Les principes fondamentaux de la sécurité du cloud Azure

Avec une part de marché qui avoisine les 20 % au total, le cloud Microsoft Azure est devenu un concurrent de premier plan sur le marché du cloud public ces dernières années. Dans le même temps, la question de la sécurité du cloud Azure est devenue un enjeu majeur pour de plus en plus d’entreprises.

Bien que la sécurité d’Azure se résume en grande partie aux mêmes pratiques et principes que la sécurité de n’importe quelle autre plateforme de cloud public, il existe des distinctions et des nuances importantes à connaître lors de l’élaboration d’une stratégie de sécurité pour Azure. Poursuivez votre lecture et obtenez un aperçu de ces détails. Nous vous présentons les principes fondamentaux de la sécurité du cloud Azure, suivis d’une discussion sur les meilleures pratiques en matière de sécurité avec Azure.

Modèle de responsabilité partagée sur Azure

Comme tous les clouds publics, Azure utilise un modèle de responsabilité partagée qui définit les tâches de sécurité qui incombent aux clients, et celles qu’Azure prend en charge. La compréhension des concepts de responsabilité partagée dans Azure est la première étape de l’élaboration d’une stratégie de sécurité du cloud Azure qui vous permet de gérer les responsabilités de sécurité qu’Azure ne supervise pas dans vos environnements cloud.

Azure expose les détails de son modèle de responsabilité partagée ici, mais ces détails peuvent être résumés comme suit :

• Azure assume la plupart des responsabilités en matière de sécurité pour les offres SaaS, à l’exception des données créées par les clients ou des applications qu’ils déploient sur un service SaaS.
• Les clients partagent avec Azure la responsabilité de sécuriser les workloads déployés sur les services PaaS Azure. Dans ce contexte, Azure sécurise l’infrastructure physique sous-jacente, mais la plupart des responsabilités liées à la mise en réseau et à la gestion des identités et des accès incombent aux clients.
• Sur les services IaaS d’Azure, les clients se chargent de la plupart des tâches de sécurité. Une exception : l’infrastructure physique sous-jacente, qu’Azure sécurise.
• Si les clients intègrent une infrastructure, des applications ou des données on-premises à Azure via l’une des structures de cloud hybride d’Azure (telles qu’Azure Stack ou Azure Arc), ils assument l’entière responsabilité de la sécurisation des ressources on-premises.

Si les modèles de responsabilité partagée dans le cloud en général vous parlent, tout ce qui précède ne devrait pas vous surprendre. L’architecture à responsabilité partagée d’Azure est très cohérente avec les modèles adoptés par d’autres grands fournisseurs de clouds publics.

Meilleures pratiques de sécurité cloud Azure

Une fois que vous avez identifié les responsabilités en matière de sécurité qui vous incombent en fonction des types de services de cloud Azure que vous utilisez, vous pouvez planifier une stratégie de sécurité Azure qui vous permet de remplir vos obligations en matière de sécurité.

Meilleures pratiques de sécurité cloud standard

La plupart des meilleures pratiques que vous voudrez suivre à cet égard sont standard pour la sécurisation de tout environnement de cloud public important. En voici une sélection :

• Utilisez IAM : la gestion des identités et des accès, ou IAM, est un outil fondamental pour sécuriser les workloads dans tout cloud public. Si vous utilisez Azure, veillez à utiliser pleinement son framework IAM pour gérer l’accès à vos ressources cloud sur la base du principe du moindre privilège. Comme nous l’expliquons ci-dessous, Azure IAM fonctionne un peu différemment des autres IAM dans le cloud car il est basé sur Active Directory, mais vous pouvez néanmoins réaliser les mêmes configurations de contrôle d’accès granulaires sur Azure que celles que vous pourriez appliquer sur n’importe quel cloud public majeur.
• Isolez les réseaux dans le cloud : dans la mesure du possible, utilisez les réseaux virtuels Azure et les clouds privés pour isoler vos environnements cloud au niveau du réseau. Ces services ne sont pas disponibles pour tous les types de workloads Azure, mais la plupart des workloads basés sur IaaS et PaaS (et certains workloads basés sur SaaS également) peuvent être isolés dans des réseaux privés ou des clouds privés virtuels.
• Utilisation des balises de cloud : comme la plupart des autres clouds, Azure vous permet de baliser et d’organiser les ressources à l’aide de balises. Bien que les ressources cloud qui n’ont pas de balises ne soient pas nécessairement non sécurisées, les balises sont bénéfiques du point de vue de la sécurité car elles facilitent le suivi des ressources cloud que vous utilisez et de leur emplacement. En retour, elles permettent de s’assurer que vous ne négligez pas certains workloads lors de la configuration des contrôles d’accès, de l’audit de votre environnement cloud, etc.
• Sécurisez les données Azure : outre l’utilisation d’Azure IAM pour gérer l’accès aux données que vous stockez dans Azure Blob Storage ou d’autres services de stockage au sein d’Azure, vous devez chiffrer vos données dans le cloud ainsi que les couches de transport que vous utilisez pour accéder aux données. Azure propose également une fonction de verrouillage du compte de stockage, qui est utile pour empêcher toute altération non autorisée des données du cloud.

Considérations particulières en matière de sécurité pour Azure

Au-delà des meilleures pratiques génériques en matière de sécurité du cloud, il existe certaines considérations spécifiques à Azure dont vous devez tenir compte dans votre stratégie de sécurité du cloud Azure :

• Comprendre Azure IAM : comme nous l’avons mentionné plus haut, le système IAM d’Azure se distingue des principaux clouds publics car il est basé sur Microsoft Active Directory. Vous pouvez configurer et appliquer des politiques d’accès très efficaces à l’aide d’Azure IAM, mais les politiques sont rédigées et gérées différemment de celles des clouds comme AWS. Si vous n’avez pas travaillé avec Active Directory auparavant, passez un peu de temps à vous renseigner sur Azure Active Directory et son rôle dans l’IAM du cloud Azure.
• Utilisez les services de cloud hybride à bon escient : ces dernières années, Azure a beaucoup investi dans ses offres de cloud hybride avec l’introduction d’Azure Stack et d’Azure Arc, qui permettent tous deux aux clients de gérer une infrastructure on-premises ou en colocation par le biais d’Azure. Comme indiqué plus haut, Azure attend de ses clients qu’ils gèrent la plupart des risques de sécurité sur l’infrastructure privée. Il est donc important de ne pas supposer à tort que, parce qu’Azure gère votre infrastructure privée, il la sécurise également.
• Outils de sécurité Azure : Azure fournit certains outils de sécurité spécifiques au cloud pour aider les utilisateurs à sécuriser et à auditer les workloads. Les deux plus importants sont Azure Security Center et Azure Defender (qui fait techniquement partie d’Azure Security Center, mais fonctionne comme un service distinct). Ces services sont utiles pour configurer et gérer les alertes liées aux événements et aux risques de sécurité à la fois sur Azure en soi et sur les environnements de cloud hybride qui incluent Azure. Bien que vous souhaitiez généralement utiliser des outils de sécurité externes pour gérer les risques que les services natifs d’Azure ne peuvent pas gérer, vous devez vous familiariser avec les services de sécurité de base qu’Azure fournit en mode natif.

Sécuriser des containers sur Azure

Les services de containers étant devenus l’une des offres de produits les plus importantes d’Azure, il est utile de dire quelques mots sur la manière de gérer la sécurité des containers sur Azure.

Il s’agit d’un sujet complexe car Azure fournit plusieurs services de containers. Les plus notables sont les suivants :

• Azure Kubernetes Services, ou AKS, un service Kubernetes géré.
• Azure Container Instances, un service de containers géré qui ne nécessite pas que les utilisateurs travaillent avec Kubernetes ou un autre service d’orchestration.
• Azure Red Hat OpenShift, un service OpenShift géré. (OpenShift est basé sur Kubernetes, mais ne lui est pas identique).
• Azure Web App for Containers, qui permet aux utilisateurs de déployer rapidement des containers sans avoir à gérer eux-mêmes l’orchestration ou l’infrastructure.

La sécurisation des containers sur Azure dépend en grande partie des services que vous choisissez d’utiliser. Mais en général, les meilleures pratiques pour la sécurité des containers Azure sont les suivantes :

• Analysez les images de containers, car Azure ne détectera pas automatiquement les vulnérabilités ou les logiciels malveillants dans vos images pour vous.
• Gérez l’accès aux registres de containers, que vous utilisiez le service de registre de containers natif d’Azure ou un registre tiers.
• Si votre environnement de containers comprend Kubernetes, utilisez les journaux d’audit Kubernetes, RBAC et les contextes de sécurité pour aider à sécuriser l’environnement. Ceci est important même si vous utilisez un service Kubernetes géré comme AKS. Sur AKS, Azure ne sécurise principalement que l’infrastructure du cluster ; la responsabilité de la sécurisation de Kubernetes lui-même, et des containers qui y sont déployés, incombe au client.
• Auditez vos données de configuration de containers et de Kubernetes, vos déploiements et d’autres fichiers pour détecter les anomalies de configurations qui pourraient entraîner une faible posture de sécurité.

Conclusion

En tant que l’une des plus grandes plateformes de cloud au monde, Azure propose des dizaines de services cloud qui peuvent être déployés dans le cadre de modèles de cloud simple, multi-cloud ou hybride. Toute cette complexité signifie qu’il n’existe pas de formule simple pour sécuriser les environnements cloud Azure.

Toutefois, en identifiant les risques de sécurité que vous devez gérer en fonction des services Azure que vous utilisez, puis en déployant des outils capables de renforcer ces services contre les attaques et de détecter les violations lorsqu’elles se produisent, vous vous préparez à adopter la posture de sécurité la plus solide possible pour le cloud Azure.