Bonnes pratiques pour Azure Operational SecurityAzure Operational Security best practices

Cet article fournit un ensemble de meilleures pratiques opérationnelles pour protéger vos données, applications et autres ressources dans Azure.This article provides a set of operational best practices for protecting your data, applications, and other assets in Azure.

Ces meilleures pratiques font l’objet d’un consensus et sont compatibles avec les capacités et fonctionnalités actuelles de la plateforme Azure.The best practices are based on a consensus of opinion, and they work with current Azure platform capabilities and feature sets. Les opinions et technologies évoluent au fil du temps ; cet article est régulièrement mis à jour de manière à tenir compte de ces changements.Opinions and technologies change over time and this article is updated on a regular basis to reflect those changes.

Définir et déployer des pratiques de sécurité opérationnelle renforcéesDefine and deploy strong operational security practices

La sécurité opérationnelle Azure fait référence aux services, contrôles et fonctionnalités auxquels les utilisateurs ont accès pour protéger leurs données, leurs applications et d’autres ressources dans Azure.Azure operational security refers to the services, controls, and features available to users for protecting their data, applications, and other assets in Azure. La sécurité opérationnelle Azure repose sur un framework qui intègre les connaissances acquises via des fonctionnalités propres à Microsoft, notamment Security Development Lifecycle (SDL), le programme Centre de réponse aux problèmes de sécurité Microsoft et une connaissance approfondie du paysage des cybermenaces.Azure operational security is built on a framework that incorporates the knowledge gained through capabilities that are unique to Microsoft, including the Security Development Lifecycle (SDL), the Microsoft Security Response Center program, and deep awareness of the cybersecurity threat landscape.

Gérer et surveiller des mots de passe utilisateurManage and monitor user passwords

Le tableau suivant répertorie certaines meilleures pratiques relatives à la gestion des mots de passe utilisateur :The following table lists some best practices related to managing user passwords:

Bonne pratique : assurez-vous d’avoir le niveau de protection par mot de passe approprié dans le cloud.Best practice: Ensure you have the proper level of password protection in the cloud.
Détail : suivez les instructions du document Password Guidance (Instructions relatives aux mots de passe), qui est limité aux utilisateurs des plateformes d’identité Microsoft (comptes Azure Active Directory, Active Directory et Microsoft).Detail: Follow the guidance in Microsoft Password Guidance, which is scoped to users of the Microsoft identity platforms (Azure Active Directory, Active Directory, and Microsoft account).

Bonne pratique : surveillez les actions suspectes associées à vos comptes d’utilisateur.Best practice: Monitor for suspicious actions related to your user accounts.
Détail : surveillez les utilisateurs à risque et les connexions risquées à l’aide des rapports de sécurité Azure AD.Detail: Monitor for users at risk and risky sign-ins by using Azure AD security reports.

Bonne pratique : détectez et corrigez automatiquement les mots de passe présentant des risques élevés.Best practice: Automatically detect and remediate high-risk passwords.
Détail : Azure Active Directory Identity Protection est une fonctionnalité de l’édition Azure AD Premium P2 qui vous permet d’effectuer les actions suivantes :Detail: Azure AD Identity Protection is a feature of the Azure AD Premium P2 edition that enables you to:

  • Détecter des vulnérabilités potentielles qui affectent les identités de votre organisationDetect potential vulnerabilities that affect your organization’s identities
  • Configurer des réponses automatiques aux actions suspectes détectées qui sont liées aux identités de votre organisationConfigure automated responses to detected suspicious actions that are related to your organization’s identities
  • Examiner les incidents suspects et prendre les mesures appropriées pour les résoudreInvestigate suspicious incidents and take appropriate actions to resolve them

Recevoir des notifications d’incident de MicrosoftReceive incident notifications from Microsoft

Garantir que l’équipe responsable des opérations de sécurité reçoit des notifications d’incidents Azure de la part de Microsoft.Be sure your security operations team receives Azure incident notifications from Microsoft. Une notification d’incident permet d’indiquer à votre équipe de sécurité que vous avez des ressources Azure compromises. Cette dernière peut ainsi réagir rapidement et corriger les risques de sécurité éventuels.An incident notification lets your security team know you have compromised Azure resources so they can quickly respond to and remediate potential security risks.

Dans le portail d’inscription Azure, vous pouvez vérifier que les informations de contact administrateur incluent des détails qui informent les opérations de sécurité.In the Azure enrollment portal, you can ensure admin contact information includes details that notify security operations. Les informations de contact correspondent à une adresse électronique et à un numéro de téléphone.Contact information is an email address and phone number.

Organiser les abonnements dans des groupes d’administrationOrganize Azure subscriptions into management groups

Si votre organisation dispose de plusieurs abonnements, vous pouvez avoir besoin d’un moyen de gérer efficacement l’accès, les stratégies et la conformité de ces abonnements.If your organization has many subscriptions, you might need a way to efficiently manage access, policies, and compliance for those subscriptions. Les groupes d’administration Azure fournissent un niveau d’étendue au-delà des abonnements.Azure management groups provide a level of scope that’s above subscriptions. Vous organisez les abonnements en conteneurs appelés groupes d’administration et vous appliquez vos conditions de gouvernance aux groupes d’administration.You organize subscriptions into containers called management groups and apply your governance conditions to the management groups. Tous les abonnements d’un groupe d’administration héritent automatiquement des conditions appliquées à ce groupe d’administration.All subscriptions within a management group automatically inherit the conditions applied to the management group.

Vous pouvez créer une structure flexible de groupes d’administration et d’abonnements dans un répertoire.You can build a flexible structure of management groups and subscriptions into a directory. Chaque annuaire reçoit un groupe d’administration de niveau supérieur unique appelé groupe d’administration racine.Each directory is given a single top-level management group called the root management group. Ce groupe d’administration racine est intégré à la hiérarchie et contient tous les groupes d’administration et abonnements.This root management group is built into the hierarchy to have all management groups and subscriptions fold up to it. Il permet d’appliquer des stratégies globales et des attributions de rôles Azure au niveau du répertoire.The root management group allows global policies and Azure role assignments to be applied at the directory level.

Voici quelques meilleures pratiques pour l’utilisation de groupes d’administration :Here are some best practices for using management groups:

Bonne pratique : assurez-vous que les nouveaux abonnements appliquent des éléments de gouvernance tels que les stratégies et les autorisations à mesure qu’ils sont ajoutés.Best practice: Ensure that new subscriptions apply governance elements like policies and permissions as they are added.
Détail : utilisez le groupe d’administration racine pour affecter des éléments de sécurité d’entreprise qui s’appliquent à toutes les ressources Azure.Detail: Use the root management group to assign enterprise-wide security elements that apply to all Azure assets. Les stratégies et les autorisations sont des exemples d’éléments.Policies and permissions are examples of elements.

Bonne pratique : alignez les niveaux supérieurs des groupes d’administration avec la stratégie de segmentation pour fournir un point destiné au contrôle et à la cohérence de la stratégie pour chaque segment.Best practice: Align the top levels of management groups with segmentation strategy to provide a point for control and policy consistency within each segment.
Détail : créez un groupe d’administration unique pour chaque segment sous le groupe d’administration racine.Detail: Create a single management group for each segment under the root management group. Ne créez pas d’autres groupes d’administration au niveau racine.Don’t create any other management groups under the root.

Bonne pratique : limitez la profondeur du groupe d’administration pour éviter toute confusion qui ralentit les opérations et la sécurité.Best practice: Limit management group depth to avoid confusion that hampers both operations and security.
Détail : limitez votre hiérarchie à trois niveaux, niveau racine compris.Detail: Limit your hierarchy to three levels, including the root.

Bonne pratique : sélectionnez soigneusement les éléments à appliquer à toute l’entreprise avec le groupe d’administration racine.Best practice: Carefully select which items to apply to the entire enterprise with the root management group.
Détail : vérifiez que les éléments de groupe d’administration doivent vraiment s’appliquer à chaque ressource et qu’ils ont un impact faible.Detail: Ensure root management group elements have a clear need to be applied across every resource and that they’re low impact.

Les candidats parfaits sont :Good candidates include:

  • Les exigences réglementaires qui ont un impact métier clair (par exemple, les restrictions liées à la souveraineté des données)Regulatory requirements that have a clear business impact (for example, restrictions related to data sovereignty)
  • Les exigences avec un impact potentiel négatif proche de zéro pour les opérations, comme la stratégie avec effet d’audit ou les affectations de mission RBAC qui ont été consciencieusement étudiéesRequirements with near-zero potential negative affect on operations, like policy with audit effect or RBAC permission assignments that have been carefully reviewed

Bonne pratique : planifiez et testez scrupuleusement toutes les modifications à l’échelle de l’entreprise sur le groupe d’administration racine avant de les appliquer (stratégie, modèle RBAC, etc.).Best practice: Carefully plan and test all enterprise-wide changes on the root management group before applying them (policy, RBAC model, and so on).
Détail : les modifications dans le groupe d’administration racine peuvent affecter toutes les ressources sur Azure.Detail: Changes in the root management group can affect every resource on Azure. Même si elles permettent d’assurer la cohérence au sein de l’entreprise, les erreurs ou une utilisation incorrecte peuvent avoir un impact négatif sur les opérations de production.While they provide a powerful way to ensure consistency across the enterprise, errors or incorrect usage can negatively affect production operations. Testez toutes les modifications apportées au groupe d’administration racine dans un pilote de production ou un laboratoire de test.Test all changes to the root management group in a test lab or production pilot.

Simplifier la création d’environnement avec des blueprintsStreamline environment creation with blueprints

Le service Azure Blueprints permet aux architectes cloud et aux membres de l’informatique centrale de définir un ensemble reproductible de ressources Azure qui implémentent et respectent les normes, modèles et exigences d’une organisation.The Azure Blueprints service enables cloud architects and central information technology groups to define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements. Azure Blueprint permet aux équipes de développement de créer et de mettre en place rapidement de nouveaux environnements avec un ensemble de composants intégrés et en ayant la certitude de créer des environnements conformes à l’organisation.Azure Blueprints makes it possible for development teams to rapidly build and stand up new environments with a set of built-in components and the confidence that they're creating those environments within organizational compliance.

Superviser les services de stockage pour détecter des changements inattendus du comportementMonitor storage services for unexpected changes in behavior

Il peut s’avérer plus complexe de diagnostiquer et de résoudre des problèmes dans une application distribuée hébergée dans un environnement cloud que dans des environnements traditionnels.Diagnosing and troubleshooting issues in a distributed application hosted in a cloud environment can be more complex than it is in traditional environments. Les applications peuvent être déployées dans une infrastructure PaaS ou IaaS, localement, sur un appareil mobile ou dans une combinaison de ces environnements.Applications can be deployed in a PaaS or IaaS infrastructure, on-premises, on a mobile device, or in some combination of these environments. Le trafic réseau de votre application peut parcourir les réseaux publics et privés, et votre application peut utiliser différentes technologies de stockage.Your application's network traffic might traverse public and private networks, and your application might use multiple storage technologies.

Vous devez superviser en permanence les services de stockage utilisés par votre application afin de détecter tout changement de comportement inattendu (par exemple, des temps de réponse plus longs).You should continuously monitor the storage services that your application uses for any unexpected changes in behavior (such as slower response times). Utilisez la journalisation pour collecter des données plus détaillées et analyser un problème en profondeur.Use logging to collect more detailed data and to analyze a problem in depth. Les informations de diagnostic obtenues par le biais de la supervision et de la journalisation vous aident à déterminer la cause première du problème rencontré par votre application.The diagnostics information that you obtain from both monitoring and logging helps you to determine the root cause of the issue that your application encountered. Vous pouvez alors résoudre le problème et déterminer la procédure appropriée pour y remédier.Then you can troubleshoot the issue and determine the appropriate steps to remediate it.

Azure Storage Analytics effectue la journalisation et fournit les données de métriques d’un compte de stockage Azure.Azure Storage Analytics performs logging and provides metrics data for an Azure storage account. Nous vous recommandons d’utiliser ces données pour suivre les requêtes, analyser les tendances d’utilisation et diagnostiquer les problèmes liés à votre compte de stockage.We recommend that you use this data to trace requests, analyze usage trends, and diagnose issues with your storage account.

Prévenir, détecter et traiter les menacesPrevent, detect, and respond to threats

Azure Security Center vous aide à prévenir, détecter et résoudre les menaces grâce à une visibilité et un contrôle accrus de la sécurité de vos ressources Azure.Azure Security Center helps you prevent, detect, and respond to threats by providing increased visibility into (and control over) the security of your Azure resources. Il fournit une supervision de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste ensemble de solutions de sécurité.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with various security solutions.

Le niveau Gratuit de Security Center offre une sécurité limitée pour vos ressources Azure uniquement.The Free tier of Security Center offers limited security for only your Azure resources. Le niveau Standard étend ces fonctions aux ressources locales et à d’autres clouds.The Standard tier extends these capabilities to on-premises and other clouds. Security Center Standard aide à rechercher et à corriger les failles de sécurité, appliquer des contrôles d’accès et d’application pour bloquer les activités malveillantes, détecter les menaces à l’aide de l’analytique et de l’analyse décisionnelle et à répondre rapidement en cas d’attaque.Security Center Standard helps you find and fix security vulnerabilities, apply access and application controls to block malicious activity, detect threats by using analytics and intelligence, and respond quickly when under attack. Vous pouvez essayer Security Center Standard gratuitement pendant 60 jours.You can try Security Center Standard at no cost for the first 60 days. Nous vous recommandons de mettre à niveau votre abonnement Azure sur Security Center Standard.We recommend that you upgrade your Azure subscription to Security Center Standard.

Utilisez Security Center pour obtenir une vue centralisée de l’état de sécurité de toutes vos ressources Azure.Use Security Center to get a central view of the security state of all your Azure resources. Vérifiez d’un coup d’œil que les contrôles de sécurité appropriés sont en place et configurés correctement, et identifiez rapidement les ressources nécessitant votre attention.At a glance, verify that the appropriate security controls are in place and configured correctly, and quickly identify any resources that need attention.

Security Center s’intègre également à Microsoft Defender ATP (Advanced Threat Protection), qui fournit des fonctionnalités complètes de protection évolutive des points de terminaison (PEPT).Security Center also integrates with Microsoft Defender Advanced Threat Protection (ATP), which provides comprehensive Endpoint Detection and Response (EDR) capabilities. L’intégration de Microsoft Defender ATP vous permet de repérer les anomalies.With Microsoft Defender ATP integration, you can spot abnormalities. Vous pouvez également détecter les attaques avancées sur les points de terminaison de serveur surveillés par Security Center et y répondre.You can also detect and respond to advanced attacks on server endpoints monitored by Security Center.

Presque toutes les organisations d’entreprises ont un système Security Information and Event Management (SIEM) pour aider à identifier les menaces émergentes en consolidant les informations de journaux à partir de divers appareils de collecte de signaux.Almost all enterprise organizations have a security information and event management (SIEM) system to help identify emerging threats by consolidating log information from diverse signal gathering devices. Les journaux sont ensuite analysés par un système d’analytique de données pour déterminer ce qui est « intéressant » à partir du bruit inévitable dans toutes les solutions d’analytique et de collecte de données.The logs are then analyzed by a data analytics system to help identify what’s “interesting” from the noise that is inevitable in all log gathering and analytics solutions.

Azure Sentinel est une solution native cloud et évolutive de type SIEM (Security Information and Event Management) et SOAR (Security Orchestrated Automated Response).Azure Sentinel is a scalable, cloud-native, security information and event management (SIEM) and security orchestration automated response (SOAR) solution. Azure Sentinel assure une analyse de sécurité intelligente et fournit des informations sur les menaces via la détection des alertes, la visibilité des menaces, la recherche proactive et la réponse automatisée face aux menaces.Azure Sentinel provides intelligent security analytics and threat intelligence via alert detection, threat visibility, proactive hunting, and automated threat response.

Voici quelques meilleures pratiques pour prévenir, détecter et répondre aux menaces :Here are some best practices for preventing, detecting, and responding to threats:

Bonne pratique : augmentez la vitesse et l’évolutivité de votre solution SIEM en optant pour une solution cloud.Best practice: Increase the speed and scalability of your SIEM solution by using a cloud-based SIEM.
Détail : examinez les fonctionnalités et capacités d’Azure Sentinel et comparez-les avec les capacités de ce que vous utilisez actuellement en local.Detail: Investigate the features and capabilities of Azure Sentinel and compare them with the capabilities of what you’re currently using on-premises. Envisagez d’adopter Azure Sentinel si cette solution répond aux exigences SIEM de votre organisation.Consider adopting Azure Sentinel if it meets your organization’s SIEM requirements.

Bonne pratique : recherchez les vulnérabilités de sécurité les plus graves afin de définir les priorités d’investigation.Best practice: Find the most serious security vulnerabilities so you can prioritize investigation.
Détail : examinez votre degré de sécurisation Azure pour afficher les recommandations résultant des stratégies Azure et des initiatives intégrées à Azure Security Center.Detail: Review your Azure secure score to see the recommendations resulting from the Azure policies and initiatives built into Azure Security Center. Ces recommandations peuvent aider à résoudre les principaux risques tels que les mises à jour de sécurité, la protection de point de terminaison, le chiffrement, les configurations de sécurité, le WAF manquant, les machines virtuelles connectées à Internet et bien plus encore.These recommendations help address top risks like security updates, endpoint protection, encryption, security configurations, missing WAF, internet-connected VMs, and many more.

Le degré de sécurisation, qui est basé sur les contrôles du Center for Internet Security (CIS), vous permet d’évaluer la sécurité Azure de votre organisation par rapport à des sources externes.The secure score, which is based on Center for Internet Security (CIS) controls, lets you benchmark your organization’s Azure security against external sources. Une validation externe permet de confirmer et d’enrichir la stratégie de sécurité de votre équipe.External validation helps validate and enrich your team’s security strategy.

Bonne pratique : surveillez la posture de sécurité des machines, réseaux, services de stockage et de données, et des applications pour découvrir d’éventuels problèmes de sécurité et les classer par ordre de priorité.Best practice: Monitor the security posture of machines, networks, storage and data services, and applications to discover and prioritize potential security issues.
Détail : suivez les recommandations de sécurité de Security Center en commençant par les éléments avec la priorité la plus élevée.Detail: Follow the security recommendations in Security Center starting, with the highest priority items.

Bonne pratique : intégrez des alertes de Security Center dans votre solution SIEM.Best practice: Integrate Security Center alerts into your security information and event management (SIEM) solution.
Détail : la plupart des organisations avec une solution SIEM l’utilisent comme un centre d’échanges central pour les alertes de sécurité qui nécessitent la réponse d’un analyste.Detail: Most organizations with a SIEM use it as a central clearinghouse for security alerts that require an analyst response. Les événements traités produits par Security Center sont publiés dans le journal d’activité Azure, l’un des types de journaux disponibles avec Azure Monitor.Processed events produced by Security Center are published to the Azure Activity Log, one of the logs available through Azure Monitor. Azure Monitor offre un pipeline centralisé pour router les données de monitoring dans un outil SIEM.Azure Monitor offers a consolidated pipeline for routing any of your monitoring data into a SIEM tool. Consultez Diffuser des alertes vers un système SIEM, SOAR ou une solution de gestion des services informatiques pour obtenir des instructions.See Stream alerts to a SIEM, SOAR, or IT Service Management solution for instructions. Si vous utilisez Azure Sentinel, consultez Connect data from Azure Security Center (Connecter des données à partir d’Azure Security Center).If you’re using Azure Sentinel, see Connect Azure Security Center.

Bonne pratique : intégrez les journaux Azure à votre solution SIEM.Best practice: Integrate Azure logs with your SIEM.
Détail : utilisez Azure Monitor pour collecter et exporter des données.Detail: Use Azure Monitor to gather and export data. Cette pratique est critique pour permettre d’investiguer sur des incidents de sécurité, et la rétention des journaux en ligne est limitée.This practice is critical for enabling security incident investigation, and online log retention is limited. Si vous utilisez Azure Sentinel, consultez Connecter des sources de données.If you’re using Azure Sentinel, see Connect data sources.

Bonne pratique : accélérez vos processus d’investigation et de recherche et réduisez les faux positifs en intégrant des fonctionnalités de détection de point de terminaison et de réponse (EDR) dans votre examen de l’attaque.Best practice: Speed up your investigation and hunting processes and reduce false positives by integrating Endpoint Detection and Response (EDR) capabilities into your attack investigation.
Détail : activez l’intégration de Microsoft Defender ATP par le biais de votre stratégie de sécurité Security Center.Detail: Enable Microsoft Defender ATP integration via your Security Center security policy. Envisagez d’utiliser Azure Sentinel pour rechercher les menaces et répondre aux incidents.Consider using Azure Sentinel for threat hunting and incident response.

Superviser le réseau selon un scénario de bout en boutMonitor end-to-end scenario-based network monitoring

Les clients créent un réseau de bout en bout dans Azure en combinant des ressources réseau comme un réseau virtuel, ExpressRoute, Application Gateway et des équilibreurs de charge.Customers build an end-to-end network in Azure by combining network resources like a virtual network, ExpressRoute, Application Gateway, and load balancers. La surveillance est disponible sur chacune des ressources réseau.Monitoring is available on each of the network resources.

Azure Network Watcher est un service régional.Azure Network Watcher is a regional service. Utilisez ses outils de diagnostic et de visualisation pour superviser et diagnostiquer les conditions au niveau d’un réseau, dans, vers et à partir d’Azure.Use its diagnostic and visualization tools to monitor and diagnose conditions at a network scenario level in, to, and from Azure.

Voici des bonnes pratiques pour la supervision du réseau et les outils disponibles.The following are best practices for network monitoring and available tools.

Bonne pratique : Automatisez la surveillance réseau à distance avec la capture de paquets.Best practice: Automate remote network monitoring with packet capture.
Détail : Surveillez et diagnostiquez les problèmes réseau sans vous connecter à vos machines virtuelles à l’aide de Network Watcher.Detail: Monitor and diagnose networking issues without logging in to your VMs by using Network Watcher. Déclenchez la capture de paquets en définissant des alertes et bénéficiez d’un accès à des informations en temps réel sur le niveau de performance au niveau du paquet.Trigger packet capture by setting alerts and gain access to real-time performance information at the packet level. Quand vous identifiez un problème, vous pouvez l’examiner en détail pour effectuer de meilleurs diagnostics.When you see an issue, you can investigate in detail for better diagnoses.

Bonne pratique : Obtenez des insights sur votre trafic réseau en utilisant des journaux de flux.Best practice: Gain insight into your network traffic by using flow logs.
Détail : Développez une meilleure compréhension de vos modèles de trafic réseau à l’aide des journaux de flux des groupes de sécurité réseau.Detail: Build a deeper understanding of your network traffic patterns by using network security group flow logs. Les informations contenues dans les journaux de flux vous aident à recueillir des données sur la conformité, l’audit et la supervision de votre profil de sécurité réseau.Information in flow logs helps you gather data for compliance, auditing, and monitoring your network security profile.

Bonne pratique : Diagnostiquez les problèmes de connectivité d’un VPN.Best practice: Diagnose VPN connectivity issues.
Détail : Utilisez Network Watcher pour diagnostiquer les problèmes les plus courants liés aux connexions et à la passerelle VPN.Detail: Use Network Watcher to diagnose your most common VPN Gateway and connection issues. Vous pouvez non seulement identifier le problème, mais également utiliser des journaux d’activité détaillés pour approfondir vos recherches.You can not only identify the issue but also use detailed logs to further investigate.

Sécuriser le déploiement à l’aide d’outils DevOps éprouvésSecure deployment by using proven DevOps tools

Utilisez les bonnes pratiques DevOps suivantes pour garantir la productivité et l’efficacité de votre entreprise et de vos équipes.Use the following DevOps best practices to ensure that your enterprise and teams are productive and efficient.

Bonne pratique : Automatisez la génération et le déploiement des services.Best practice: Automate the build and deployment of services.
Détail : L’infrastructure en tant que code est un ensemble de techniques et de pratiques qui aident les professionnels de l’informatique à supprimer la charge de travail que représentent la génération et la gestion quotidiennes d’une infrastructure modulaire.Detail: Infrastructure as code is a set of techniques and practices that help IT pros remove the burden of day-to-day build and management of modular infrastructure. Elle permet aux professionnels de l’informatique de générer et de gérer leur environnement serveur moderne d’une façon similaire à celle dont les développeurs de logiciels génèrent et gèrent le code de l’application.It enables IT pros to build and maintain their modern server environment in a way that’s like how software developers build and maintain application code.

Vous pouvez utiliser Azure Resource Manager pour provisionner vos applications à l’aide d’un modèle déclaratif.You can use Azure Resource Manager to provision your applications by using a declarative template. Dans un modèle unique, vous pouvez déployer plusieurs services ainsi que leurs dépendances.In a single template, you can deploy multiple services along with their dependencies. Le même modèle vous permet de déployer plusieurs fois votre application à chaque phase du cycle de vie de l’application.You use the same template to repeatedly deploy your application in every stage of the application lifecycle.

Bonne pratique : Générez et déployez automatiquement des applications web Azure ou des services cloud.Best practice: Automatically build and deploy to Azure web apps or cloud services.
Détail : Vous pouvez configurer vos projets Azure DevOps Projects afin de les générer et de les déployer automatiquement sur des applications web Azure ou des services cloud.Detail: You can configure your Azure DevOps Projects to automatically build and deploy to Azure web apps or cloud services. Azure DevOps déploie automatiquement les fichiers binaires après avoir effectué une génération sur Azure au terme de chaque archivage de code.Azure DevOps automatically deploys the binaries after doing a build to Azure after every code check-in. Le processus de génération de package est équivalent à la commande Package de Visual Studio, et les étapes de la publication sont identiques à la commande Publier dans Visual Studio.The package build process is equivalent to the Package command in Visual Studio, and the publishing steps are equivalent to the Publish command in Visual Studio.

Bonne pratique : automatisez la gestion des mises en production.Best practice: Automate release management.
Détail : Azure Pipelines est une solution pour automatiser le déploiement en plusieurs étapes et pour gérer le processus de mise en production.Detail: Azure Pipelines is a solution for automating multiple-stage deployment and managing the release process. Créez des pipelines de déploiement gérés et continus pour des publications rapides, faciles et fréquentes.Create managed continuous deployment pipelines to release quickly, easily, and often. Avec Azure Pipelines, vous pouvez automatiser votre processus de mise en production et avoir des workflows d’approbation prédéfinis.With Azure Pipelines, you can automate your release process, and you can have predefined approval workflows. Déployez localement et dans le cloud, étendez et personnalisez en fonction de vos besoins.Deploy on-premises and to the cloud, extend, and customize as required.

Bonne pratique : Vérifiez les performances de votre application avant de la lancer ou de déployer des mises à jour en production.Best practice: Check your app's performance before you launch it or deploy updates to production.
Détail : exécutez des tests de charge basés sur le cloud pour :Detail: Run cloud-based load tests to:

  • Rechercher des problèmes de performances dans votre application.Find performance problems in your app.
  • Améliorer la qualité du déploiement.Improve deployment quality.
  • Garantir que votre application est toujours disponible.Make sure that your app is always available.
  • Garantir que votre application peut gérer le trafic de votre prochaine campagne de lancement ou marketing.Make sure that your app can handle traffic for your next launch or marketing campaign.

Apache JMeter est un outil gratuit, populaire et open source soutenu par une forte communauté.Apache JMeter is a free, popular open source tool with a strong community backing.

Bonne pratique : Surveillez les performances des applications.Best practice: Monitor application performance.
Détail : Azure Application Insights est un service extensible de gestion des performances des applications destiné aux développeurs web sur de multiples plateformes.Detail: Azure Application Insights is an extensible application performance management (APM) service for web developers on multiple platforms. Utilisez Application Insights pour superviser votre application web en direct.Use Application Insights to monitor your live web application. Il détecte automatiquement les problèmes de performances.It automatically detects performance anomalies. Il intègre des outils d’analyse pour vous aider à diagnostiquer les problèmes et à comprendre ce que font les utilisateurs avec votre application.It includes analytics tools to help you diagnose issues and to understand what users actually do with your app. Il a été conçu pour vous permettre d’améliorer continuellement les performances et la convivialité.It's designed to help you continuously improve performance and usability.

Prévenir les attaques DDoS et s’en protégerMitigate and protect against DDoS

DDoS (Distributed Denial of Service, déni de service distribué) est un type d’attaque qui tente d’épuiser les ressources d’une application.Distributed denial of service (DDoS) is a type of attack that tries to exhaust application resources. Son objectif est d’affecter la disponibilité de l’application et sa capacité à gérer des demandes légitimes.The goal is to affect the application’s availability and its ability to handle legitimate requests. Ces attaques de plus en plus sophistiquées gagnent en importance et en impact.These attacks are becoming more sophisticated and larger in size and impact. Elles peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.They can be targeted at any endpoint that is publicly reachable through the internet.

La conception et la génération d’une résilience DDoS nécessitent la planification et la conception de divers modes d’échec.Designing and building for DDoS resiliency requires planning and designing for a variety of failure modes. Voici les bonnes pratiques relatives à la création de services résistants aux attaques DDoS sur Azure.Following are best practices for building DDoS-resilient services on Azure.

Bonne pratique : Assurez-vous que la sécurité est une priorité tout au long du cycle de vie d’une application, de la conception et de l’implémentation au déploiement et aux opérations.Best practice: Ensure that security is a priority throughout the entire lifecycle of an application, from design and implementation to deployment and operations. Les applications peuvent contenir des bogues qui laissent un volume relativement faible de requêtes conçues utiliser beaucoup de ressources, ce qui entraîne une interruption de service.Applications can have bugs that allow a relatively low volume of requests to use a lot of resources, resulting in a service outage.
Détail : Pour permettre de protéger un service fonctionnant sur Microsoft Azure, vous devez bien comprendre l’architecture de votre application et respecter les cinq piliers de la qualité logicielle.Detail: To help protect a service running on Microsoft Azure, you should have a good understanding of your application architecture and focus on the five pillars of software quality. Vous devez avoir connaissance des volumes de trafic habituels, du modèle de connectivité entre l’application et d’autres applications, et des points de terminaison de service exposés à l’Internet public.You should know typical traffic volumes, the connectivity model between the application and other applications, and the service endpoints that are exposed to the public internet.

Il est extrêmement important que vous conceviez une application suffisamment résiliente pour surmonter une attaque ciblée par déni de service.Ensuring that an application is resilient enough to handle a denial of service that's targeted at the application itself is most important. La plateforme Azure intègre des fonctionnalités de sécurité et de confidentialité, à commencer par SDL (Security Development Lifecycle).Security and privacy are built into the Azure platform, beginning with the Security Development Lifecycle (SDL). SDL tient compte de la sécurité à chaque phase de développement et vérifie qu’Azure est continuellement mis à jour pour le rendre encore plus sécurisé.The SDL addresses security at every development phase and ensures that Azure is continually updated to make it even more secure.

Bonne pratique : Concevez vos applications de sorte qu’elles puissent être mises à l’échelle horizontalement pour répondre à la demande d’une charge amplifiée, en particulier dans le cadre d’une attaque DDoS.Best practice: Design your applications to scale horizontally to meet the demand of an amplified load, specifically in the event of a DDoS attack. Si votre application repose sur une seule instance unique d’un service, cela crée un point de défaillance unique.If your application depends on a single instance of a service, it creates a single point of failure. L’approvisionnement de plusieurs instances rend votre système plus résilient et plus évolutif.Provisioning multiple instances makes your system more resilient and more scalable.
Détail : Pour Azure App Service, sélectionnez un plan App Service qui offre plusieurs instances.Detail: For Azure App Service, select an App Service plan that offers multiple instances.

Pour les Azure Cloud Services, configurez chacun de vos rôles de manière à utiliser plusieurs instances.For Azure Cloud Services, configure each of your roles to use multiple instances.

Pour Machines virtuelles Azure, vérifiez que votre architecture de machine virtuelle inclut plusieurs machines virtuelles et que chaque machine virtuelle est dans un groupe à haute disponibilité.For Azure Virtual Machines, ensure that your VM architecture includes more than one VM and that each VM is included in an availability set. Nous vous recommandons d’utiliser des groupes de machines virtuelles identiques pour les fonctionnalités de mise à l’échelle automatique.We recommend using virtual machine scale sets for autoscaling capabilities.

Bonne pratique : Le fait de superposer des défenses dans une application réduit les chances de réussite d’une attaque.Best practice: Layering security defenses in an application reduces the chance of a successful attack. Implémentez des conceptions sécurisées pour vos applications à l’aide des fonctionnalités intégrées à la plateforme Azure.Implement secure designs for your applications by using the built-in capabilities of the Azure platform.
Détail : Plus la taille (surface d’exposition) de l’application est importante, plus le risque d’attaque est élevé.Detail: The risk of attack increases with the size (surface area) of the application. Vous pouvez réduire la surface d’exposition en créant une liste d’approbation permettant de limiter l’espace d’adressage IP exposé et les ports d’écoute qui ne sont pas nécessaires sur les équilibreurs de charge (Azure Load Balancer et Azure Application Gateway).You can reduce the surface area by using an approval list to close down the exposed IP address space and listening ports that are not needed on the load balancers (Azure Load Balancer and Azure Application Gateway).

Les groupes de sécurité réseau permettent également de réduire la surface d’attaque.Network security groups are another way to reduce the attack surface. Vous pouvez utiliser des balises de service et des groupes de sécurité d’application pour simplifier la création de règles de sécurité et configurer la sécurité réseau comme prolongement naturel de la structure d’une application.You can use service tags and application security groups to minimize complexity for creating security rules and configuring network security, as a natural extension of an application’s structure.

Vous devez déployer les services Azure dans un réseau virtuel dans la mesure du possible.You should deploy Azure services in a virtual network whenever possible. Les ressources de service peuvent ainsi communiquer par le biais d’adresses IP privées.This practice allows service resources to communicate through private IP addresses. Le trafic du service Azure à partir d’un réseau virtuel utilise des adresses IP publiques comme adresses IP source par défaut.Azure service traffic from a virtual network uses public IP addresses as source IP addresses by default.

Le fait d’utiliser des points de terminaison de service force le trafic de service à utiliser des adresses privées de réseau virtuel comme adresses IP sources lors de l’accès au service Azure à partir d’un réseau virtuel.Using service endpoints switches service traffic to use virtual network private addresses as the source IP addresses when they're accessing the Azure service from a virtual network.

Il arrive fréquemment que les ressources locales d’un client soient attaquées en même temps que ses ressources dans Azure.We often see customers' on-premises resources getting attacked along with their resources in Azure. Si vous connectez un environnement local à Azure, réduisez l’exposition des ressources locales à l’Internet public.If you're connecting an on-premises environment to Azure, minimize exposure of on-premises resources to the public internet.

Azure propose deux offres de service DDoS qui fournissent une protection contre les attaques réseau :Azure has two DDoS service offerings that provide protection from network attacks:

  • La protection de base est intégrée à Azure par défaut sans coût supplémentaire.Basic protection is integrated into Azure by default at no additional cost. De par son échelle et sa capacité, le réseau Azure déployé à l’échelle mondiale assure une défense contre les attaques courantes de la couche réseau. Cette défense est par ailleurs renforcée par le monitoring continu du trafic et l’atténuation en temps réel.The scale and capacity of the globally deployed Azure network provides defense against common network-layer attacks through always-on traffic monitoring and real-time mitigation. La protection de base ne nécessite aucun changement de la part de l’utilisateur au niveau de configuration ou de l’application et permet de protéger tous les services Azure, notamment les services PaaS comme Azure DNS.Basic requires no user configuration or application changes and helps protect all Azure services, including PaaS services like Azure DNS.
  • La protection standard fournit des fonctions d’atténuation DDoS avancées contre les attaques réseau.Standard protection provides advanced DDoS mitigation capabilities against network attacks. Cette solution s’adapte automatiquement pour protéger vos ressources Azure spécifiques.It's automatically tuned to protect your specific Azure resources. La protection est facile à activer pendant la création de réseaux virtuels.Protection is simple to enable during the creation of virtual networks. Vous pouvez également l’activer après la création ; aucun changement au niveau de l’application ou de la ressource ne s’impose.It can also be done after creation and requires no application or resource changes.

Activer Azure PolicyEnable Azure Policy

Azure Policy est un service d’Azure que vous utilisez pour créer, affecter et gérer des stratégies.Azure Policy is a service in Azure that you use to create, assign, and manage policies. Ces stratégies appliquent des règles et effets sur vos ressources, qui restent donc conformes aux normes et aux contrats de niveau de service de l’entreprise.These policies enforce rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements. en évaluant vos ressources pour vérifier leur conformité par rapport aux stratégies affectées.Azure Policy meets this need by evaluating your resources for non-compliance with assigned policies.

Activez Azure Policy pour surveiller et appliquer la stratégie écrite de votre organisation.Enable Azure Policy to monitor and enforce your organization’s written policy. Cela permettra d’assurer la conformité aux exigences de sécurité obligatoires ou de votre société en gérant de façon centralisée les stratégies de sécurité dans toutes vos charges de travail cloud hybrides.This will ensure compliance with your company or regulatory security requirements by centrally managing security policies across your hybrid cloud workloads. Découvrez comment créer et gérer des stratégies pour assurer la conformité.Learn how to create and manage policies to enforce compliance. Consultez Azure Policy definition structure (Structure de définition Azure Policy) pour une vue d’ensemble des éléments d’une stratégie.See Azure Policy definition structure for an overview of the elements of a policy.

Voici quelques meilleures pratiques de sécurité à suivre après avoir adopté Azure Policy :Here are some security best practices to follow after you adopt Azure Policy:

Bonne pratique : la stratégie prend en charge plusieurs types d’effet.Best practice: Policy supports several types of effects. Vous pouvez en savoir plus en lisant l’article Azure Policy definition structure (Structure de définition Azure Policy).You can read about them in Azure Policy definition structure. Les opérations métier peuvent se voir affecter par l’effet refuser et l’effet corriger. Nous vous conseillons donc de commencer par l’effet auditer pour réduire le risque d’impact négatif de la stratégie.Business operations can be negatively affected by the deny effect and the remediate effect, so start with the audit effect to limit the risk of negative impact from policy.
Détail : démarrez les déploiements de stratégie en mode audit, puis passez aux effets refuser ou corriger.Detail: Start policy deployments in audit mode and then later progress to deny or remediate. Testez et passez en revue les résultats de l’effet auditer avant de passer aux effets refuser ou corriger.Test and review the results of the audit effect before you move to deny or remediate.

Pour plus d’informations, consultez Didacticiel : Créer et gérer des stratégies pour appliquer la conformité.For more information, see Create and manage policies to enforce compliance.

Bonne pratique : identifiez les rôles responsables pour surveiller les violations de stratégie et garantir que l’action corrective appropriée est mise en œuvre rapidement.Best practice: Identify the roles responsible for monitoring for policy violations and ensuring the right remediation action is taken quickly.
Détail : attribuez le rôle de conformité de la surveillance via le portail Azure ou la ligne de commande.Detail: Have the assigned role monitor compliance through the Azure portal or via the command line.

Bonne pratique : Azure Policy est une représentation technique des stratégies écrites d’une organisation.Best practice: Azure Policy is a technical representation of an organization's written policies. Mappez toutes les définitions Azure Policy vers des stratégies organisationnelles pour éviter la confusion et améliorer la cohérence.Map all Azure Policy definitions to organizational policies to reduce confusion and increase consistency.
Détail : Mappage de document dans la documentation de votre organisation ou dans la définition Azure Policy elle-même en ajoutant une référence à la directive organisationnelle dans la définition de stratégie ou la description de la définition d’initiative.Detail: Document mapping in your organization's documentation or in the Azure Policy definition itself by adding a reference to the organizational policy in the policy definition or the initiative definition description.

Surveiller les rapports de risque Azure ADMonitor Azure AD risk reports

La grande majorité des violations de sécurité ont lieu lorsque des cybercriminels parviennent à accéder à un environnement en volant l’identité d’un utilisateur.The vast majority of security breaches take place when attackers gain access to an environment by stealing a user’s identity. Détecter les identités compromises n’est pas chose aisée.Discovering compromised identities is no easy task. Azure AD utilise les algorithmes Machine Learning et des modèles heuristiques adaptatifs pour détecter les actions suspectes liées aux comptes de votre utilisateur.Azure AD uses adaptive machine learning algorithms and heuristics to detect suspicious actions that are related to your user accounts. Chaque action suspecte détectée est stockée dans un enregistrement appelé détection d’événement à risque.Each detected suspicious action is stored in a record called a risk detection. Les détections de risques sont enregistrés dans les rapports de sécurité Azure AD.Risk detections are recorded in Azure AD security reports. Pour plus d’informations, renseignez-vous sur le rapport sur la sécurité des utilisateurs courant un risque et le rapport de connexions risquées.For more information, read about the users at risk security report and the risky sign-ins security report.

Étapes suivantesNext steps

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :The following resources are available to provide more general information about Azure security and related Microsoft services: