Meilleures pratiques Azure pour la sécurité réseauAzure best practices for network security

Cet article présente l’ensemble des meilleures pratiques Azure pour améliorer votre sécurité réseau.This article discusses a collection of Azure best practices to enhance your network security. Ces meilleures pratiques sont issues de notre expérience dans le domaine de la mise en réseau Azure, mais également de celle des clients, comme vous.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Cet article détaille les points suivants pour chaque bonne pratique :For each best practice, this article explains:

  • Nature de la bonne pratiqueWhat the best practice is
  • Raison pour laquelle activer cette bonne pratiqueWhy you want to enable that best practice
  • Conséquence possible en cas de non-utilisation de la bonne pratiqueWhat might be the result if you fail to enable the best practice
  • Alternatives possibles à la meilleure pratiquePossible alternatives to the best practice
  • Comment apprendre à utiliser la bonne pratiqueHow you can learn to enable the best practice

Ces meilleures pratiques reposent sur un consensus, ainsi que sur les ensembles de possibilités et de fonctionnalités de la plateforme Azure disponibles au moment de la rédaction de cet article.These best practices are based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. Les opinions et avis évoluent au fil du temps ; cet article sera régulièrement mis à jour de manière à tenir compte de ces changements.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Utiliser des contrôles réseau renforcésUse strong network controls

Vous pouvez connecter des machines virtuelles Azure et des appliances à d’autres appareils en réseau, en les plaçant sur des réseaux virtuels Azure.You can connect Azure virtual machines (VMs) and appliances to other networked devices by placing them on Azure virtual networks. Autrement dit, vous pouvez connecter des cartes d’interface réseau virtuel à un réseau virtuel afin de permettre des communications TCP/IP entre les appareils en réseau.That is, you can connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network-enabled devices. Les machines virtuelles connectées à un réseau virtuel Azure peuvent se connecter à des appareils se trouvant sur le même réseau virtuel, sur des réseaux virtuels différents, sur Internet ou sur vos réseaux locaux.Virtual machines connected to an Azure virtual network can connect to devices on the same virtual network, different virtual networks, the internet, or your own on-premises networks.

Lors de la planification de votre réseau et de la sécurité de votre réseau, nous vous conseillons de centraliser :As you plan your network and the security of your network, we recommend that you centralize:

  • La gestion des fonctionnalités du réseau principal, comme ExpressRoute, le provisionnement du réseau et des sous-réseaux virtuels et l’adressage IP.Management of core network functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.
  • La gouvernance des éléments de sécurité réseau, telles que les fonctionnalités d’appliance virtuelle du réseau, par exemple ExpressRoute, le provisionnement du réseau et des sous-réseaux virtuels et l’adressage IP.Governance of network security elements, such as network virtual appliance functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.

Si vous utilisez un ensemble commun d’outils de gestion pour superviser votre réseau et la sécurité de votre réseau, vous obtenez une bonne visibilité dans les deux.If you use a common set of management tools to monitor your network and the security of your network, you get clear visibility into both. Une stratégie de sécurité simple et unifiée réduit les erreurs, car elle facilite la compréhension humaine et la fiabilité de l’automatisation.A straightforward, unified security strategy reduces errors because it increases human understanding and the reliability of automation.

Segmentation logique des sous-réseauxLogically segment subnets

Les réseaux virtuels Azure sont similaires aux réseaux LAN de votre réseau local.Azure virtual networks are similar to LANs on your on-premises network. Un réseau virtuel Azure repose sur un concept, celui de la création d’un réseau basé sur un espace d’adressage IP privé unique, au sein duquel vous pouvez placer toutes vos machines virtuelles Azure.The idea behind an Azure virtual network is that you create a network, based on a single private IP address space, on which you can place all your Azure virtual machines. Les espaces d’adressage IP privés disponibles se trouvent dans les plages des classes A (10.0.0.0/8), B (172.16.0.0/12) et C (192.168.0.0/16).The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

Meilleures pratiques pour segmenter logiquement les sous-réseaux :Best practices for logically segmenting subnets include:

Bonne pratique : N’attribuez pas de règle d’autorisation avec de larges plages (autorisez, par exemple, de 0.0.0.0 à 255.255.255.255).Best practice: Don't assign allow rules with broad ranges (for example, allow 0.0.0.0 through 255.255.255.255).
Détail : Assurez-vous que les procédures de résolution des problèmes découragent ou interdisent la configuration de ces types de règles.Detail: Ensure troubleshooting procedures discourage or ban setting up these types of rules. Ces règles d’autorisation induisent un sentiment de sécurité erroné : elles sont fréquemment trouvées et exploitées par les équipes rouges.These allow rules lead to a false sense of security and are frequently found and exploited by red teams.

Bonne pratique : Segmentez l’espace d’adressage plus volumineux en sous-réseaux.Best practice: Segment the larger address space into subnets.
Détail : Pour créer vos sous-réseaux, utilisez les principes de création de sous-réseau reposant sur CIDR.Detail: Use CIDR-based subnetting principles to create your subnets.

Bonne pratique : Créez des contrôles d’accès réseau entre les sous-réseaux.Best practice: Create network access controls between subnets. Le routage entre les sous-réseaux se fait automatiquement. Il est donc inutile de configurer manuellement des tables de routage.Routing between subnets happens automatically, and you don't need to manually configure routing tables. Par défaut, il n’y a aucun contrôle d’accès réseau entre les sous-réseaux que vous créez sur un réseau virtuel Azure.By default, there are no network access controls between the subnets that you create on an Azure virtual network.
Détail : Utilisez un groupe de sécurité réseau pour vous protéger contre le trafic non sollicité dans les sous-réseaux Azure.Detail: Use a network security group to protect against unsolicited traffic into Azure subnets. Un groupe de sécurité réseau est un simple appareil d’inspection des paquets, avec état, qui applique la méthode basée sur les 5 tuples (adresse IP source, port source, adresse IP de destination, port de destination et protocole de couche 4) pour créer des règles visant à autoriser ou refuser le trafic réseau.Network security groups are simple, stateful packet inspection devices that use the 5-tuple approach (source IP, source port, destination IP, destination port, and layer 4 protocol) to create allow/deny rules for network traffic. Vous pouvez autoriser ou refuser le trafic vers et depuis une ou plusieurs adresses IP, ou entre des sous-réseaux entiers, dans les deux directions.You allow or deny traffic to and from a single IP address, to and from multiple IP addresses, or to and from entire subnets.

Lorsque vous utilisez des groupes de sécurité réseau pour le contrôle d’accès réseau entre les sous-réseaux, vous pouvez placer des ressources appartenant au même rôle ou à la même zone de sécurité dans leurs propres sous-réseaux.When you use network security groups for network access control between subnets, you can put resources that belong to the same security zone or role in their own subnets.

Bonne pratique : Évitez les petits réseaux et sous-réseaux virtuels pour garantir simplicité et flexibilité.Best practice: Avoid small virtual networks and subnets to ensure simplicity and flexibility.
Détail : La plupart des organisations ajoutent plus de ressources qu’initialement prévu, et la réattribution d’adresses est laborieuse.Detail: Most organizations add more resources than initially planned, and re-allocating addresses is labor intensive. L’utilisation de sous-réseaux de petite taille ajoute une valeur limitée à la sécurité, et le mappage d’un groupe de sécurité réseau à chaque sous-réseau ajoute une surcharge.Using small subnets adds limited security value, and mapping a network security group to each subnet adds overhead. Définissez les sous-réseaux largement pour être sûr de disposer de flexibilité pour leur croissance.Define subnets broadly to ensure that you have flexibility for growth.

Bonne pratique : Simplifiez la gestion des règles des groupes de sécurité réseau en définissant Groupes de sécurité d’application.Best practice: Simplify network security group rule management by defining Application Security Groups.
Détail : Définissez un groupe de sécurité d’application pour les listes d’adresses IP que vous pensez être susceptibles d’être modifiées à l’avenir, ou d’être utilisées sur plusieurs groupes de sécurité réseau.Detail: Define an Application Security Group for lists of IP addresses that you think might change in the future or be used across many network security groups. N’oubliez pas de nommer les groupes de sécurité d’application de façon explicite, pour que d’autres puissent comprendre leur contenu et leur finalité.Be sure to name Application Security Groups clearly so others can understand their content and purpose.

Adoptez une approche Confiance ZéroAdopt a Zero Trust approach

Les réseaux basés sur le périmètre fonctionnent sur l’hypothèse que tous les systèmes au sein d’un réseau peuvent être approuvés.Perimeter-based networks operate on the assumption that all systems within a network can be trusted. Toutefois, les employés d’aujourd’hui accèdent aux ressources de leur entreprise depuis n’importe où, sur un grand nombre d’appareils et d’applications, ce qui rend les contrôles de sécurité du périmètre non pertinents.But today's employees access their organization's resources from anywhere on a variety of devices and apps, which makes perimeter security controls irrelevant. Les stratégies de contrôle d’accès, qui se concentrent uniquement sur qui peut accéder à une ressource, ne sont pas suffisantes.Access control policies that focus only on who can access a resource are not enough. Afin de maîtriser l’équilibre entre sécurité et productivité, les administrateurs de sécurité doivent également tenir compte des moyens d’accès à une ressource.To master the balance between security and productivity, security admins also need to factor in how a resource is being accessed.

Les réseaux doivent se développer à partir des défenses traditionnelles, car ils peuvent être vulnérables aux violations : un attaquant peut compromettre un point de terminaison unique au sein de la limite de confiance, puis rapidement déployer une brèche dans tout le réseau.Networks need to evolve from traditional defenses because networks might be vulnerable to breaches: an attacker can compromise a single endpoint within the trusted boundary and then quickly expand a foothold across the entire network. Les réseaux de Confiance Zéro éliminent le concept d’approbation fondé sur l’emplacement réseau au sein d’un périmètre.Zero Trust networks eliminate the concept of trust based on network location within a perimeter. À la place, les architectures de Confiance Zéro utilisent les revendications de confiance des appareils et des utilisateurs pour réguler l’accès aux ressources et aux données de l’organisation.Instead, Zero Trust architectures use device and user trust claims to gate access to organizational data and resources. Pour de nouvelles initiatives, adoptez les approches de Confiance Zéro qui valident l’approbation au moment de l’accès.For new initiatives, adopt Zero Trust approaches that validate trust at the time of access.

Les meilleures pratiques sont :Best practices are:

Bonne pratique : Donnez l’accès conditionnel aux ressources en fonction de l’appareil, de l’identité, de l’assurance, de l’emplacement réseau, etc.Best practice: Give Conditional Access to resources based on device, identity, assurance, network location, and more.
Détail : L’accès conditionnel Azure AD vous permet d’appliquer les contrôles d’accès appropriés en implémentant des décisions de contrôle d’accès automatisées, basées sur les conditions exigées.Detail: Azure AD Conditional Access lets you apply the right access controls by implementing automated access control decisions based on the required conditions. Pour plus informations, consultez Gérer l’accès à la gestion Azure avec l’accès conditionnel.For more information, see Manage access to Azure management with Conditional Access.

Bonne pratique : Activez l’accès au port uniquement après l’approbation du flux de travail.Best practice: Enable port access only after workflow approval.
Détail : Vous pouvez utiliser l’accès juste-à-temps aux machines virtuelles dans Azure Security Center pour verrouiller le trafic entrant vers vos machines virtuelles Azure, ce qui réduit l’exposition aux attaques et facilite la connexion aux machines virtuelles en cas de besoin.Detail: You can use just-in-time VM access in Azure Security Center to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Bonne pratique : Accordez des autorisations temporaires pour effectuer des tâches privilégiées. De cette façon, les utilisateurs malveillants ou non autorisés ne peuvent pas accéder aux ressources une fois que les autorisations ont expiré.Best practice: Grant temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. L’accès est accordé uniquement au moment où les utilisateurs en ont besoin.Access is granted only when users need it.
Détail : Utilisez l’accès juste-à-temps dans Azure AD Privileged Identity Management ou dans une solution tierce pour accorder des autorisations en vue d’effectuer des tâches privilégiées.Detail: Use just-in-time access in Azure AD Privileged Identity Management or in a third-party solution to grant permissions to perform privileged tasks.

La Confiance Zéro constitue la toute dernière évolution en matière de sécurité réseau.Zero Trust is the next evolution in network security. L’état des cyberattaques amène les organisations à adopter la mentalité « Assume Breach » (envisager les violations), mais cette démarche ne doit pas être limitative.The state of cyberattacks drives organizations to take the "assume breach" mindset, but this approach shouldn't be limiting. Les réseaux de Confiance Zéro protègent les ressources et les données d’entreprise tout en garantissant aux organisations la possibilité de créer un espace de travail moderne, à l’aide de technologies qui donnent les moyens aux employés d’être productifs, à tout moment et en tous lieux, de quelque manière que ce soit.Zero Trust networks protect corporate data and resources while ensuring that organizations can build a modern workplace by using technologies that empower employees to be productive anytime, anywhere, in any way.

Contrôle du comportement de routageControl routing behavior

Lorsque vous placez une machine virtuelle sur un réseau virtuel Azure, celle-ci peut se connecter à n’importe quelle autre machine virtuelle du même réseau virtuel, même si les autres machines virtuelles se trouvent sur des sous-réseaux différents.When you put a virtual machine on an Azure virtual network, the VM can connect to any other VM on the same virtual network, even if the other VMs are on different subnets. Ce type de communication est rendu possible par une collection d’itinéraires système qui sont activés par défaut.This is possible because a collection of system routes enabled by default allows this type of communication. Grâce à ces itinéraires par défaut, les machines virtuelles placées sur le même réseau virtuel peuvent initier des connexions les unes avec les autres, ainsi qu’avec Internet (pour les communications sortantes vers Internet uniquement).These default routes allow VMs on the same virtual network to initiate connections with each other, and with the internet (for outbound communications to the internet only).

Même si les itinéraires système par défaut sont utiles dans de nombreux scénarios de déploiement, il se peut que vous souhaitiez personnaliser la configuration du routage pour vos déploiements.Although the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. Vous pouvez configurer l’adresse du tronçon suivant afin d’atteindre des destinations spécifiques.You can configure the next-hop address to reach specific destinations.

Nous vous recommandons de configurer des itinéraires définis par l’utilisateur quand vous déployez une appliance de sécurité pour un réseau virtuel.We recommend that you configure user-defined routes when you deploy a security appliance for a virtual network. Ce point est présenté dans une section ultérieure intitulée Sécurisation de vos ressources critiques du service Azure pour vos réseaux virtuels uniquement.We talk about this in a later section titled secure your critical Azure service resources to only your virtual networks.

Notes

Les itinéraires définis par l’utilisateur ne sont pas obligatoires ; les itinéraires système par défaut fonctionnent habituellement.User-defined routes are not required, and the default system routes usually work.

Utilisation d’appliances de réseau virtuelUse virtual network appliances

Les groupes de sécurité réseau et le routage défini par l’utilisateur peuvent assurer un certain degré de sécurité réseau au niveau des couches réseau et transport du modèle OSI.Network security groups and user-defined routing can provide a certain measure of network security at the network and transport layers of the OSI model. mais dans certaines situations, vous souhaiterez ou devrez activer la sécurité aux niveaux élevés de la pile.But in some situations, you want or need to enable security at high levels of the stack. Le cas échéant, nous vous recommandons de déployer les appliances de sécurité de réseau virtuel fournies par les partenaires d’Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Les appliances de sécurité réseau Azure peuvent offrir des niveaux de sécurité supérieurs à ceux des contrôles appliqués au niveau du réseau.Azure network security appliances can deliver better security than what network-level controls provide. Fonctionnalités de sécurité réseau des appliances de sécurité de réseau virtuel :Network security capabilities of virtual network security appliances include:

  • Installation de pare-feuFirewalling
  • Détection et prévention des intrusionsIntrusion detection/intrusion prevention
  • Gestion des vulnérabilitésVulnerability management
  • Contrôle des applicationsApplication control
  • Détection des anomalies basée sur le réseauNetwork-based anomaly detection
  • Filtrage webWeb filtering
  • AntivirusAntivirus
  • Protection contre les botnetsBotnet protection

Pour trouver les appliances de sécurité de réseau virtuel Azure disponibles, accédez à la Place de marché Azure, puis recherchez les termes « sécurité » et « sécurité réseau ».To find available Azure virtual network security appliances, go to the Azure Marketplace and search for "security" and "network security."

Déploiement des réseaux de périmètre pour les zones de sécuritéDeploy perimeter networks for security zones

Un réseau de périmètre (également appelé zone DMZ) est un segment de réseau logique ou physique qui fournit une couche de sécurité supplémentaire entre vos ressources et Internet.A perimeter network (also known as a DMZ) is a physical or logical network segment that provides an additional layer of security between your assets and the internet. Les périphériques de contrôle d’accès réseau spécialisés situés à la périphérie d’un réseau de périmètre autorisent uniquement le trafic souhaité entrant dans votre réseau virtuel.Specialized network access control devices on the edge of a perimeter network allow only desired traffic into your virtual network.

Les réseaux de périmètre sont utiles, car vous pouvez concentrer la gestion des contrôles d’accès réseau, la surveillance, la journalisation et la création de rapports sur les appareils situés à la périphérie de votre réseau virtuel Azure.Perimeter networks are useful because you can focus your network access control management, monitoring, logging, and reporting on the devices at the edge of your Azure virtual network. Un réseau de périmètre est l’endroit où vous activez généralement la prévention de déni de service distribué (DDoS), les systèmes de détection et de prévention des intrusions (IDS/IPS), les règles et les stratégies de pare-feu, le filtrage web, les logiciels anti-programme malveillant du réseau, etc.A perimeter network is where you typically enable distributed denial of service (DDoS) prevention, intrusion detection/intrusion prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware, and more. Les appareils dédiés à la sécurité réseau se trouvent entre Internet et le réseau virtuel Azure, et disposent d’une interface sur les deux réseaux.The network security devices sit between the internet and your Azure virtual network and have an interface on both networks.

Même s’il s’agit là de la conception de base d’un réseau de périmètre, il existe de nombreuses autres conceptions, par exemple dos à dos, à triple hébergement et multirésidentes.Although this is the basic design of a perimeter network, there are many different designs, like back-to-back, tri-homed, and multi-homed.

En prenant appui sur le concept de Confiance Zéro évoqué précédemment, nous vous recommandons de prévoir l’utilisation d’un réseau de périmètre pour tous les déploiements haute sécurité, afin d’améliorer le niveau de la sécurité réseau et le contrôle d’accès de vos ressources Azure.Based on the Zero Trust concept mentioned earlier, we recommend that you consider using a perimeter network for all high security deployments to enhance the level of network security and access control for your Azure resources. Vous pouvez utiliser Azure ou une solution tierce pour fournir une couche supplémentaire de sécurité entre vos ressources et internet :You can use Azure or a third-party solution to provide an additional layer of security between your assets and the internet:

  • Contrôles natifs Azure.Azure native controls. Le Pare-feu Azure et le Pare-feu d’applications web dans Application Gateway offrent une sécurité de base moyennant un pare-feu entièrement avec état en tant que service, la haute disponibilité intégrée, l’extensibilité du cloud sans restriction, le filtrage du nom de domaine complet, la prise en charge d’ensembles de règles principales OWASP ainsi qu’une installation et une configuration simples.Azure Firewall and the web application firewall in Application Gateway offer basic security with a fully stateful firewall as a service, built-in high availability, unrestricted cloud scalability, FQDN filtering, support for OWASP core rule sets, and simple setup and configuration.
  • Offres de tiers.Third-party offerings. Recherchez sur la Place de marché Azure le pare-feu de nouvelle génération (NGFW) et d’autres offres de tiers qui fournissent des outils de sécurité courants et des niveaux de sécurité réseau grandement améliorés.Search the Azure Marketplace for next-generation firewall (NGFW) and other third-party offerings that provide familiar security tools and significantly enhanced levels of network security. La configuration peut être plus complexe, mais une offre de tiers peut vous permettre d’utiliser les fonctionnalités et les ensembles de compétences existants.Configuration might be more complex, but a third-party offering might allow you to use existing capabilities and skillsets.

De nombreuses organisations ont opté pour l’informatique hybride.Many organizations have chosen the hybrid IT route. Avec un environnement informatique hybride, certaines des ressources informatiques de l’entreprise se trouvent sur Azure, et d’autres restent en local.With hybrid IT, some of the company's information assets are in Azure, and others remain on-premises. Dans de nombreux cas, certains composants d’un service sont exécutés dans Azure, tandis que d’autres le sont localement.In many cases, some components of a service are running in Azure while other components remain on-premises.

Un scénario hybride propose généralement un certain type de connectivité entre locaux.In a hybrid IT scenario, there is usually some type of cross-premises connectivity. La connectivité entre locaux permet à l’entreprise de relier ses réseaux locaux aux réseaux virtuels Azure.Cross-premises connectivity allows the company to connect its on-premises networks to Azure virtual networks. Deux solutions de connectivité entre locaux sont disponibles :Two cross-premises connectivity solutions are available:

  • VPN de site à site.Site-to-site VPN. Il s’agit d’une technologie établie, fiable et approuvée, mais la connexion s’effectue par Internet.It's a trusted, reliable, and established technology, but the connection takes place over the internet. La bande passante est limitée à un maximum d’environ 1,25 Gbits/s.Bandwidth is constrained to a maximum of about 1.25 Gbps. Le VPN de site à site est une option souhaitable dans certains scénarios.Site-to-site VPN is a desirable option in some scenarios.
  • Azure ExpressRoute.Azure ExpressRoute. Nous vous recommandons d’utiliser ExpressRoute pour la connectivité entre locaux.We recommend that you use ExpressRoute for your cross-premises connectivity. ExpressRoute vous permet d’étendre vos réseaux locaux au cloud de Microsoft via une connexion privée assurée par un fournisseur de connectivité.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Grâce à ExpressRoute, vous pouvez établir des connexions aux services de cloud Microsoft, comme Azure, Office 365 et Dynamics 365.With ExpressRoute, you can establish connections to Microsoft cloud services like Azure, Office 365, and Dynamics 365. ExpressRoute représente une liaison réseau étendu dédiée entre le site local et un fournisseur d’hébergement Microsoft Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or a Microsoft Exchange hosting provider. Comme il s’agit d’une connexion de télécommunications, vos données ne transitent pas par Internet. Elles ne sont donc pas exposées aux risques potentiels inhérents aux communications Internet.Because this is a telco connection, your data doesn't travel over the internet, so it isn't exposed to the potential risks of internet communications.

L’emplacement de votre connexion ExpressRoute peut avoir une incidence sur la capacité du pare-feu, l’extensibilité, la fiabilité ainsi que sur la visibilité du trafic réseau.The location of your ExpressRoute connection can affect firewall capacity, scalability, reliability, and network traffic visibility. Vous devez déterminer l’emplacement où mettre fin à ExpressRoute dans les réseaux (locaux) existants.You'll need to identify where to terminate ExpressRoute in existing (on-premises) networks. Vous pouvez :You can:

  • Mettre fin à l’extérieur du pare-feu (le paradigme du réseau de périmètre) si vous avez besoin d’une visibilité sur le trafic, si vous devez poursuivre une pratique existante d’isolation des centres de données ou si vous placez uniquement des ressources extranet sur Azure.Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you're solely putting extranet resources on Azure.
  • Mettez fin à l’intérieur du pare-feu (le paradigme de l’extension réseau).Terminate inside the firewall (the network extension paradigm). Il s’agit de la suggestion par défaut.This is the default recommendation. Dans tous les autres cas, nous vous conseillons de traiter Azure comme un nième centre de données.In all other cases, we recommend treating Azure as an nth datacenter.

Optimisation de la durée active et des performancesOptimize uptime and performance

Si un service est défaillant, les informations sont inaccessibles.If a service is down, information can't be accessed. Si les performances sont tellement médiocres que les données en sont inutilisables, vous pouvez considérer que ces dernières sont inaccessibles.If performance is so poor that the data is unusable, you can consider the data to be inaccessible. Du point de vue de la sécurité, vous devez faire tout ce qui est en votre pouvoir pour garantir des performances et une durée de fonctionnement optimales pour vos services.From a security perspective, you need to do whatever you can to make sure that your services have optimal uptime and performance.

Pour optimiser la disponibilité et les performances, une méthode bien connue pour son efficacité est l’équilibrage de charge.A popular and effective method for enhancing availability and performance is load balancing. L’équilibrage de charge est une méthode de répartition du trafic réseau entre les serveurs qui font partie d’un service.Load balancing is a method of distributing network traffic across servers that are part of a service. Ainsi, si votre service inclut plusieurs serveurs web frontaux, vous pouvez utiliser l’équilibrage de charge pour répartir le trafic entre ces derniers.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

La répartition du trafic permet d’augmenter la disponibilité. En effet, si l’un des serveurs web est indisponible, l’équilibreur de charge arrête d’envoyer des données à ce serveur et redirige le trafic vers les serveurs actifs.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. L’équilibrage de charge améliore également les performances, car la surcharge du processeur, du réseau et de la mémoire associée au traitement des requêtes est répartie sur les différents serveurs avec équilibrage de charge.Load balancing also helps performance, because the processor, network, and memory overhead for serving requests is distributed across all the load-balanced servers.

Nous vous recommandons de tirer parti aussi souvent que possible de l’équilibrage de charge, selon les besoins de vos services.We recommend that you employ load balancing whenever you can, and as appropriate for your services. Voici des scénarios au niveau du réseau virtuel Azure et au niveau global, ainsi que des options d’équilibrage de charge pour chacun.Following are scenarios at both the Azure virtual network level and the global level, along with load-balancing options for each.

Scénario : Vous disposez d’une application qui :Scenario: You have an application that:

  • Requiert des requêtes provenant d’une même session utilisateur/client pour atteindre la même machine virtuelle principale.Requires requests from the same user/client session to reach the same back-end virtual machine. Exemples : applications de panier d’achat et serveurs de courrier.Examples of this are shopping cart apps and web mail servers.
  • Accepte uniquement une connexion sécurisée. La communication non chiffrée vers le serveur n’est donc pas une option acceptable.Accepts only a secure connection, so unencrypted communication to the server is not an acceptable option.
  • Exige le routage ou l’équilibrage de charge sur différents serveurs principaux des multiples requêtes HTTP sur une même connexion TCP de longue durée.Requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Option d’équilibrage de charge : Utilisez Azure Application Gateway, un équilibreur de charge de trafic web HTTP.Load-balancing option: Use Azure Application Gateway, an HTTP web traffic load balancer. Application Gateway prend en charge le chiffrement TLS de bout en bout et la terminaison TLS au niveau de la passerelle.Application Gateway supports end-to-end TLS encryption and TLS termination at the gateway. Les serveurs web peuvent ensuite être libérés du traitement du chiffrement et du déchiffrement, et du trafic du contenu non chiffré vers les serveurs principaux.Web servers can then be unburdened from encryption and decryption overhead and traffic flowing unencrypted to the back-end servers.

Scénario : Vous devez équilibrer la charge des connexions entrantes en provenance d’Internet entre vos serveurs situés au sein d’un réseau virtuel Azure.Scenario: You need to load balance incoming connections from the internet among your servers located in an Azure virtual network. Ce sont les scénarios que vous rencontrez lorsque vous :Scenarios are when you:

  • Disposez d’applications sans état qui acceptent les demandes entrantes provenant d’Internet.Have stateless applications that accept incoming requests from the internet.
  • N’exigez pas de sessions permanentes ni de déchargement TLS.Don't require sticky sessions or TLS offload. Ces sessions correspondent à une méthode utilisée avec l’équilibrage de charge des applications pour obtenir l’affinité de serveur.Sticky sessions is a method used with Application Load Balancing, to achieve server-affinity.

Option d’équilibrage de charge : Utilisez le portail Azure pour créer un équilibreur de charge externe qui répartit les demandes entrantes sur plusieurs machines virtuelles afin de fournir un niveau de disponibilité plus élevé.Load-balancing option: Use the Azure portal to create an external load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scénario : Vous devez équilibrer la charge des connexions des machines virtuelles qui ne sont pas sur Internet.Scenario: You need to load balance connections from VMs that are not on the internet. Dans la plupart des cas, les connexions qui sont acceptées pour l’équilibrage de charge sont initiées par les appareils figurant sur un réseau virtuel Azure, par exemple des instances SQL Server ou des serveurs web internes.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure virtual network, such as SQL Server instances or internal web servers.
Option d’équilibrage de charge : Utilisez le portail Azure pour créer un équilibreur de charge interne qui répartit les demandes entrantes sur plusieurs machines virtuelles afin de fournir un niveau de disponibilité plus élevé.Load-balancing option: Use the Azure portal to create an internal load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Scénario : Vous recherchez un équilibrage de charge global, car vous :Scenario: You need global load balancing because you:

  • Disposez d’une solution cloud qui est largement distribuée dans plusieurs régions et qui nécessite le plus haut niveau de durée de fonctionnement (disponibilité) possible.Have a cloud solution that is widely distributed across multiple regions and requires the highest level of uptime (availability) possible.
  • Avez besoin du niveau de disponibilité le plus élevé possible pour vous assurer que votre service est disponible même si tout un centre de données ne l’est pas.Need the highest level of uptime possible to make sure that your service is available even if an entire datacenter becomes unavailable.

Option d’équilibrage de charge : Utilisez Azure Traffic Manager.Load-balancing option: Use Azure Traffic Manager. Grâce à ce service, vous pouvez équilibrer la charge des connexions vers vos services en fonction de l’emplacement de l’utilisateur.Traffic Manager makes it possible to load balance connections to your services based on the location of the user.

Par exemple, si l’utilisateur qui envoie une requête à votre service se trouve dans un pays de l’Union européenne, la connexion est dirigée vers vos services qui se trouvent au sein d’un centre de données de cette zone.For example, if the user makes a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Cette étape de l’équilibrage de charge global assuré par Traffic Manager permet d’optimiser les performances, car la connexion au centre de données le plus proche est plus rapide que dans le cas de centres de données éloignés.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Désactivation de l’accès RDP/SSH aux machines virtuelles AzureDisable RDP/SSH Access to virtual machines

Il est possible d’atteindre les machines virtuelles Azure à l’aide des protocoles RDP (Remote Desktop Protocol) et SSH (Secure Shell).It's possible to reach Azure virtual machines by using Remote Desktop Protocol (RDP) and the Secure Shell (SSH) protocol. Ces protocoles permettent de gérer des machines virtuelles à partir d’emplacements distants. Ils sont souvent utilisés par les centres de données informatiques.These protocols enable the management VMs from remote locations and are standard in datacenter computing.

Cependant, ils peuvent être sources de problèmes de sécurité quand ils sont utilisés sur Internet. En effet, les attaquants peuvent recourir à des techniques de force brute pour accéder aux machines virtuelles Azure.The potential security problem with using these protocols over the internet is that attackers can use brute force techniques to gain access to Azure virtual machines. Lorsqu’ils y parviennent, ils peuvent utiliser votre machine virtuelle comme point de départ pour le piratage d’autres machines sur votre réseau virtuel, voire attaquer des appareils en réseau en dehors d’Azure.After the attackers gain access, they can use your VM as a launch point for compromising other machines on your virtual network or even attack networked devices outside Azure.

Nous vous recommandons de désactiver l’accès direct des protocoles RDP et SSH à vos machines virtuelles Azure depuis Internet.We recommend that you disable direct RDP and SSH access to your Azure virtual machines from the internet. Cela fait, vous disposez d’autres options vous permettant d’accéder à ces machines virtuelles à des fins de gestion à distance.After direct RDP and SSH access from the internet is disabled, you have other options that you can use to access these VMs for remote management.

Scénario : Autorisez un utilisateur unique à se connecter à un réseau virtuel Azure via Internet.Scenario: Enable a single user to connect to an Azure virtual network over the internet.
Option : L’expression VPN de point à site est synonyme de connexion du client/serveur VPN pour un accès à distance.Option: Point-to-site VPN is another term for a remote access VPN client/server connection. Une fois la connexion point à site établie, l’utilisateur peut avoir recours au protocole RDP ou SSH pour se connecter aux machines virtuelles situées sur le réseau virtuel Azure auquel cet utilisateur est connecté via le VPN point à site.After the point-to-site connection is established, the user can use RDP or SSH to connect to any VMs located on the Azure virtual network that the user connected to via point-to-site VPN. Cela suppose que l’utilisateur dispose des autorisations requises pour atteindre ces machines virtuelles.This assumes that the user is authorized to reach those VMs.

Le VPN point à site est plus sécurisé qu’une connexion RDP ou SSH directe, car l’utilisateur doit s’authentifier deux fois pour pouvoir se connecter à une machine virtuelle.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a VM. L’utilisateur doit d’abord s’authentifier (et être autorisé) pour établir la connexion VPN point à site.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection. Il doit ensuite s’authentifier (et être autorisé) pour établir la session RDP ou SSH.Second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Scénario : Permettez aux utilisateurs de votre réseau local de se connecter aux machines virtuelles de votre réseau virtuel Azure.Scenario: Enable users on your on-premises network to connect to VMs on your Azure virtual network.
Option : Un VPN de site à site connecte un réseau dans son ensemble à un autre réseau, par le biais d’Internet.Option: A site-to-site VPN connects an entire network to another network over the internet. Vous pouvez utiliser un VPN de site à site pour connecter votre réseau local à un réseau virtuel Azure.You can use a site-to-site VPN to connect your on-premises network to an Azure virtual network. Les utilisateurs de votre réseau local se connectent à l’aide du protocole RDP ou SSH via la connexion VPN de site à site.Users on your on-premises network connect by using the RDP or SSH protocol over the site-to-site VPN connection. Vous n’avez pas à autoriser un accès RDP ou SSH direct via Internet.You don't have to allow direct RDP or SSH access over the internet.

Scénario : Pour proposer une fonctionnalité similaire à la connexion VPN de site à site, utilisez une liaison réseau étendu dédiée.Scenario: Use a dedicated WAN link to provide functionality similar to the site-to-site VPN.
Option : Utilisez ExpressRoute.Option: Use ExpressRoute. Ce service fournit des fonctionnalités similaires au VPN de site à site.It provides functionality similar to the site-to-site VPN. Les principales différences entre ces deux architectures sont les suivantes :The main differences are:

  • La liaison réseau étendu (WAN) dédiée ne transite pas par Internet.The dedicated WAN link doesn't traverse the internet.
  • Les liaisons WAN dédiées sont généralement plus stables et plus performantes.Dedicated WAN links are typically more stable and perform better.

Sécurisation de vos ressources critiques du service Azure pour vos réseaux virtuels uniquementSecure your critical Azure service resources to only your virtual networks

Utilisez des points de terminaison de service de réseau virtuel pour étendre votre espace d’adressage privé de réseau virtuel et l’identité de votre réseau virtuel aux services Azure, via une connexion directe.Use virtual network service endpoints to extend your virtual network private address space, and the identity of your virtual network to the Azure services, over a direct connection. Les points de terminaison permettent de sécuriser vos ressources critiques du service Azure pour vos réseaux virtuels uniquement.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. Le trafic à partir de votre réseau virtuel vers le service Azure reste toujours sur le réseau principal Microsoft Azure.Traffic from your virtual network to the Azure service always remains on the Microsoft Azure backbone network.

Les points de terminaison de service fournissent les avantages suivants :Service endpoints provide the following benefits:

  • Sécurité améliorée de vos ressources de service Azure : Avec les points de terminaison de service, les ressources de service Azure peuvent être sécurisées pour votre réseau virtuel.Improved security for your Azure service resources: With service endpoints, Azure service resources can be secured to your virtual network. La sécurisation des ressources du service pour un réseau virtuel renforce la sécurité grâce à la suppression complète de l’accès Internet public aux ressources et à l’autorisation du trafic seul à partir de votre réseau virtuel.Securing service resources to a virtual network provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

  • Routage optimal pour le trafic de service Azure à partir de votre réseau virtuel : Tous les itinéraires dans votre réseau virtuel qui forcent le trafic Internet vers vos appliances locales et/ou virtuelles, aussi appelé tunneling forcé, forcent également le trafic de service Azure à prendre le même itinéraire que le trafic Internet.Optimal routing for Azure service traffic from your virtual network: Any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances, known as forced tunneling, also force Azure service traffic to take the same route as the internet traffic. Les points de terminaison de service fournissent un routage optimal pour le trafic Azure.Service endpoints provide optimal routing for Azure traffic.

    Les points de terminaison acheminent toujours le trafic de service directement à partir de votre réseau virtuel vers le service sur le réseau principal d’Azure.Endpoints always take service traffic directly from your virtual network to the service on the Azure backbone network. La conservation du trafic sur le réseau principal d’Azure vous permet de continuer l’audit et la surveillance du trafic Internet sortant à partir de vos réseaux virtuels, via le tunneling forcé, sans affecter le trafic de service.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound internet traffic from your virtual networks, through forced tunneling, without affecting service traffic. Découvrez d’autres informations sur les itinéraires définis par l’utilisateur et le tunneling forcé.Learn more about user-defined routes and forced tunneling.

  • Une configuration simple et un temps de gestion réduit : Les adresses IP publiques réservées dans vos réseaux virtuels ne sont désormais plus nécessaires pour sécuriser les ressources Azure via le pare-feu IP.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through an IP firewall. Aucun NAT ou appareil de passerelle n’est requis pour configurer les points de terminaison de service.There are no NAT or gateway devices required to set up the service endpoints. Les points de terminaison de service peuvent être configurés par un simple clic sur un sous-réseau.Service endpoints are configured through a simple click on a subnet. La conservation des points de terminaison ne requiert aucun traitement supplémentaire.There is no additional overhead to maintain the endpoints.

Pour en savoir plus sur les points de terminaison de service et sur les services et régions Azure pour lesquels ces points de terminaison sont disponibles, consultez Points de terminaison de service de réseau virtuel.To learn more about service endpoints and the Azure services and regions that service endpoints are available for, see Virtual network service endpoints.

Étapes suivantesNext steps

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.See Azure security best practices and patterns for more security best practices to use when you're designing, deploying, and managing your cloud solutions by using Azure.