disposer d’un ensemble de stratégies et de procédures de support lors de scénarios, tels que la récupération d’urgence.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. De plus, vos administrateurs et votre personnel de support doivent être formés à l’implémentation de ces stratégies.In addition, your admins and support staff should be trained on implementing those policies.

  • Dans le cas peu probable où un problème de service Azure aurait un impact sur votre charge de travail, les administrateurs devraient savoir comment soumettre un ticket de support à Microsoft de la manière la plus appropriée et efficace.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Familiarisez-vous avec les différents plans de support offerts pour Azure.Familiarize yourself with the various support plans offered for Azure. Ils vont des temps de réponse dédiés aux instances Développeur, au support Premier avec un temps de réponse inférieur à 15 minutes.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Capture d’écran des plans de support. Figure 17 : Plans de support.Screenshot of support plans. Figure 17: Support plans.

En savoir plus :Learn more:

Bonne pratique : Gérer les mises à jourBest practice: Manage updates

Le maintien à jour des machines virtuelles Azure avec les dernières mises à jour du système d’exploitation et du logiciel est une tâche énorme.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. La capacité de faire émerger toutes les machines virtuelles, de déterminer les mises à jour dont elles ont besoin et d’envoyer (push) automatiquement ces mises à jour est extrêmement utile.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • Vous pouvez utiliser la gestion des mises à jour dans Azure Automation pour gérer les mises à jour de système d’exploitation.You can use update management in Azure Automation to manage operating system updates. Cela s’applique aux machines qui exécutent des ordinateurs Windows et Linux déployés dans Azure, localement, et dans d’autres fournisseurs de cloud.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Utilisez la fonctionnalité de gestion des mises à jour pour évaluer rapidement l'état des mises à jour disponibles sur tous les ordinateurs d'agent et gérer l'installation des mises à jour.Use update management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • Vous pouvez activer la fonctionnalité de gestion des mises à jour pour les machines virtuelles directement depuis un compte Azure Automation.You can enable update management for VMs directly from an Azure Automation account. Vous pouvez également mettre à jour une même machine virtuelle depuis la page Machine virtuelle du portail Azure.You can also update a single VM from the VM page in the Azure portal.

  • De plus, vous pouvez inscrire les machines virtuelles Azure avec System Center Configuration Manager.In addition, you can register Azure VMs with System Center Configuration Manager. Vous pouvez ensuite migrer la charge de travail Configuration Manager vers Azure, et effectuer des rapports et des mises à jour logicielles à partir d’une même interface web.You can then migrate the Configuration Manager workload to Azure, and do reporting and software updates from a single web interface.

    Diagramme des mises à jour de machine virtuelle. Figure 18 : Mises à jour.Diagram of VM updates. Figure 18: Updates.

En savoir plus :Learn more:

Implémenter un processus de gestion des changementsImplement a change management process

Comme pour tout système de production, tout type de changement peut avoir un impact sur votre environnement.As with any production system, making any type of change can affect your environment. Un processus de gestion des changements qui exige que des requêtes soient soumises afin d’apporter des changements aux systèmes de production est un ajout précieux dans votre environnement migré.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • Vous pouvez établir des cadres de meilleures pratiques pour la gestion des changements afin de sensibiliser les administrateurs et le personnel de support.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Vous pouvez utiliser Azure Automation pour vous aider dans la gestion de la configuration et le suivi des changements dans le cadre de vos flux de travail migrés.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • Lors de la mise en application du processus de gestion des changements, vous pouvez utiliser les journaux d’audit pour lier les journaux des modifications Azure aux demandes de modification existantes.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Ainsi, si vous voyez une modification apportée sans demande de modification correspondante, vous pouvez rechercher la cause du problème dans le processus.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure possède une solution de suivi des modifications dans Azure Automation :Azure has a change-tracking solution in Azure Automation:

  • La solution suit les modifications apportées aux logiciels et fichiers Windows et Linux, aux clés de Registre Windows, aux services Windows et aux démons Linux.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Les modifications apportées sur les serveurs supervisés sont envoyées à Azure Monitor pour traitement.Changes on monitored servers are sent to Azure Monitor for processing.

  • La logique est appliquée aux données reçues, et le service cloud enregistre les données.Logic is applied to the received data, and the cloud service records the data.

  • Le tableau de bord de suivi des modifications vous permet d'accéder facilement aux modifications apportées à votre infrastructure de serveur.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Capture d’écran de la gestion des changements. Figure 19 : Gestion des changements.Screenshot of change management. Figure 19: Change management.

En savoir plus :Learn more:

Étapes suivantesNext steps

Passez en revue d’autres meilleures pratiques :Review other best practices: