Meilleures pratiques de sécurité pour les charges de travail IaaS dans AzureSecurity best practices for IaaS workloads in Azure

Cet article décrit les meilleures pratiques en matière de sécurité pour les machines virtuelles et les systèmes d’exploitation.This article describes security best practices for VMs and operating systems.

Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Les opinions et technologies évoluant au fil du temps, cet article sera mis à jour de façon à refléter ces changements.Because opinions and technologies can change over time, this article will be updated to reflect those changes.

Dans la plupart des scénarios IaaS (Infrastructure en tant que service), les machines virtuelles Azure représentent la principale charge de travail pour les organisations qui utilisent l’informatique cloud.In most infrastructure as a service (IaaS) scenarios, Azure virtual machines (VMs) are the main workload for organizations that use cloud computing. Cela est particulièrement vrai dans les scénarios hybrides où les organisations souhaitent migrer lentement les charges de travail vers le cloud.This fact is evident in hybrid scenarios where organizations want to slowly migrate workloads to the cloud. Dans ces cas, suivez les considérations générales de sécurité pour IaaS et appliquez les meilleures pratiques de sécurité à toutes vos machines virtuelles.In such scenarios, follow the general security considerations for IaaS, and apply security best practices to all your VMs.

Protéger les machines virtuelles à l’aide de l’authentification et du contrôle d’accèsProtect VMs by using authentication and access control

La première étape dans la protection de vos machines virtuelles consiste à vous assurer que seuls les utilisateurs autorisés peuvent configurer de nouvelles machines virtuelles et y accéder.The first step in protecting your VMs is to ensure that only authorized users can set up new VMs and access VMs.

Notes

Pour améliorer la sécurité des machines virtuelles Linux sur Azure, vous pouvez intégrer l’authentification Azure AD.To improve the security of Linux VMs on Azure, you can integrate with Azure AD authentication. Lorsque vous utilisez l’authentification Azure AD pour les machines virtuelles Linux, vous contrôlez et appliquez de façon centralisée des stratégies qui autorisent ou refusent l’accès aux machines virtuelles.When you use Azure AD authentication for Linux VMs, you centrally control and enforce policies that allow or deny access to the VMs.

Bonne pratique : contrôler l’accès à la machine virtuelle.Best practice: Control VM access.
Détail : utilisez des stratégies Azure pour établir des conventions pour les ressources de votre organisation et créer des stratégies personnalisées.Detail: Use Azure policies to establish conventions for resources in your organization and create customized policies. Appliquez ces stratégies à vos ressources, telles que les groupes de ressources.Apply these policies to resources, such as resource groups. Les machines virtuelles qui appartiennent à un groupe de ressources héritent des stratégies de ce dernier.VMs that belong to a resource group inherit its policies.

Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements.Azure management groups provide a level of scope above subscriptions. Vous organisez les abonnements en groupes d’administration (conteneurs) et vous appliquez vos conditions de gouvernance à ces groupes.You organize subscriptions into management groups (containers) and apply your governance conditions to those groups. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées au groupe.All subscriptions within a management group automatically inherit the conditions applied to the group. Les groupes d’administration vous permettent une gestion de qualité professionnelle à grande échelle, quel que soit le type de vos abonnements.Management groups give you enterprise-grade management at a large scale no matter what type of subscriptions you might have.

Bonne pratique : réduire la variabilité au niveau de la configuration et du déploiement des machines virtuelles.Best practice: Reduce variability in your setup and deployment of VMs.
Détail : utilisez des modèles Azure Resource Manager pour renforcer vos choix de déploiement, mais aussi gérer et inventorier plus facilement les machines virtuelles de votre environnement.Detail: Use Azure Resource Manager templates to strengthen your deployment choices and make it easier to understand and inventory the VMs in your environment.

Bonne pratique : Sécuriser l’accès privilégié.Best practice: Secure privileged access.
Détail : utilisez l’approche des privilèges minimum et des rôles Azure intégrés pour permettre aux utilisateurs d’accéder aux machines virtuelles et de les configurer :Detail: Use a least privilege approach and built-in Azure roles to enable users to access and set up VMs:

  • Contributeur de machine virtuelle : peut gérer les machines virtuelles, mais pas le réseau virtuel ni le compte de stockage auxquels elles sont connectées.Virtual Machine Contributor: Can manage VMs, but not the virtual network or storage account to which they are connected.
  • Contributeur de machine virtuelle Classic : peut gérer les machines virtuelles créées selon le modèle de déploiement Classic, mais pas le réseau virtuel ni le compte de stockage auxquels elles sont connectées.Classic Virtual Machine Contributor: Can manage VMs created by using the classic deployment model, but not the virtual network or storage account to which the VMs are connected.
  • Administrateur de la sécurité : Seulement dans Security Center : peut afficher les stratégies de sécurité, les états de sécurité, les alertes et les recommandations, modifier les stratégies de sécurité et ignorer les alertes et les recommandations.Security Admin: In Security Center only: Can view security policies, view security states, edit security policies, view alerts and recommendations, dismiss alerts and recommendations.
  • Utilisateur de DevTest Labs : peut tout afficher et connecter, démarrer, redémarrer et arrêter les machines virtuelles.DevTest Labs User: Can view everything and connect, start, restart, and shut down VMs.

Vos coadministrateurs et administrateurs d’abonnement peuvent modifier ce paramètre. Ils deviennent ainsi administrateurs de toutes les machines virtuelles d’un abonnement.Your subscription admins and coadmins can change this setting, making them administrators of all the VMs in a subscription. Cela implique que vous autorisez tous vos coadministrateurs et administrateurs d’abonnement à se connecter à n’importe laquelle de vos machines.Be sure that you trust all of your subscription admins and coadmins to log in to any of your machines.

Notes

Nous vous recommandons de consolider les machines virtuelles ayant le même cycle de vie dans le même groupe de ressources.We recommend that you consolidate VMs with the same lifecycle into the same resource group. Les groupes de ressources vous aident à déployer et surveiller vos ressources, tout en compilant leur coût.By using resource groups, you can deploy, monitor, and roll up billing costs for your resources.

Les organisations qui contrôlent l’accès aux machines virtuelles et leur configuration renforcent la sécurité globale de leurs machines virtuelles.Organizations that control VM access and setup improve their overall VM security.

Utiliser plusieurs machines virtuelles pour améliorer la disponibilitéUse multiple VMs for better availability

Si votre machine virtuelle exécute des applications critiques qui requièrent une haute disponibilité, il est vivement recommandé d’utiliser plusieurs machines virtuelles.If your VM runs critical applications that need to have high availability, we strongly recommend that you use multiple VMs. Pour bénéficier d’une meilleure disponibilité, utilisez un groupe à haute disponibilité ou des zones de disponibilité.For better availability, use an availability set or availability zones.

Un groupe à haute disponibilité est un regroupement logique que vous pouvez utiliser dans Azure pour vous assurer que les ressources de machine virtuelle que vous y incluez sont isolées les unes des autres lors de leur déploiement dans un centre de données Azure.An availability set is a logical grouping that you can use in Azure to ensure that the VM resources you place within it are isolated from each other when they’re deployed in an Azure datacenter. Azure veille à ce que les machines virtuelles que vous placez dans un groupe à haute disponibilité s’exécutent sur plusieurs serveurs physiques, racks de calcul, unités de stockage et commutateurs réseau.Azure ensures that the VMs you place in an availability set run across multiple physical servers, compute racks, storage units, and network switches. En cas de défaillance matérielle ou logicielle dans Azure, seul un sous-ensemble de vos machines virtuelles est affecté et votre application globale reste disponible pour vos clients.If a hardware or Azure software failure occurs, only a subset of your VMs are affected, and your overall application continues to be available to your customers. Les groupes à haute disponibilité sont une fonctionnalité essentielle pour créer des solutions cloud fiables.Availability sets are an essential capability when you want to build reliable cloud solutions.

Se protéger des programmes malveillantsProtect against malware

Vous devez installer une solution de protection contre les programmes malveillants afin d’identifier et de supprimer les virus, logiciels espions et autres logiciels malveillants.You should install antimalware protection to help identify and remove viruses, spyware, and other malicious software. Vous pouvez installer Microsoft Antimalware ou une solution de protection des points de terminaison d’un partenaire de Microsoft (Trend Micro, Broadcom, McAfee, Windows Defender ou System Center Endpoint Protection).You can install Microsoft Antimalware or a Microsoft partner’s endpoint protection solution (Trend Micro, Broadcom, McAfee, Windows Defender, and System Center Endpoint Protection).

Le logiciel Microsoft Antimalware inclut des fonctionnalités telles que la protection en temps réel, l’analyse planifiée, la correction des logiciels malveillants, la mise à jour des signatures, la mise à jour des moteurs, des exemples de création de rapport et la collecte d’événements d’exclusion.Microsoft Antimalware includes features like real-time protection, scheduled scanning, malware remediation, signature updates, engine updates, samples reporting, and exclusion event collection. Pour les environnements hébergés séparément de votre environnement de production, vous pouvez utiliser une extension anti-programme malveillant pour protéger vos machines virtuelles et vos services cloud.For environments that are hosted separately from your production environment, you can use an antimalware extension to help protect your VMs and cloud services.

Vous pouvez intégrer Microsoft Antimalware et des solutions de partenaires avec Azure Security Center pour bénéficier d’un déploiement simplifié et de fonctionnalités de détection intégrées (alertes et incidents).You can integrate Microsoft Antimalware and partner solutions with Azure Security Center for ease of deployment and built-in detections (alerts and incidents).

Bonne pratique : installer une solution anti-programme malveillant.Best practice: Install an antimalware solution to protect against malware.
Détail : Installer une solution partenaire Microsoft ou Microsoft Antimalware.Detail: Install a Microsoft partner solution or Microsoft Antimalware

Bonne pratique : intégrer la solution anti-programme malveillant à Security Center pour surveiller l’état de la protection.Best practice: Integrate your antimalware solution with Security Center to monitor the status of your protection.
Détail : Gérer les problèmes de protection des points de terminaison avec Security Center.Detail: Manage endpoint protection issues with Security Center

Gérer les sauvegardes des machines virtuellesManage your VM updates

Les machines virtuelles Azure, comme toutes les machines virtuelles locales, sont destinées à être gérées par l’utilisateur.Azure VMs, like all on-premises VMs, are meant to be user managed. Azure ne leur envoie donc pas les mises à jour Windows.Azure doesn't push Windows updates to them. Vous devez gérer vous-même les mises à jour de vos machines virtuelles.You need to manage your VM updates.

Bonne pratique : veiller à ce que les machines virtuelles soient toujours à jour.Best practice: Keep your VMs current.
Détail : utilisez la solution Update Management d’Azure Automation pour gérer les mises à jour du système d’exploitation de vos ordinateurs Windows et Linux déployés dans Azure, dans des environnements locaux ou auprès d’autres fournisseurs de cloud.Detail: Use the Update Management solution in Azure Automation to manage operating system updates for your Windows and Linux computers that are deployed in Azure, in on-premises environments, or in other cloud providers. Vous pouvez rapidement évaluer l’état des mises à jour disponibles sur tous les ordinateurs d’agent et gérer le processus d’installation des mises à jour requises pour les serveurs.You can quickly assess the status of available updates on all agent computers and manage the process of installing required updates for servers.

Les ordinateurs gérés par Update Management utilisent les configurations suivantes pour effectuer l’évaluation et les déploiements de mises à jour :Computers that are managed by Update Management use the following configurations to perform assessment and update deployments:

  • Microsoft Monitoring Agent (MMA) pour Windows ou LinuxMicrosoft Monitoring Agent (MMA) for Windows or Linux
  • PowerShell DSC (Desired State Configuration, configuration d’état souhaité) pour LinuxPowerShell Desired State Configuration (DSC) for Linux
  • Runbook Worker hybride AutomationAutomation Hybrid Runbook Worker
  • Services Microsoft Update ou Windows Server Update (WSUS) pour ordinateurs WindowsMicrosoft Update or Windows Server Update Services (WSUS) for Windows computers

Si vous utilisez Windows Update, veillez à ce que la configuration automatique de Windows Update reste activée.If you use Windows Update, leave the automatic Windows Update setting enabled.

Bonne pratique : faire en sorte, au moment du déploiement, que les images créées intègrent les dernières mises à jour Windows.Best practice: Ensure at deployment that images you built include the most recent round of Windows updates.
Détail : recherchez et installez toutes les mises à jour Windows au début de chaque déploiement.Detail: Check for and install all Windows updates as a first step of every deployment. Cette phase est particulièrement importante lorsque vous déployez les images que vous avez créées ou issues de votre propre bibliothèque.This measure is especially important to apply when you deploy images that come from either you or your own library. Bien que les images obtenues via la Place de marché Microsoft Azure soient automatiquement mises à jour par défaut, il peut y avoir un décalage (jusqu’à plusieurs semaines) après la publication d’une version publique.Although images from the Azure Marketplace are updated automatically by default, there can be a lag time (up to a few weeks) after a public release.

Bonne pratique : redéployer régulièrement les machines virtuelles pour actualiser la version du système d’exploitation.Best practice: Periodically redeploy your VMs to force a fresh version of the OS.
Détail : définissez votre machine virtuelle à l’aide d’un modèle Azure Resource Manager afin de faciliter son redéploiement.Detail: Define your VM with an Azure Resource Manager template so you can easily redeploy it. L’utilisation d’un modèle vous permet de bénéficier d’une machine virtuelle corrigée et sécurisée lorsque vous en avez besoin.Using a template gives you a patched and secure VM when you need it.

Bonne pratique : appliquer rapidement les mises à jour de sécurité pour les machines virtuelles.Best practice: Rapidly apply security updates to VMs.
Détail : activer Azure Security Center (niveau Gratuit ou Standard) pour identifier les mises à jour de sécurité manquantes et les appliquer.Detail: Enable Azure Security Center (Free tier or Standard tier) to identify missing security updates and apply them.

Bonne pratique : installer les dernières mises à jour de sécurité.Best practice: Install the latest security updates.
Détail : Parmi les premières charges de travail que nos clients déplacent vers Azure figurent les labos et les systèmes accessibles de l’extérieur.Detail: Some of the first workloads that customers move to Azure are labs and external-facing systems. Si vos machines virtuelles Azure hébergent des applications ou des services qui doivent être accessibles par Internet, soyez vigilant sur les mises à jour correctives.If your Azure VMs host applications or services that need to be accessible to the internet, be vigilant about patching. Installez les correctifs au-delà du système d’exploitation.Patch beyond the operating system. Des vulnérabilités non corrigées sur des applications partenaires peuvent également entraîner des problèmes pouvant être facilement évités avec une gestion efficace des correctifs.Unpatched vulnerabilities on partner applications can also lead to problems that can be avoided if good patch management is in place.

Bonne pratique : déployer et tester une solution de sauvegarde.Best practice: Deploy and test a backup solution.
Détail : gérez la sauvegarde de la même façon que toutes les autres opérations.Detail: A backup needs to be handled the same way that you handle any other operation. Cela s’applique aux systèmes qui font partie de votre environnement de production étendu au cloud.This is true of systems that are part of your production environment extending to the cloud.

Les systèmes de développement et de test doivent suivre des stratégies de sauvegarde capables de fournir des capacités de restauration similaires à ce à quoi les utilisateurs se sont habitués au cours de leur expérience avec des environnements sur site.Test and dev systems must follow backup strategies that provide restore capabilities that are similar to what users have grown accustomed to, based on their experience with on-premises environments. Les charges de travail migrées vers Azure doivent s’intégrer avec les solutions de sauvegarde existantes lorsque cela est possible.Production workloads moved to Azure should integrate with existing backup solutions when possible. Vous pouvez également utiliser Azure Backup pour répondre à vos exigences de sauvegarde.Or, you can use Azure Backup to help address your backup requirements.

Les organisations qui n’appliquent pas de stratégies de mise à jour logicielle s’exposent davantage aux menaces qui exploitent les vulnérabilités connues, déjà corrigées.Organizations that don't enforce software-update policies are more exposed to threats that exploit known, previously fixed vulnerabilities. Pour se conformer aux réglementations en vigueur, les entreprises doivent prouver leur diligence et la mise en place de contrôles appropriés visant à améliorer la sécurité de leurs charges de travail dans le cloud.To comply with industry regulations, companies must prove that they are diligent and using correct security controls to help ensure the security of their workloads located in the cloud.

En matière de mise à jour logicielle, les meilleures pratiques sont relativement similaires entre un centre de données traditionnel et un environnement IaaS Azure.Software-update best practices for a traditional datacenter and Azure IaaS have many similarities. Nous vous recommandons d’évaluer vos stratégies actuelles de mise à jour logicielle afin d’y inclure les machines virtuelles hébergées dans Azure.We recommend that you evaluate your current software update policies to include VMs located in Azure.

Gérer l’état de sécurité des machines virtuellesManage your VM security posture

Les cybermenaces ne cessent d’évoluer.Cyberthreats are evolving. La protection de vos machines virtuelles requiert des fonctionnalités de supervision capables de détecter les menaces, d’empêcher les accès non autorisés à vos ressources, de déclencher des alertes et de limiter les faux positifs.Safeguarding your VMs requires a monitoring capability that can quickly detect threats, prevent unauthorized access to your resources, trigger alerts, and reduce false positives.

Pour surveiller l’état de la sécurité de vos machines virtuelles Windows et Linux, utilisez Azure Security Center.To monitor the security posture of your Windows and Linux VMs, use Azure Security Center. Dans Azure Security Center, protégez vos machines virtuelles grâce aux fonctionnalités suivantes :In Security Center, safeguard your VMs by taking advantage of the following capabilities:

  • Appliquer les paramètres de sécurité du système d’exploitation avec les règles de configuration recommandéesApply OS security settings with recommended configuration rules.
  • Rechercher et télécharger les mises à jour critiques et les mises à jour de sécurité qui peuvent être manquantesIdentify and download system security and critical updates that might be missing.
  • Mettre en œuvre les recommandations de protection contre les logiciels malveillantsDeploy recommendations for endpoint antimalware protection.
  • Valider le chiffrement des disquesValidate disk encryption.
  • Évaluer et corriger les vulnérabilitésAssess and remediate vulnerabilities.
  • Détecter les menacesDetect threats.

Security Center peut surveiller activement les menaces qui apparaissent alors sous la forme d’alertes de sécurité.Security Center can actively monitor for threats, and potential threats are exposed in security alerts. Les menaces corrélées sont regroupées sous la forme d’un incident de sécurité.Correlated threats are aggregated in a single view called a security incident.

Security Center stocke les données dans les journaux Azure Monitor.Security Center stores data in Azure Monitor logs. Les journaux Azure Monitor fournissent un langage de requête et le moteur analytique vous donne des insights sur le fonctionnement de vos applications et de vos ressources.Azure Monitor logs provides a query language and analytics engine that gives you insights into the operation of your applications and resources. Les données sont également collectées à partir d’Azure Monitor, de solutions de gestion et d’agents installés sur des machines virtuelles hébergées dans le cloud ou localement.Data is also collected from Azure Monitor, management solutions, and agents installed on virtual machines in the cloud or on-premises. Cette fonctionnalité partagée vous permet de constituer une image complète de votre environnement.This shared functionality helps you form a complete picture of your environment.

Les organisations qui n’appliquent pas une sécurité renforcée à leurs machines virtuelles ne parviennent pas à détecter les actions des utilisateurs non autorisés visant à contourner les contrôles de sécurité mis en place.Organizations that don't enforce strong security for their VMs remain unaware of potential attempts by unauthorized users to circumvent security controls.

Analyser les performances des machines virtuellesMonitor VM performance

Parfois, une machine virtuelle consomme trop de ressources, ce qui peut poser problème.Resource abuse can be a problem when VM processes consume more resources than they should. Une machine virtuelle insuffisamment performante peut entraîner une interruption de service, réduisant ainsi la disponibilité.Performance issues with a VM can lead to service disruption, which violates the security principle of availability. Cela s’applique particulièrement aux machines virtuelles qui hébergent IIS ou d’autres serveurs web, car une utilisation élevée du processeur ou de la mémoire peut indiquer une attaque par déni de service (DoS).This is particularly important for VMs that are hosting IIS or other web servers, because high CPU or memory usage might indicate a denial of service (DoS) attack. Il est impératif de surveiller l’accès aux machines virtuelles de façon réactive (lorsqu’un problème survient) et de façon proactive (par rapport à des performances de référence mesurées pendant un fonctionnement normal).It’s imperative to monitor VM access not only reactively while an issue is occurring, but also proactively against baseline performance as measured during normal operation.

Nous vous recommandons d’utiliser Azure Monitor pour obtenir plus de visibilité sur l’intégrité de vos ressources.We recommend that you use Azure Monitor to gain visibility into your resource’s health. Fonctionnalités d’Azure Monitor :Azure Monitor features:

Les organisations qui ne surveillent pas les performances des machines virtuelles ne peuvent pas déterminer si certaines variations de performances sont normales ou pas.Organizations that don't monitor VM performance can’t determine whether certain changes in performance patterns are normal or abnormal. Si une machine virtuelle consomme davantage de ressources que la normale, cela peut être le signe d’une attaque provenant d’une ressource externe ou d’un processus compromis en cours d’exécution sur la machine virtuelle.A VM that’s consuming more resources than normal might indicate an attack from an external resource or a compromised process running in the VM.

Chiffrer les fichiers de disque dur virtuelEncrypt your virtual hard disk files

Nous vous recommandons de chiffrer vos disques durs virtuels (VHD) afin de protéger votre volume de démarrage et les volumes de données au repos au niveau du stockage, ainsi que vos clés de chiffrement et vos secrets.We recommend that you encrypt your virtual hard disks (VHDs) to help protect your boot volume and data volumes at rest in storage, along with your encryption keys and secrets.

Azure Disk Encryption vous permet de chiffrer vos disques de machine virtuelle IaaS Windows et Linux.Azure Disk Encryption helps you encrypt your Windows and Linux IaaS virtual machine disks. Azure Disk Encryption utilise la fonctionnalité standard BitLocker de Windows et la fonctionnalité DM-Crypt de Linux pour fournir le chiffrement de volume du système d’exploitation et des disques de données.Azure Disk Encryption uses the industry-standard BitLocker feature of Windows and the DM-Crypt feature of Linux to provide volume encryption for the OS and the data disks. La solution est intégrée avec Azure Key Vault, ce qui vous permet de contrôler et de gérer les clés et clés secrètes de chiffrement de disque dans votre abonnement Key Vault.The solution is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Elle garantit également que toutes les données figurant sur les disques de vos machines virtuelles sont chiffrées au repos dans le Stockage Azure.The solution also ensures that all data on the virtual machine disks are encrypted at rest in Azure Storage.

Voici les meilleures pratiques en matière d’utilisation d’Azure Disk Encryption :Following are best practices for using Azure Disk Encryption:

Bonne pratique : activer le chiffrement sur les machines virtuelles.Best practice: Enable encryption on VMs.
Détail : Azure Disk Encryption génère et écrit les clés de chiffrement dans votre coffre de clés.Detail: Azure Disk Encryption generates and writes the encryption keys to your key vault. La gestion des clés de chiffrement dans votre coffre de clés nécessite l’authentification Azure AD.Managing encryption keys in your key vault requires Azure AD authentication. Créez une application Azure AD à cet effet.Create an Azure AD application for this purpose. Pour l’authentification, vous pouvez utiliser soit l’authentification par clé secrète client, soit l’authentification Azure AD par certificat client.For authentication purposes, you can use either client secret-based authentication or client certificate-based Azure AD authentication.

Bonne pratique : utiliser une clé de chiffrement à clé pour renforcer la sécurité des clés de chiffrement,Best practice: Use a key encryption key (KEK) for an additional layer of security for encryption keys. et ajouter une clé de chiffrement à clé à votre coffre de clés.Add a KEK to your key vault.
Détail : Utilisez la cmdlet Add-AzKeyVaultKey pour créer une clé de chiffrement à clé dans le coffre de clés.Detail: Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Vous pouvez également importer une clé de chiffrement à clé à partir de votre module de sécurité matériel local de gestion des clés.You can also import a KEK from your on-premises hardware security module (HSM) for key management. Pour plus d’informations, consultez la documentation relative à Key Vault.For more information, see the Key Vault documentation. Quand une clé de chiffrement principale est spécifiée, Azure Disk Encryption utilise cette clé pour wrapper les secrets de chiffrement avant d’écrire dans Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault. En conservant une copie de cette clé dans un module de sécurité matériel local de gestion des clés, vous réduisez le risque de suppression accidentelle de clés.Keeping an escrow copy of this key in an on-premises key management HSM offers additional protection against accidental deletion of keys.

Bonne pratique : prendre un instantané ou faire une sauvegarde avant de chiffrer les disques.Best practice: Take a snapshot and/or backup before disks are encrypted. Les sauvegardes offrent une possibilité de récupération en cas de défaillance inattendue au cours du chiffrement.Backups provide a recovery option if an unexpected failure happens during encryption.
Détail : Les machines virtuelles avec des disques managés imposent une sauvegarde avant que le chiffrement soit effectué.Detail: VMs with managed disks require a backup before encryption occurs. Une fois la sauvegarde effectuée, vous pouvez utiliser la cmdlet Set-AzVMDiskEncryptionExtension pour chiffrer des disques managés en spécifiant le paramètre -skipVmBackup.After a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Pour plus d’informations sur la façon de sauvegarder et de restaurer des machines virtuelles chiffrées, consultez l’article Sauvegarde Azure.For more information about how to back up and restore encrypted VMs, see the Azure Backup article.

Bonne pratique : faire en sorte, pour Azure Disk Encryption, que le coffre de clés se trouve dans la même région que les machines virtuelles pour que les secrets de chiffrement ne franchissent pas les limites régionales.Best practice: To make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the key vault and the VMs to be located in the same region.
Détail : créez et utilisez un coffre de clés situé dans la même région que la machine virtuelle à chiffrer.Detail: Create and use a key vault that is in the same region as the VM to be encrypted.

Azure Disk Encryption répond aux besoins métiers suivants :When you apply Azure Disk Encryption, you can satisfy the following business needs:

  • Les machines virtuelles IaaS sont sécurisées au repos via une technologie de chiffrement standard permettant de répondre aux exigences de sécurité et de conformité des organisations.IaaS VMs are secured at rest through industry-standard encryption technology to address organizational security and compliance requirements.
  • Les machines virtuelles IaaS démarrent par le biais de stratégies et de clés contrôlées par les clients qui peuvent auditer leur utilisation dans le coffre de clés.IaaS VMs start under customer-controlled keys and policies, and you can audit their usage in your key vault.

Limiter la connectivité Internet directeRestrict direct internet connectivity

Surveillez et limitez la connectivité Internet directe des machines virtuelles.Monitor and restrict VM direct internet connectivity. Les attaquants analysent en permanence des plages IP de cloud public pour détecter les ports de gestion ouverts et tentent des attaques « faciles » comme l’identification de mots de passe courants et des vulnérabilités non corrigées connues.Attackers constantly scan public cloud IP ranges for open management ports and attempt “easy” attacks like common passwords and known unpatched vulnerabilities. Le tableau suivant répertorie les meilleures pratiques contribuant à protéger les utilisateurs contre ces attaques :The following table lists best practices to help protect against these attacks:

Bonne pratique : empêcher une exposition involontaire au routage et à la sécurité du réseau.Best practice: Prevent inadvertent exposure to network routing and security.
Détail : utiliser Azure RBAC pour garantir que seul le groupe central de mise en réseau possède l’autorisation d’accès aux ressources réseau.Detail: Use Azure RBAC to ensure that only the central networking group has permission to networking resources.

Bonne pratique : identifier les machines virtuelles exposées qui autorisent l’accès à partir de « n’importe quelle » adresse IP source et y remédier.Best practice: Identify and remediate exposed VMs that allow access from “any” source IP address.
Détail : utiliser Azure Security Center.Detail: Use Azure Security Center. Security Center vous recommande de restreindre l’accès via les points de terminaison accessibles sur Internet si l’un de vos Groupes de sécurité réseau possède une ou plusieurs règles de trafic entrant autorisant l’accès à partir de « n’importe quelle » adresse IP source.Security Center will recommend that you restrict access through internet-facing endpoints if any of your network security groups has one or more inbound rules that allow access from “any” source IP address. Security Center vous recommande de modifier ces règles de trafic entrant afin de restreindre l’accès aux adresses IP source qui en ont réellement besoin.Security Center will recommend that you edit these inbound rules to restrict access to source IP addresses that actually need access.

Bonne pratique : restreindre les ports de gestion (RDP, SSH).Best practice: Restrict management ports (RDP, SSH).
Détail : L’accès juste-à-temps (JAT) aux machines virtuelles peut être utilisé pour verrouiller le trafic entrant vers vos machines virtuelles Azure, ce qui réduit l’exposition aux attaques et facilite la connexion aux machines virtuelles en cas de besoin.Detail: Just-in-time (JIT) VM access can be used to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed. Lorsque l’accès JAT est activé, Security Center verrouille le trafic entrant vers vos machines virtuelles Azure en créant une règle de Groupe de sécurité réseau.When JIT is enabled, Security Center locks down inbound traffic to your Azure VMs by creating a network security group rule. Vous sélectionnez les ports de la machine virtuelle pour lesquels le trafic entrant sera verrouillé.You select the ports on the VM to which inbound traffic will be locked down. Ces ports sont contrôlés par la solution JAT.These ports are controlled by the JIT solution.

Étapes suivantesNext steps

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :The following resources are available to provide more general information about Azure security and related Microsoft services: