Sécurisation des déploiements PaaSSecuring PaaS deployments

Cet article fournit des informations qui vous permettent :This article provides information that helps you:

  • de comprendre les avantages de l'hébergement d'application dans le cloud pour la sécurité ;Understand the security advantages of hosting applications in the cloud
  • d'évaluer les avantages de la plateforme en tant que service (PaaS) et autres modèles de service cloud pour la sécurité ;Evaluate the security advantages of platform as a service (PaaS) versus other cloud service models
  • de passer pour la sécurité d'une approche orientée réseau à une approche de sécurité de périmètre orientée identité ;Change your security focus from a network-centric to an identity-centric perimeter security approach
  • d'implémenter les bonnes pratiques recommandées de la sécurité de la PaaS.Implement general PaaS security best practices recommendations

Développer des applications sécurisées sur Azure est un guide général des questions de sécurité et des contrôles que vous devez prendre en compte à chaque phase du cycle de vie du développement logiciel lors du développement d’applications pour le cloud.Developing secure applications on Azure is a general guide to the security questions and controls you should consider at each phase of the software development lifecycle when developing applications for the cloud.

Avantages du cloud en matière de sécuritéCloud security advantages

Il est important de comprendre la répartition des responsabilités entre vous et Microsoft.It’s important to understand the division of responsibility between you and Microsoft. Localement, vous avez toute la responsabilité, mais, lorsque vous vous déplacez vers le cloud, certaines responsabilités sont transférées à Microsoft.On-premises, you own the whole stack but as you move to the cloud some responsibilities transfer to Microsoft.

Le cloud offre certains avantages pour la sécurité.There are security advantages to being in the cloud. Dans un environnement local, les organisations ont probablement des obligations non respectées et des ressources limitées pour investir dans la sécurité, avec pour résultat un environnement où les pirates informatiques sont en mesure d’exploiter des vulnérabilités à tous les niveaux.In an on-premises environment, organizations likely have unmet responsibilities and limited resources available to invest in security, which creates an environment where attackers are able to exploit vulnerabilities at all layers.

Les organisations peuvent améliorer la détection des menaces et leur temps de réponse à l’aide de fonctionnalités de sécurité basées sur le cloud d’un fournisseur et l'intelligence du cloud.Organizations are able to improve their threat detection and response times by using a provider’s cloud-based security capabilities and cloud intelligence. En transférant les responsabilités au fournisseur de cloud, les organisations peuvent optimiser leur couverture de sécurité, ce qui leur permet de réaffecter des ressources de sécurité et leur budget à d'autres priorités de l’entreprise.By shifting responsibilities to the cloud provider, organizations can get more security coverage, which enables them to reallocate security resources and budget to other business priorities.

Avantages d'un modèle de service cloud PaaS en matière de sécuritéSecurity advantages of a PaaS cloud service model

Passons en revue les avantages pour la sécurité d’un déploiement PaaS Azure par rapport à un déploiement local.Let’s look at the security advantages of an Azure PaaS deployment versus on-premises.

Les avantages d'une PaaS en matière de sécurité

En commençant par le premier élément, l’infrastructure physique, Microsoft réduit les risques courants et les responsabilités.Starting at the bottom of the stack, the physical infrastructure, Microsoft mitigates common risks and responsibilities. Étant donné que le cloud Microsoft est surveillé en permanence par Microsoft, il est difficile à attaquer.Because the Microsoft cloud is continually monitored by Microsoft, it is hard to attack. Il n’y a aucun sens pour une personne malveillante de choisir le cloud Microsoft comme cible.It doesn’t make sense for an attacker to pursue the Microsoft cloud as a target. À moins que le pirate informatique n'ait beaucoup d’argent et de ressources, il préfèrera passer à une autre cible.Unless the attacker has lots of money and resources, the attacker is likely to move on to another target.

Au milieu de l'infrastructure, il n’existe aucune différence entre un déploiement PaaS et un déploiement local.In the middle of the stack, there is no difference between a PaaS deployment and on-premises. Les risques sont similaires dans les couches d'application et de gestion des accès et des comptes.At the application layer and the account and access management layer, you have similar risks. Dans la section suivante de cet article, nous vous présentons les bonnes pratiques pour éliminer ou réduire ces risques.In the next steps section of this article, we will guide you to best practices for eliminating or minimizing these risks.

En haut de l'infrastructure (gouvernance des données et gestion des droits), vous prenez un risque qui peut être limité par la gestion de clésAt the top of the stack, data governance and rights management, you take on one risk that can be mitigated by key management. (la gestion des clés est traitée dans les bonnes pratiques). Même si la gestion des clés est une responsabilité supplémentaire, vous n'avez plus à gérer certaines zones d'un déploiement PaaS, et vous pouvez donc transférer des ressources vers la gestion des clés.(Key management is covered in best practices.) While key management is an additional responsibility, you have areas in a PaaS deployment that you no longer have to manage so you can shift resources to key management.

La plateforme Azure offre également une protection contre le DDoS renforcée à travers diverses technologies de réseau.The Azure platform also provides you strong DDoS protection by using various network-based technologies. Toutefois, tous les types de méthodes de protection contre le déni de service distribué (DDoS) basée sur le réseau ont leurs limites par lien et par centre de données.However, all types of network-based DDoS protection methods have their limits on a per-link and per-datacenter basis. Afin d’éviter l’impact des attaques DDoS de grande envergure, vous pouvez tirer parti des capacités de cloud de base d’Azure qui permettent d'effectuer un scale-out rapidement et de vous défendre contre les attaques DDoS.To help avoid the impact of large DDoS attacks, you can take advantage of Azure’s core cloud capability of enabling you to quickly and automatically scale out to defend against DDoS attacks. Nous aborderons la procédure plus en détail dans les articles sur les pratiques recommandées.We'll go into more detail on how you can do this in the recommended practices articles.

Une nouvelle mentalité pour la défenseModernizing the defender’s mindset

Avec les déploiements PaaS, votre approche globale de la sécurité évolue.With PaaS deployments come a shift in your overall approach to security. Vous n'avez pas besoin de tout contrôler vous-même et partagez la responsabilité avec Microsoft.You shift from needing to control everything yourself to sharing responsibility with Microsoft.

Une autre différence importante entre les déploiements PaaS et les déploiements locaux traditionnels est une nouvelle définition du périmètre de sécurité principal.Another significant difference between PaaS and traditional on-premises deployments, is a new view of what defines the primary security perimeter. Historiquement, le périmètre de sécurité local principal était votre réseau et la plupart des conceptions de sécurité locales utilisent le réseau en tant que pivot de sécurité principal.Historically, the primary on-premises security perimeter was your network and most on-premises security designs use the network as its primary security pivot. Pour les déploiements PaaS, il est préférable de tenir compte de l’identité comme périmètre de sécurité principal.For PaaS deployments, you are better served by considering identity to be the primary security perimeter.

Adopter une stratégie d‘identité en tant que périmètre de sécurité principalAdopt a policy of identity as the primary security perimeter

L'une des cinq caractéristiques essentielles du cloud computing est un large accès au réseau, ce qui rend l'approche centrée sur le réseau moins pertinente.One of the five essential characteristics of cloud computing is broad network access, which makes network-centric thinking less relevant. Le cloud computing a en grande partie pour but de permettre aux utilisateurs d’accéder à des ressources, quel que soit leur emplacement.The goal of much of cloud computing is to allow users to access resources regardless of location. Pour la plupart des utilisateurs, l'emplacement est quelque part sur Internet.For most users, their location is going to be somewhere on the Internet.

La figure suivante montre comment le périmètre de sécurité a évolué d’un périmètre de réseau vers un périmètre d’identité.The following figure shows how the security perimeter has evolved from a network perimeter to an identity perimeter. La sécurité se résume moins à la protection de votre réseau et plus à la défense de vos données, ainsi qu'à la gestion de la sécurité de vos applications et de vos utilisateurs.Security becomes less about defending your network and more about defending your data, as well as managing the security of your apps and users. La principale différence est que vous pouvez axer la sécurité sur ce qui est important pour votre entreprise.The key difference is that you want to push security closer to what’s important to your company.

L'identité en tant que nouveau périmètre de sécurité

Initialement, les services PaaS Azure (par exemple, les rôles web et Azure SQL) fournissaient peu ou pas de défenses du périmètre de réseau traditionnelles.Initially, Azure PaaS services (for example, web roles and Azure SQL) provided little or no traditional network perimeter defenses. Il était entendu que l'élément devait être exposé sur Internet (rôle web) et que l’authentification fournit le nouveau périmètre (par exemple, BLOB ou Azure SQL).It was understood that the element’s purpose was to be exposed to the Internet (web role) and that authentication provides the new perimeter (for example, BLOB or Azure SQL).

Les pratiques de sécurité modernes partent du principe que l’adversaire a violé le périmètre du réseau.Modern security practices assume that the adversary has breached the network perimeter. Par conséquent, les pratiques de défense modernes sont axées sur l'identité.Therefore, modern defense practices have moved to identity. Les organisations doivent établir un périmètre de sécurité basé sur les identités avec forte hygiène d’authentification et d’autorisation (bonnes pratiques).Organizations must establish an identity-based security perimeter with strong authentication and authorization hygiene (best practices).

Les principes et modèles pour le périmètre du réseau existaient depuis des décennies.Principles and patterns for the network perimeter have been available for decades. En revanche, l’approche basée sur l'identité comme périmètre de sécurité principal n'est pas répandue dans l'industrie.In contrast, the industry has relatively less experience with using identity as the primary security perimeter. Cela étant dit, nous avons accumulé suffisamment d’expérience pour fournir des recommandations générales qui s'appliquent dans la pratique à presque tous les services PaaS.With that said, we have accumulated enough experience to provide some general recommendations that are proven in the field and apply to almost all PaaS services.

Voici les bonnes pratiques en matière de gestion du périmètre d’identité.The following are best practices for managing the identity perimeter.

Bonne pratique : sécurisez vos clés et informations d’identification pour sécuriser votre déploiement PaaS.Best practice: Secure your keys and credentials to secure your PaaS deployment.
Détail : La perte de clés ou d'informations d’identification est un problème courant.Detail: Losing keys and credentials is a common problem. Vous pouvez utiliser une solution centralisée où les clés et les secrets peuvent être stockés dans des modules de sécurité matériels (HSM).You can use a centralized solution where keys and secrets can be stored in hardware security modules (HSMs). Azure Key Vault sauvegarde vos clés et vos secrets en chiffrant les clés d’authentification, les clés de compte de stockage, les clés de chiffrement de données, les fichiers .pfx et les mots de passe à l’aide de clés protégées par des HSM.Azure Key Vault safeguards your keys and secrets by encrypting authentication keys, storage account keys, data encryption keys, .pfx files, and passwords using keys that are protected by HSMs.

Bonne pratique : ne placez pas vos informations d’identification et autres secrets dans le code source ni GitHub.Best practice: Don’t put credentials and other secrets in source code or GitHub.
Détail : la seule chose qui est pire que la perte de vos clés et informations d’identification serait qu’un tiers non autorisé y accède.Detail: The only thing worse than losing your keys and credentials is having an unauthorized party gain access to them. Des pirates peuvent tirer parti de technologies de robot pour rechercher les clés et les secrets stockés dans des référentiels de code, tels que GitHub.Attackers can take advantage of bot technologies to find keys and secrets stored in code repositories such as GitHub. Ne placez pas de clé ni de secrets dans ces référentiels de code publics.Do not put key and secrets in these public code repositories.

Bonne pratique : protégez vos interfaces de gestion de machine virtuelle sur les services hybrides PaaS et IaaS à l’aide d’une interface de gestion qui vous permet de gérer directement à distance ces machines virtuelles.Best practice: Protect your VM management interfaces on hybrid PaaS and IaaS services by using a management interface that enables you to remote manage these VMs directly.
Détail : des protocoles de gestion à distance tels que SSH, RDP et communication à distance PowerShell peuvent être utilisés.Detail: Remote management protocols such as SSH, RDP, and PowerShell remoting can be used. En règle générale, nous vous recommandons de ne pas activer l’accès à distance direct aux machines virtuelles à partir d’Internet.In general, we recommend that you do not enable direct remote access to VMs from the internet.

Si possible, utilisez d’autres approches, comme les réseaux privés virtuels dans un réseau virtuel Azure.If possible, use alternate approaches like using virtual private networks in an Azure virtual network. Si aucune autre approche n‘est disponible, assurez-vous d’utiliser des phrases secrètes complexes et l’authentification à deux facteurs (notamment Azure Multi-Factor Authentication).If alternative approaches are not available, ensure that you use complex passphrases and two-factor authentication (such as Azure Multi-Factor Authentication).

Bonne pratique : utilisez une authentification forte et des plateformes d’autorisation.Best practice: Use strong authentication and authorization platforms.
Détail : Utilisez des identités fédérées dans Azure AD au lieu des magasins d’utilisateurs personnalisés.Detail: Use federated identities in Azure AD instead of custom user stores. Lorsque vous utilisez des identités fédérées, vous tirez parti d'une approche basée sur une plateforme et vous déléguez la gestion des identités autorisées à vos partenaires.When you use federated identities, you take advantage of a platform-based approach and you delegate the management of authorized identities to your partners. Une approche d’identité fédérée est particulièrement importante quand le contrat de certains employés prend fin et que des informations doivent être répercutées sur plusieurs systèmes d’identité et d’autorisation.A federated identity approach is especially important when employees are terminated and that information needs to be reflected through multiple identity and authorization systems.

Utilisez les mécanismes d‘authentification et d‘autorisation fournis par les plateformes au lieu d‘un code personnalisé.Use platform-supplied authentication and authorization mechanisms instead of custom code. La raison est que le développement d'un code d’authentification personnalisé peut être sujet aux erreurs.The reason is that developing custom authentication code can be error prone. La plupart de vos développeurs ne sont pas des experts en sécurité et ont peu de chance d’être conscients des subtilités et des derniers développements dans les domaines de l’authentification et l’autorisation.Most of your developers are not security experts and are unlikely to be aware of the subtleties and the latest developments in authentication and authorization. Le code commercial (par exemple, de Microsoft) est souvent très contrôlé en ce qui concerne la sécurité.Commercial code (for example, from Microsoft) is often extensively security reviewed.

Utilisez une authentification à deux facteurs.Use two-factor authentication. L’authentification à deux facteurs est la norme actuelle pour l’authentification et l’autorisation, car elle évite les failles de sécurité inhérentes aux types d’authentification par nom d’utilisateur et mot de passe.Two-factor authentication is the current standard for authentication and authorization because it avoids the security weaknesses inherent in username and password types of authentication. L‘accès aux interfaces de gestion Azure (portail / PowerShell à distance) et aux services destinés aux clients doit être conçu et configuré pour utiliser Azure Multi-Factor Authentication.Access to both the Azure management (portal/remote PowerShell) interfaces and customer-facing services should be designed and configured to use Azure Multi-Factor Authentication.

Utilisez des protocoles d’authentification standard, tels qu'OAuth2 et Kerberos.Use standard authentication protocols, such as OAuth2 and Kerberos. Ces protocoles ont été largement contrôlés et sont probablement implémentés dans le cadre de vos bibliothèques de plateforme pour l’authentification et l’autorisation.These protocols have been extensively peer reviewed and are likely implemented as part of your platform libraries for authentication and authorization.

Utiliser la modélisation des menaces lors de la conception d’une applicationUse threat modeling during application design

Microsoft Security Development Lifecycle spécifie que les équipes doivent s’engager dans un processus appelé modélisation des menaces pendant la phase de conception.The Microsoft Security Development Lifecycle specifies that teams should engage in a process called threat modeling during the design phase. Pour faciliter ce processus, Microsoft a créé l’outil SDL de modélisation des menaces.To help facilitate this process, Microsoft has created the SDL Threat Modeling Tool. La modélisation de la conception de l’application et l’énumération des menaces STRIDE au-delà des limites d’approbation peuvent intercepter des erreurs de conception dès le début.Modeling the application design and enumerating STRIDE threats across all trust boundaries can catch design errors early on.

Le tableau suivant répertorie les menaces STRIDE et donne des exemples d’atténuation des risques que les fonctionnalités Azure utilisent.The following table lists the STRIDE threats and gives some example mitigations that use Azure features. Ces atténuations ne fonctionnent pas dans tous les cas.These mitigations won’t work in every situation.

MenaceThreat Propriété de sécuritéSecurity property Atténuation des risques pour la plateforme AzurePotential Azure platform mitigations
Usurpation d’identitéSpoofing AuthentificationAuthentication Exigez des connexions HTTPS.Require HTTPS connections.
FalsificationTampering IntégritéIntegrity Validez des certificats TLS/SSL.Validate TLS/SSL certificates.
RépudiationRepudiation Non-répudiationNon-repudiation Activez la surveillance et les diagnostics Azure.Enable Azure monitoring and diagnostics.
Divulgation d’informationsInformation disclosure ConfidentialitéConfidentiality Chiffrez les données sensibles au repos à l’aide de certificats de service.Encrypt sensitive data at rest by using service certificates.
Denial of service (déni de service)Denial of service DisponibilitéAvailability Surveillez les mesures de performances pour des conditions potentielles de déni de service.Monitor performance metrics for potential denial-of-service conditions. Implémentez des filtres de connexion.Implement connection filters.
Élévation de privilègeElevation of privilege AutorisationAuthorization Utilisez Privileged Identity Management.Use Privileged Identity Management.

Développer sur Azure App ServiceDevelop on Azure App Service

Azure App Service est une offre PaaS qui vous permet de créer des applications mobiles et web pour tout type d’appareil ou de plateforme, et de vous connecter à des données en tout lieu, dans le cloud ou localement.Azure App Service is a PaaS offering that lets you create web and mobile apps for any platform or device and connect to data anywhere, in the cloud or on-premises. App Service inclut les fonctionnalités web et mobiles qui étaient précédemment fournies séparément dans Sites Web Azure et Azure Mobile Services.App Service includes the web and mobile capabilities that were previously delivered separately as Azure Websites and Azure Mobile Services. Il inclut également de nouvelles fonctionnalités d’automatisation des processus d’entreprise et d’hébergement d’API cloud.It also includes new capabilities for automating business processes and hosting cloud APIs. App Service est un service intégré unique qui apporte un ensemble complet de fonctionnalités pour les scénarios web, mobiles et d’intégration.As a single integrated service, App Service brings a rich set of capabilities to web, mobile, and integration scenarios.

Voici les bonnes pratiques relatives à l’utilisation d’App Service.Following are best practices for using App Service.

Bonne pratique : S’authentifier par le biais d’Azure Active Directory (AD).Best practice: Authenticate through Azure Active Directory.
Détail : App Service fournit un service OAuth 2.0 pour votre fournisseur d’identité.Detail: App Service provides an OAuth 2.0 service for your identity provider. OAuth 2.0 privilégie la simplicité du développement client tout en fournissant des flux d’autorisation spécifiques pour les applications web, les applications de bureau et les téléphones mobiles.OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows for web applications, desktop applications, and mobile phones. Azure AD utilise OAuth 2.0 pour vous permettre d’autoriser l’accès aux applications mobiles et web.Azure AD uses OAuth 2.0 to enable you to authorize access to mobile and web applications.

Bonne pratique : Restreindre l’accès en fonction des principes du besoin de connaître et du privilège minimum.Best practice: Restrict access based on the need to know and least privilege security principles.
Détail : La restriction de l’accès est indispensable pour les organisations qui veulent appliquer des stratégies de sécurité portant sur l’accès aux données.Detail: Restricting access is imperative for organizations that want to enforce security policies for data access. Vous pouvez utiliser la fonction de contrôle d’accès en fonction du rôle (RBAC) pour affecter des autorisations aux utilisateurs, groupes et applications à une certaine étendue.You can use RBAC to assign permissions to users, groups, and applications at a certain scope. Pour en savoir plus sur l’octroi aux utilisateurs du droit d’accès aux applications, consultez Prise en main de la gestion des accès.To learn more about granting users access to applications, see Get started with access management.

Bonne pratique : Protégez vos clés.Best practice: Protect your keys.
Détail : Azure Key Vault permet de protéger les clés de chiffrement et les secrets utilisés par les services et les applications cloud.Detail: Azure Key Vault helps safeguard cryptographic keys and secrets that cloud applications and services use. Avec Key Vault, vous pouvez chiffrer les clés et les secrets (tels que les clés d’authentification, les clés de compte de stockage, les clés de chiffrement de données, les fichiers .PFX et les mots de passe) à l’aide de clés protégées par des modules de sécurité matériels (HSM).With Key Vault, you can encrypt keys and secrets (such as authentication keys, storage account keys, data encryption keys, .PFX files, and passwords) by using keys that are protected by hardware security modules (HSMs). Pour une meilleure garantie, vous pouvez importer ou générer des clés HSM.For added assurance, you can import or generate keys in HSMs. Pour en savoir plus, consultez Azure Key Vault.See Azure Key Vault to learn more. Vous pouvez également utiliser Key Vault pour gérer vos certificats TLS avec renouvellement automatique.You can also use Key Vault to manage your TLS certificates with auto-renewal.

Bonne pratique : Limitez les adresses IP source entrantes.Best practice: Restrict incoming source IP addresses.
Détail : App Service Environment propose une fonctionnalité d’intégration de réseau virtuel qui vous permet de limiter les adresses IP sources entrantes par le biais de groupes de sécurité réseau.Detail: App Service Environment has a virtual network integration feature that helps you restrict incoming source IP addresses through network security groups. Les réseaux virtuels vous permettent de placer des ressources Azure dans un réseau routable non-Internet auquel vous contrôlez l’accès.Virtual networks enable you to place Azure resources in a non-internet, routable network that you control access to. Pour en savoir plus, consultez Intégrer une application à un réseau virtuel Azure.To learn more, see Integrate your app with an Azure virtual network.

Bonne pratique : supervisez l’état de sécurité de vos environnements App Service.Best practice: Monitor the security state of your App Service environments.
Détail : utilisez Azure Security Center pour superviser vos environnements App Service.Detail: Use Azure Security Center to monitor your App Service environments. Lorsque Security Center identifie des failles de sécurité potentielles, il crée des recommandations qui vous guident tout au long du processus de configuration des contrôles nécessaires.When Security Center identifies potential security vulnerabilities, it creates recommendations that guide you through the process of configuring the needed controls.

Notes

La surveillance d’App Service est uniquement disponible en préversion, au niveau Standard dans Security Center.Monitoring App Service is in preview and available only on the Standard tier of Security Center.

Installer un pare-feu d’application webInstall a web application firewall

Les applications Web sont de plus en plus la cible d’attaques malveillantes qui exploitent des vulnérabilités connues.Web applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Les types d’attaques les plus courantes sont l’injection de code SQL, les attaques de script site à site, entre autres.Common among these exploits are SQL injection attacks, cross site scripting attacks to name a few. Empêcher ces attaques dans le code d’application peut se révéler difficile et nécessiter une maintenance rigoureuse, des mises à jour correctives ainsi que la surveillance au niveau d’un grand nombre de couches de la topologie de l’application.Preventing such attacks in application code can be challenging and may require rigorous maintenance, patching and monitoring at many layers of the application topology. Un pare-feu d’applications web centralisé facilite grandement la gestion de la sécurité et offre une meilleure garantie de protection aux administrateurs de l’application contre les menaces ou les intrusions.A centralized web application firewall helps make security management much simpler and gives better assurance to application administrators against threats or intrusions. Une solution WAF peut également réagir plus rapidement à une menace de sécurité en exécutant la mise à jour corrective d’une vulnérabilité connue dans un emplacement central plutôt que de sécuriser individuellement chacune des applications web.A WAF solution can also react to a security threat faster by patching a known vulnerability at a central location versus securing each of individual web applications. Les passerelles d’application existantes peuvent être facilement converties en une passerelle d’application avec un pare-feu d’applications web.Existing application gateways can be converted to a web application firewall enabled application gateway easily.

Le pare-feu d’application Web (WAF, Web Application Firewall) est une fonctionnalité d’Application Gateway qui protège vos applications web de manière centralisée contre les vulnérabilités et exploitations courantes.Web application firewall (WAF) is a feature of Application Gateway that provides centralized protection of your web applications from common exploits and vulnerabilities. WAF suit les règles des ensembles de règles de base OWASP (Open Web Application Security Project) 3.0 ou 2.2.9.WAF is based on rules from the Open Web Application Security Project (OWASP) core rule sets 3.0 or 2.2.9.

Surveiller les performances de vos applicationsMonitor the performance of your applications

La surveillance consiste à collecter et analyser des données afin de déterminer les performances, l’intégrité et la disponibilité de votre application.Monitoring is the act of collecting and analyzing data to determine the performance, health, and availability of your application. Une stratégie de surveillance efficace permet d’identifier le fonctionnement détaillé des composants de votre application.An effective monitoring strategy helps you understand the detailed operation of the components of your application. Elle vous permet d’augmenter votre temps d’activité en vous avertissant des problèmes critiques afin que vous puissiez les résoudre avant qu’ils ne deviennent effectifs.It helps you increase your uptime by notifying you of critical issues so that you can resolve them before they become problems. Elle vous aide également à détecter les anomalies susceptibles d’être liées à la sécurité.It also helps you detect anomalies that might be security related.

Utilisez Azure Application Insights pour surveiller la disponibilité, les performances et l’utilisation de votre application, qu’elle soit hébergée dans le cloud ou localement.Use Azure Application Insights to monitor availability, performance, and usage of your application, whether it's hosted in the cloud or on-premises. En utilisant Application Insights, vous pouvez rapidement identifier et diagnostiquer les erreurs dans votre application sans attendre qu’un utilisateur ne les signale.By using Application Insights, you can quickly identify and diagnose errors in your application without waiting for a user to report them. Grâce aux informations recueillies, vous pouvez prendre des décisions avisées quant à la maintenance et à l’amélioration de votre application.With the information that you collect, you can make informed choices on your application's maintenance and improvements.

Application Insights dispose d’outils complets pour interagir avec les données qu’il collecte.Application Insights has extensive tools for interacting with the data that it collects. Application Insights stocke ses données dans un référentiel commun.Application Insights stores its data in a common repository. Il peut tirer parti des fonctionnalités partagées telles que les alertes, les tableaux de bord et une analyse approfondie grâce au langage de requête du service Kusto.It can take advantage of shared functionality such as alerts, dashboards, and deep analysis with the Kusto query language.

Effectuer des tests d’intrusion sécurisésPerform security penetration testing

Le fait de valider les défenses de sécurité est aussi important que de tester toute autre fonctionnalité.Validating security defenses is as important as testing any other functionality. Intégrez les tests d’intrusion à vos processus de génération et de déploiement.Make penetration testing a standard part of your build and deployment process. Planifiez régulièrement des tests de sécurité et des analyses de vulnérabilité sur les applications déployées, et surveillez les ports ouverts, les points de terminaison et les attaques.Schedule regular security tests and vulnerability scanning on deployed applications, and monitor for open ports, endpoints, and attacks.

Les tests à données aléatoires (fuzzing) sont une méthode de recherche des défaillances de programmes (erreurs de code) permettant de fournir les données d’entrée incorrectes aux interfaces de programme (points d’entrée) qui analysent et utilisent ces données.Fuzz testing is a method for finding program failures (code errors) by supplying malformed input data to program interfaces (entry points) that parse and consume this data. La détection des risques de sécurité Microsoft est un outil informatique que vous pouvez utiliser pour rechercher des bogues et d’autres vulnérabilités de sécurité dans votre logiciel avant de le déployer vers Azure.Microsoft Security Risk Detection is a cloud-based tool that you can use to look for bugs and other security vulnerabilities in your software before you deploy it to Azure. L’outil est conçu pour intercepter les vulnérabilités avant de déployer le logiciel sans avoir besoin de corriger un bogue, de gérer les incidents ou de répondre à une attaque une fois que le logiciel est mis en production.The tool is designed to catch vulnerabilities before you deploy software so you don’t have to patch a bug, deal with crashes, or respond to an attack after the software is released.

Étapes suivantesNext steps

Dans cet article, nous avons vu les avantages d’un déploiement PaaS Azure et les bonnes pratiques en matière de sécurité relatives aux applications cloud.In this article, we focused on security advantages of an Azure PaaS deployment and security best practices for cloud applications. Découvrez ensuite les pratiques recommandées pour sécuriser vos solutions PaaS web et mobiles PaaS à l’aide de services Azure spécifiques.Next, learn recommended practices for securing your PaaS web and mobile solutions using specific Azure services. Nous allons commencer par Azure App Service, Azure SQL Database, Azure Synapse Analytics et Stockage Azure.We’ll start with Azure App Service, Azure SQL Database and Azure Synapse Analytics, and Azure Storage. Des liens seront fournis dans la liste suivante quand des articles sur les pratiques recommandées pour d’autres services Azure seront disponibles :As articles on recommended practices for other Azure services become available, links will be provided in the following list:

Consultez Développer des applications sécurisées sur Azure pour les questions de sécurité et les contrôles que vous devez prendre en compte à chaque phase du cycle de vie du développement logiciel lors du développement d’applications pour le cloud.See Developing secure applications on Azure for security questions and controls you should consider at each phase of the software development lifecycle when developing applications for the cloud.

Consultez l’article Bonnes pratiques et tendances Azure relatives à la sécurité pour découvrir d’autres bonnes pratiques en matière de sécurité à appliquer dans le cadre de la conception, du déploiement et de la gestion de vos solutions cloud avec Azure.See Azure security best practices and patterns for more security best practices to use when you’re designing, deploying, and managing your cloud solutions by using Azure.

Les ressources suivantes fournissent des informations générales sur la sécurité Azure et les services Microsoft associés :The following resources are available to provide more general information about Azure security and related Microsoft services: