La maintenance informatique est une fenêtre nécessaire dans laquelle un service est volontairement indisponible et annoncé en amont. Les architectures basées sur des services Azure n’échappent pas à cette règle car il est toujours nécessaire d’effectuer des maintenances régulières pour des sauvegardes, des mises à jour, des refontes, des réplications, …
Dans cet article, nous allons nous intéresser une nouvelle fonctionnalité disponible sous Azure Virtual Desktop. Encore en préversion à l’heure où ces lignes sont écrites, elle permet de gérer les périodes de mise à jour des agents AVD sur les machines virtuelles qui composent votre pool d’hôtes.
Qu’est qu’un agent AVD ?
Un environnement Azure Virtual Desktop est composée d’une ou plusieurs machines virtuelles. Pour que la communication entre le contrôleur de structure Azure et ces dernières soit assurée, un agent est présent sur chaque machine virtuelle. Un tour dans les programmes installés nous montre tout cela :
L’installation de ces agents est entièrement transparente si la création de la machine virtuelle est réalisée depuis le portail Azure. Si vous créez la machine virtuelle via un script PowerShell, vous devrez alors télécharger et installer manuellement les fichiers MSI.
Quand est-ce que l’agent AVD est mis à jour ?
Avant l’apparition de cette nouvelle fonctionnalité, l’agent AVD se mettait à jour à son rythme sans logique particulière. A ce ceci près qu’il existait une option ayant un impact sur le rythme de mise à jour : environnement de validation.
Qu’est-ce que l’environnement de validation ?
Nous (Microsoft) vous recommandons vivement de créer un pool d’hôtes de validation dans lequel les mises à jour de service seront appliquées en premier. Les pools d’hôtes de validation vous permettent de superviser les mises à jour de service avant que celui-ci ne les applique à votre environnement standard ou de non-validation. Sans pool d’hôtes de validation, vous risquez de ne pas détecter les modifications qui génèrent des erreurs, ce qui peut entraîner des temps d’arrêt pour les utilisateurs de votre environnement standard.
Autrement dit, la mise à jour est orientée en premier lieu vers les pools d’hôtes marqués comme environnement de validation. Une fois la mise à jour déployée avec succès en grand nombre sur des environnements de validation, elle est aussi installée sur les machines virtuelles d’environnements AVD de production.
De manière générale, un environnement de validation a tout son sens dans une solution de bureau à distance car il apporte une couche supplémentaire de tests via des utilisateurs spécifiques et évite ainsi un déploiement pouvant provoquer un blocage massif.
Mises à jour planifiées de l’agent
Toujours dans la volonté d’apporter une meilleure maîtrise de l’environnement Azure Virtual Desktop, Microsoft introduit la fonctionnalité de planification. Celle-ci ne concerne que la mise à jour de l’agent AVD présent sur les machines virtuelles du pool d’hôtes.
Comme vous allez le voir dans les écrans ci-dessous, cette option se configure au niveau du pool d’hôtes et impacte alors toutes les machines virtuelles rattachées de la même manière.
Via le portail Azure, rendez-vous sur votre pool d’hôtes et cliquez sur Mises à jour programmées des agents :
Cliquez sur la case ci-dessous pour activer la gestion manuelle des mises à jour :
Il vous est alors possible de définir une ou deux fenêtres de maintenance. Comme indiqué sur la page, 4 tentatives de mise à jour seront effectuées avant que celle-ci soit reportée la prochaine fois que les hôtes de session seront allumés.
Commencez par définir le fuseau horaire. Vous avez le choix entre celui employé par la machine virtuelle ou un parmi la liste déroulante :
Définissez le jour et l’heure de la première fenêtre de mise à jour :
Ajoutez au besoin une seconde fenêtre de mise à jour :
Enfin cliquez pour appliquer la configuration :
Et c’est tout ! ????
Conclusion
Azure Virtual Desktop continue son chemin et évolue en permanence ????. Pour rester sur ce sujet, retrouvez la vidéo très bien expliquée faite par Dean de l’Azure Academy. Dean y aborde également la possibilité de consulter l’historique des mises à jour installées via l’utilisation du Log Analytics Workspace d’Azure :
Ce billet est le second d’une série dédiée à l’optimisation sur Azure. Le premier article était dédié aux coûts générés dans le Cloud Microsoft, et les astuces pour en diminuer sa facture. Comme le titre l’indique ici, celui-ci est dédié à la sécurité sur Azure.
L’objectif de cet article n’est pas vendre ou de démontrer la sécurité absolue, mais de mettre en lumière des réflexions, des postures ou encore des mesures de sécurité essentielles. Ces actions augmenteront la sécurité sur Azure et diminueront les risques.
Enfin, nous aborderons aussi les certifications Microsoft, spécifiquement dédiées à ce sujet.
Etape I – Importants concepts de sécurité
Pour bien situer notre sujet, il n’est pas inutile de rappeler deux notions importantes.
Notion A : Défense en profondeur
Retenez bien ceci : Quel que soit l’environnement informatique, le principe de sécurité en couche s’applique. Comme un oignon, chaque couche de sécurité apporte des mesures, passives ou actives, empêchant ou retardant l’accès à la donnée, élément critique de toute entreprise :
Une architecture Cloud n’échappe pas non plus à cette règle, il est faux de penser que les solutions d’hébergement publics sont toutes à 100% protégées. Les mesures et l’intelligence dédiée à la sécurité y seront certes plus avancées, mais elles passeront par obligatoirement par votre contribution.
Dans le cadre d’Azure, Microsoft prend à sa charge la sécurité en relation avec les premières couches, votre rôle va alors dépendre du service utilisé (IaaS, PaaS, SaaS). Il est donc important d’adapter sa stratégie selon les services déployés :
Prenons l’exemple d’une machine virtuelle sur Azure (IaaS), il est de votre responsabilité de mettre en place les correctifs, de sécuriser le système d’exploitation et d’installer les mises à jour logicielles adéquates. Il en va aussi de même pour la partie réseau de cette machine virtuelle, en y apportant des mesures de sécurité adaptées (Firewall, VPN, NSG, …)
Dans le cadre de l’utilisation d’un service (PaaS), certaines mesures de sécurité sont prises en charge par Microsoft. Par exemple, Azure se charge du système d’exploitation et de certains services comme les moteurs de base de données.
Notion B : Zéro Trust
La définition de ce concept peut se résumer en quelques mots :
Voici une première vidéo pour aller plus loin sur Zéro Trust :
Comme pour la défense en profondeur, les identités, les périphériques, les applications, le réseau, l’infrastructure et les données sont tous des maillons critiques de la chaîne Zéro Trust. Le périmètre de contrôle est horizontal car il impacte tous ces domaines :
Comme le montre le schéma ci-dessous, le canal d’authentification est renforcé et appliqué en tout temps et dans toutes les circonstances.
Comment aborder la sécurité sur Azure ?
La protection de votre environnement Cloud nécessite de s’occuper des identités, des données, des applications, de l’infrastructure, …
Grâce aux outils de sécurité intégrés à Azure, mettez en œuvre une stratégie de défense en profondeur par couche, unifiez la gestion de la sécurité et générez une protection avancée contre les menaces.
Une attaque plus difficile est plus coûteuse. Le piratage reste un business : plus l’attaque nécessitera de moyens pour réussir, plus elle aura de chances d’être moins rentable et donc de ne pas aller à son terme.
Pour des questions de clarté de lecture, j’ai donc scindé les chapitres suivants dans différents articles afin de vous y retrouver plus facilement dans ce qui vous intéresse :
Historiquement, deux certifications Sécurité étaient présentes. Chacune représentait un pan du Cloud Microsoft : Modern Work Place & Azure.
MS-500 : Les Administrateurs de la sécurité Microsoft 365 sont chargés de sécuriser de manière proactive les environnements d’entreprise et hybrides Microsoft 365, de mettre en œuvre et de gérer les solutions de sécurité et de conformité, de répondre aux menaces et de faire appliquer la gouvernance des données.
Autrement dit, le but est de maîtriser la sécurité d’un environnement Microsoft 365, au travers de tous les outils de collaboration : Teams, Outlook, SharePoint, OneDrive, … Aucun mystère, beaucoup de travail et de connaissances sont à prévoir dans les différents outils 365.
AZ-500 : Les Ingénieurs Sécurité Azure sont chargés de maintenir l’état de la sécurité, d’identifier et de corriger les vulnérabilités, d’effectuer une modélisation des menaces, de mettre en œuvre une protection contre les menaces et de répondre aux escalades des incidents de sécurité.
La racine AZ dans le nom de la certification nous indique que son périmètre se porte sur Azure. Presque tous les composants disponibles sur Azure disposent de fonctionnalités natives de sécurité, activables ou non selon les besoins. Le but de cette certification est de valider les connaissances sur la maîtrise des différents outils et mesures de sécurité.
Pourquoi créer de nouvelles certifications Microsoft dédiées à la sécurité ?
Cette approche de Microsoft fut un premier pas pour couvrir l’apprentissage des grandes mesures de sécurité sur le Cloud. Depuis, la sécurité reste une préoccupation majeure pour Microsoft comme pour tous les autres acteurs du marché.
Du côté client, un besoin d’outils toujours plus performants et des formations adaptées aux équipes de sécurité sont demandés. Pour cela, Microsoft a décidé d’étoffer son apprentissage via ces nouvelles certifications dédiées à la sécurité :
SC-900 : Certification de niveau fondamental apportant les bases et les concepts de la sécurité, de la conformité et de l’identité. Elle permet de mieux comprendre les fonctionnalités des solutions Microsoft de gestion des identités et des accès. Voici mon article sur celle-ci.
SC-400 : Certification de niveau intermédiaire, la SC-400 apporte une expertise sur les moyens de protection de l’information dans un environnement Microsoft 365. Il est question de savoir mettre en œuvre des mesures de prévention contre la perte de données, de protection d’informations sensibles et de politique de conservation des données.
SC-300 : Certification de niveau intermédiaire, la SC-300 fait la part belle à la sécurité sur Azure Active Directory (Azure AD). Autant vous dire que les sujets sont vastes, en rapport avec l’importance de la gestion identité. Probablement une des certifications les plus intéressante que j’ai eu à passer. Voici là encore mon article sur celle-ci.
SC-200 : Certification de niveau intermédiaire. La gestion, le monitoring et la réponse aux menaces fait partie du quotidien des équipes de sécurité. Les principaux outils à connaitre sont Microsoft Sentinel, Microsoft Defender for Cloud, Microsoft 365 Defender. Voici également mon article sur celle-ci.
SC-100 : Certification de niveau expert, elle est encore en version beta à l’heure où ces lignes sont écrites. Le spectre de connaissances est très large : l’ingénierie de la sécurité, notamment l’identité et l’accès, la protection des plateformes, les opérations de sécurité, la sécurisation des données et la sécurisation des applications. Les personnes certifiées doivent également être familiarisées avec la sécurité dans les environnements hybrides.
Bref que du bonheur ????
Conclusion
Microsoft nous montre encore une fois l’important de la sécurité, présente partout et en tout temps. Il est donc important de mettre en oeuvre un certain nombre de mesures, mais de former régulièrement les équipes aux évolutions des attaques pour au mieux les déjouer, ou les minimiser au pire.
La donnée est une valeur critique pour tout entreprise. L’impact des ransomwares entraînant des blocages complets de productivité n’est plus à démontrer. Les attaques contre des hôpitaux montre l’absence de moralité et le large spectre pour les attaquants. De plus, le respect des normes (ex. respect de la vie privée) ou en regard avec le secteur concerné élève toujours plus haut le besoin de maîtriser la sécurité des données.
Microsoft Purview est une solution unifiée de gouvernance des données qui vous aide à gérer et à gouverner vos données sur site, multicloud et SaaS (Software-as-a-Service). Créez facilement une carte holistique et actualisée de votre paysage de données avec la découverte automatisée de données, la classification des données sensibles et le lignage des données de bout en bout. Permettez aux consommateurs de données d’accéder à une gestion des données précieuse et fiable.
La donnée est une des valeurs les plus importantes pour une entreprise. Que celle-ci porte sur des secrets industriels, des informations clients ou des mesures financières, il est toujours nécessaire de l’appréhender selon ces 3 actions :
Connaissez vos données : toutes les données n’ont pas le même impact et ne doivent donc pas être protégées de la même manière. La connaissance des données à protéger apporte une meilleure connaissance des risques possibles. Par exemple, des données personnelles peuvent être chiffrées et/ou supprimées pour le respect de certaines normes.
Protégez vos données : Une fois la donnée identifiée, différentes mesures de protection sont applicables à celle-ci. Un autre exemple est la restriction d’accès. Tous les salariés d’une entreprise n’ont pas besoin de voir toutes les données de celle-ci. La gestion granulaire des droits et la vérification régulière de leur utilité apporte un gage de sécurité supplémentaire.
Prévenez la fuite de données : La donnée doit en accès restreint. Un partage interne / externe de données sensibles doit être empêché ou alerté. L’utilisation de labels de sensibilité est une bonne méthode pour y appliquer des règles particulières selon le type de données.
Cycle de vie de la donnée
Les données ne sont pas créées de manière égale. Certaines données sont plus sensibles et nécessitent un niveau de protection et de contrôle plus fort que d’autres types.
Les types d’informations à protéger dépendent de vos exigences de sécurité internes et de vos obligations de conformité.
Chaque organisation peut avoir des normes de gouvernance ou de conformité différentes, il est important de permettre la personnalisation des politiques de classification.
Finalement, les fonctions de classification des données vous aident à mieux comprendre ce qui est utilisé, afin que vous puissiez mettre en place les bonnes politiques pour les protéger et les gérer.
Protection de la donnée
L’étiquetage de la donnée est indispensable pour comprendre d’où elle vient et où elle part, la protéger quel que soit l’endroit où elle se trouve durant le transit, la conserver et la supprimer selon chaque finalité. Pour cela, l’affectation d’étiquettes de sensibilité, des étiquettes de conservation et une classification par type d’information sensible.
Il existe plusieurs façons de procéder à la découverte, à l’évaluation et au marquage, mais le résultat attendu est de voir un très grand nombre de documents et de courriels marqués et classés avec des étiquettes.
Après avoir appliqué vos étiquettes de conservation et de sensibilité, il est possible de voir comment les étiquettes sont utilisées dans votre tenant et ce qui est fait avec ces éléments, comme par exemple :
Le nombre d’éléments qui ont été classés comme un type d’information sensible
Les étiquettes de sensibilité les plus appliquées
Les étiquettes de conservation les plus appliquées
Un résumé des activités que les utilisateurs effectuent sur votre contenu sensible
Les emplacements de vos données sensibles et conservées
Compliance Secure Score
Comme pour Defender for Cloud, Microsoft apporte un score de sécurité dédié au Compliance Manager. Ce score est le reflet des actions d’amélioration recommandées par Microsoft. Votre score peut vous aider à comprendre votre situation actuelle en matière de conformité. Il peut également vous aider à prioriser les actions en fonction de leur potentiel de réduction des risques.
Comme pour les autres sections, voici une liste non exhaustive de différents outils de protection des ressources créées sur Azure.
Azure Advisor
Je vous avais déjà signalé que cet outil prodiguait gratuitement quelques conseils pour réaliser des économies sur votre architecture Cloud. Azure Advisor va plus loin en proposant également des conseils de sécurité.
Comme les autres recommandations, celles de sécurité sont classifiées selon l’impact et le risque sécuritaire.
Un clic sur les 21 recommandations listées dans mon tenant nous en affiche le détail :
Les premières recommandations sont pleines de bon sens :
Trop de propriétaires pour le(s) souscription(s) Azure
Activation si besoin de Microsoft Defender
Activation de la MFA pour les comptes propriétaires ????
Certaines sont à prendre avec plus de recul, comme par exemple celle-ci :
Azure Advisor autorise les exceptions après analyse du conseil.
Comme beaucoup de services sous Azure, le coût peut être un frein selon l’usage :
Dans certains cas, Azure Advisor proposera même de « corriger » à votre place la recommandation de sécurité :
Defender for Cloud (Anciennement Azure Security Center + Azure Defender)
Microsoft a renommé ce service lors du dernier Ignite en 2021. Microsoft Defender for Cloud est une solution comportant deux aspects majeurs :
Gestion de la posture de sécurité cloud (CSPM) : identifie les faiblesses dans votre architecture cloud, aide à renforcer la posture de sécurité globale de votre environnement (IaaS, PaaS, SaaS).
Protection de la charge de travail cloud (CWP). Créer une protection des charges de travail (machine virtuelle, stockage, Kubernetes, SQL, …) dans des environnements multiclouds ou hybrides contre les menaces.
Historiquement, il existait déjà ces deux services, l’un gratuit (Azure Security Center) et l’autre payant (Azure Defender), couvrant approximativement le même périmètre. Voici un schéma pour comprendre cette évolution :
Posture de sécurité pour Microsoft Defender pour le cloud
Déjà disponible sous un ancien nom Azure Secure Score, Defender for Cloud reprend le même principe grâce l’évolution permanente des caractéristiques de sécurité des ressources Azure. Chaque point de faiblesse et alors valorisé pour établir le score de sécurité de l’architecture : plus le score est élevé, plus le niveau de risque identifié par Microsoft est faible.
Azure Defender for Server
Microsoft Defender pour les serveurs fournit la détection des menaces ainsi que des défenses avancées à vos machines Windows et Linux, qu’elles s’exécutent dans Azure, AWS, GCP ou localement. Microsoft Defender pour les serveurs est disponible dans deux plans :
Autrement dit, l’intégration d’une ressource dans Microsoft Defender active un grand nombre de mesures de sécurité (capteurs de faille, évaluation des vulnérabilités, threat intelligence, …), mais apporte également la possibilité de piloter ses alertes et ses incidents depuis le centre de sécurité Microsoft.
Deux plans sontmaintenant disponibles selon le serveur concerné et les fonctionnalités recherchées. Le plan 2 correspond à l’ancien plan appelé Defender for Server :
La liste des avantages de Defender for Server se trouve ici.
Particularité Azure :
Il est aussi possible d’intégrer un serveur protégé par Defender for Cloud dans Microsoft Defender sans aucun surcoût ! Prenez le temps de lire attentivement l’article suivant, mettant en lumière les différences entre Defender for Cloud et Defender for server, mais aussi leurs possibilités d’intégration commune.
Et enfin un autre article pour la mise en place juste ici.
Azure Backup
Azure Backup est un service de sauvegarde apportant une couche de sécurité supplémentaire en cas de perte ou de corruption de donnée. Ce service est payant et est en supplément dans la plupart des cas, mais peut être déjà intégré dans le cout de certains services PaaS (App service, MySQL, …). Comme le montre le schéma ci-dessous :
Azure Backup Center pilote les sauvegardes effectuées dans les différents coffres de sauvegarde ou coffres de restauration.
Le choix du nombre de sauvegardes est accessible lors de la mise en place de cette dernière
Il est même possible de sauvegarder des ressources en dehors Azure afin de garantir une copie complète de toutes les données d’entreprise.
Azure Disaster Recovery
La sauvegarde de données n’est pas un gage systématique de reprise d’activité après sinistre. Pour cela, des solutions dédiées sont mises en place et interviennent en parallèle du cycle de sauvegarde.
Le schéma d’architecture ci-dessous montre la réplication des services entre deux régions Azure :
Les machines virtuelles présentes dans la seconde région Azure ne seront allumées que lors que failover est déclenché.
La synchronisation des données est pilotée par le service Azure Site Recovery. Des disques réplicas sont créés et facturés dans la seconde région. Il en est de même pour les bases de données répliquées. A l’inverse, les machines virtuelles ne sont pas démarrées, ce qui en réduit le coût opérationnel de la seconde région.
Retrouvez mon article sur la mise en place de ce service sur une architecture Azure Virtual Desktop.
Verrous Azure
Comment protéger les ressources Azure d’une simple suppression accidentelle ?
Il arrive que les droits utilisateurs soient justifiés, mais qu’une simple erreur d’inattention provoque de gros dégâts dans l’architecture Azure. Les verrous d’Azure sont là pour ça !
Les verrous Azure sont des composants gratuits et paramétrables sur différents niveaux :
Souscription Azure
Groupe de ressource
Azure
Les verrous Azure fonctionnent aussi par héritage et provoque deux types de blocage :
CanNotDelete signifie que les utilisateurs autorisés peuvent lire et modifier une ressource, mais qu’ils ne peuvent pas la supprimer.
ReadOnly signifie que les utilisateurs autorisés peuvent lire une ressource, mais ne pas la supprimer ni la mettre à jour. Appliquer ce verrou revient à limiter à tous les utilisateurs autorisés les autorisations fournies par le rôle Lecteur.
Comme vous le savez déjà, la gestion identitaire d’Azure passe par Azure Active Directory (Azure AD). La sécurisation d’environnement Azure passe donc avant tout par celui-ci.
Microsoft propose donc un grand nombre d’outils combinables pour renforcer la sécurité des identités d’Azure AD. Certains sont disponibles gratuitement, tandis que d’autres nécessiteront une licence par utilisateur.
J’ai en sélectionné plusieurs dans mon article. L’ordre des outils présentés n’est pas nécessairement un ordre de mise en place.
Gouvernance des identités Azure AD (Azure AD Identity Governance)
Afin de garder la main sur les identités dans la durée, la gouvernance des identités est une excellente solution pour clôturer les accès inutiles ou périmés. Microsoft nous explique comment il faut voir cela :
La gestion du cycle de vie des identités constitue le fondement d’Identity Governance. Une gouvernance efficace à grande échelle implique la modernisation de l’infrastructure de gestion du cycle de vie des identités pour les applications.
Gestion des rôles Azure / Azure AD (Role-Based Access Control – RBAC)
L’attribution permanente de rôles Azure / Azure AD est gratuite et très pratique. Mais en tant que premier gage de sécurité pour les identités, il est primordial de ne distribuer les rôles qu’en fonction des vrais besoins, en partant toujours de l’attribution minimale des droits dans le temps.
Avec Azure RBAC, vous pouvez séparer les tâches au sein de votre équipe et accorder aux utilisateurs uniquement les accès nécessaires pour accomplir leur travail. Lorsque vous planifiez votre stratégie de contrôle d’accès, vous pouvez accorder aux utilisateurs les privilèges minimaux pour effectuer leur travail. Évitez d’attribuer des rôles plus larges à des étendues plus importantes, même s’ils semblent plus pratiques dans un premier temps.
Authentification multifacteur (Azure AD Multi-Factor Authentication – MFA)
L’utilisation d’un mot de passe uniquement ne protège pas complètement des attaques. Si le mot de passe est faible ou s’il a été exposé ailleurs, un attaquant peut l’utiliser pour y accéder. Quand vous exigez une deuxième forme d’authentification, la sécurité est renforcée parce que ce facteur supplémentaire n’est pas un élément qu’un attaquant peut facilement obtenir ou dupliquer.
La MFA propose donc d’aller plus loin que le couple classique identifiant / mot de passe. L’authentification multifacteur d’Azure AD impose de mettre en place les 3 méthodes d’authentification suivantes :
Un élément que vous connaissez (ex. mot de passe)
Un élément que vous possédez (ex. un appareil de confiance, comme un smartphone)
Un élément qui vous définit : (ex. identifiant biométrique, tel qu’une empreinte digitale)
Ecran de configuration utilisateur pour configurer la sécurité MFA
L’authentification multifacteur est approche de sécurité combinable avec un accès conditionnel. La mise en place d’une stratégie d’accès conditionnel via l’exploitation de signaux renforce la sécurité :
Les stratégies d’accès conditionnel, dans leur forme la plus simple, sont des instructions Si-Alors : si un utilisateur souhaite accéder à une ressource, il doit effectuer une action. Exemple : Un responsable paie souhaite accéder à l’application de paie et il doit effectuer une authentification multifacteur pour y accéder.
Risque potentiel (Faible, Moyen ou Haut). Signal propre Azure AD Identity Protection
Une fois les signaux pris en compte, une décision en résulte :
Bloquer l’accès
Accorder l’accès avec une ou des conditions suivantes : exiger une authentification multifacteur, que l’appareil soit marqué comme conforme, que l’appareil soit joint à Azure AD en mode hybride, …
L’accès conditionnel ne finit pas systématiquement à la connexion, il peut encore continuer au sein même de l’application cible via des restrictions fonctionnelles.
Protection de l’identité (Azure AD Identity Protection)
Pour protéger vos utilisateurs, Azure AD Identity Protection s’appuie sur les connaissances acquises par Microsoft au niveau des organisations avec Azure AD, de l’espace grand public avec les comptes Microsoft et des jeux avec Xbox. Microsoft analyse 6 500 milliards de signaux par jour pour identifier les menaces et protéger les clients.
Comme le montre le schéma ci-dessous, Azure AD Identity Protection est lui aussi un composant utilisable dans un stratégie d’accès conditionnel :
Chaque jour, nos systèmes d’apprentissage automatique et heuristiques fournissent des scores de risque pour 18 milliards de tentatives de connexion correspondant à plus de 800 millions de comptes distincts, dont 300 millions relèvent de manière perceptible d’adversaires (entités telles que des auteurs malveillants et des pirates informatiques).
Mais ce n’est pas tout, son analyse est aussi exportable et intégrable dans un outil SIEM (Security Information and Event Management) pour un examen et une exploitation plus poussés.
Une revue d’accès est un examen, généralement périodique, des besoins d’accès à une ressource. Ce dernier est réalisé en auto-contrôle ou par supervision.
Azure AD permet aux organisations de gérer efficacement les appartenances à des groupes, l’accès aux applications d’entreprise et l’attribution de rôles. L’accès des utilisateurs peut donc être revu régulièrement pour s’assurer que seules les bonnes personnes ont encore un accès :
Pourquoi les révisions d’accès périodiques sont-elles si importantes ?
Azure AD vous permet de collaborer avec des utilisateurs à l’intérieur de votre organisation ainsi qu’avec des utilisateurs externes. Les utilisateurs peuvent se joindre à des groupes, inviter des personnes, se connecter à des applications cloud et travailler à distance à partir de leurs appareils personnels ou professionnels. L’intérêt d’utiliser le libre-service a conduit à la nécessité d’avoir de meilleures fonctionnalités de gestion des accès.
Gestion des identités privilégiées (Azure AD Privileged Identity Management – PIM)
Nous avons parlé de la gestion des rôles Azure et Azure AD via RBAC. PIM est un second outil intégré à RBAC en instaurant un processus d’attribution des rôles via le couple demande / approbation.
Cette approche facile la gestion, le contrôle et la supervision des accès de vos utilisateurs dans votre tenant et en fonction du contexte (besoin, durée, justification).
Attention, Azure AD Privileged Identity Management nécessite lui aussi une licence Azure AD Premium P2 par utilisateur.
Azure AD et la sécurité
Afin de vous faire une synthèse des différentes mesures abordés et d’autres, j’ai retrouvé cette vidéo qui devrait vous éclaircir un peu :
Dans un environnement Cloud, la connectivité réseau est un point primordial de la sécurité. Que les services hébergés dans le cloud doivent être accessibles depuis une architecture on-premise ou pour des utilisateurs internet, il est nécessaire de mettre en place des mesures de sécurité pour protéger le traffic réseau mais aussi les périphériques.
Pour cela, voici quelques services disponibles nativement sous Azure pour y parvenir :
Azure VPN
Azure VPN est un service managé par Microsoft :
Une passerelle de réseau virtuel est composée de deux machines virtuelles ou plus qui sont automatiquement configurées et déployées sur un sous-réseau spécifique que vous créez, appelé sous-réseau de la passerelle… Vous ne pouvez pas configurer directement les machines virtuelles qui font partie de la passerelle de réseau virtuel, même si les paramètres que vous sélectionnez lors de la configuration de votre passerelle ont un impact sur les machines virtuelles de passerelle créées.
La passerelle de réseau virtuel envoie du trafic crypté entre un réseau virtuel Azure et un site via Internet. Cette connexion est disponible pour deux besoins :
Connexion Site à Site (S2S) : utilisée pour établir une ou des connexions permanentes vers des locaux afin de prolonger les réseaux locaux dans Azure.
Connexion Point à Site (P2S) : utilisée pour établir des connexions temporaires en situation de mobilité. Ideal pour des périphériques portables.
Dans le cadre d’une connexion P2S, les méthodes d’authentification à Azure VPN sont à considérer selon le type de périphériques utilisé :
Azure propose plusieurs SKUs de VPN avec différents débits :
A cela, il faut aussi ajouter les coûts de bande passantes puisque le traffic sortant d’Azure est facturé par Microsoft :
Azure ExpressRoute
A l’inverse d’Azure VPN, les connexions ExpressRoute n’acheminent pas le traffic via Internet. Elles offrent plus de fiabilité, une vitesse plus rapide et une latence inférieure que les connexions Internet classiques.
Un circuit ExpressRoute comporte toujours deux connexions à deux routeurs périphériques Microsoft Enterprise (MSEE). Les fournisseurs de connectivité utilisent eux aussi des dispositifs redondants pour assurer la redondance de vos connexions à Microsoft.
Les principaux avantages de la connexion ExpressRoute sont :
Connectivité de couche 3 entre votre réseau local et le cloud de Microsoft via un fournisseur de connectivité.
Connectivité aux services de cloud de Microsoft dans toutes les régions de la zone géopolitique.
Routage dynamique entre votre réseau et Microsoft via le protocole de routage dynamique standard (BGP).
Redondance intégrée dans chaque emplacement de peering pour une plus grande fiabilité.
Un groupe de sécurité réseau (NSG) filtre le trafic réseau entrant et sortant et contient des règles qui sont utilisées pour autoriser ou refuser le trafic de sécurité réseau filtré. La configuration de ces règles de sécurité NSG vous permet de contrôler le trafic réseau en autorisant ou en refusant des types de trafic spécifiques. Vous pouvez affecter un NSG à :
Une interface réseau pour filtrer le trafic réseau sur cette interface uniquement.
Un sous-réseau pour filtrer le trafic sur toutes les interfaces réseau connectées dans le sous-réseau.
Vous pouvez également affecter des NSG à la fois à des interfaces réseau et à des sous-réseaux. Dans ce cas, chaque NSG est évalué indépendamment.
Azure Application Security Group (ASG)
Il est possible de combiner l’efficacité du NSG en associant les ressources de même nature à un ASG. Le groupe de sécurité des applications vous permet de configurer la sécurité du réseau comme une extension naturelle de la structure d’une application, en vous permettant de regrouper des machines virtuelles et de définir des politiques de sécurité du réseau en fonction de ces groupes.
Azure Bastion
Les machines virtuelles Windows et Linux nécessitent un accès pour leur administration. L’ajout d’une IP publique sur la machine virtuelle résout le souci d’accès externe mais créer un précédent de sécurité. C’est là qu’Azure Bastion rentre en scène :
Azure Bastion est un service PaaS proposé par Azure pour apporter une couche de sécurité supplémentaire dans le cadre de connexion RDP/SSH. Ce composant permet alors de se connecter sur des machines virtuelles sans les exposer à internet.
Azure Bastion doit être associé à un réseau virtuel même s’il est compatible avec les réseaux virtuels associés à ce dernier.
Azure Firewall
Azure Firewall est un service de sécurité réseau basé sur le cloud qui permet de protéger vos ressources VNet. En utilisant Azure Firewall, vous pouvez créer et gérer de manière centralisée des profils de connectivité réseau dans toute votre organisation.
Comme le montrait le schéma sur la défense en profondeur, la couche applicative est le dernier rempart avec l’accès à la donnée. Un contrôle est donc nécessaire sur vos applications, que celles soient locales ou hébergées dans le Cloud.
Là encore, le modèle Zéro Trust aide les organisations à s’assurer que leurs applications et les données qu’elles contiennent sont protégées par :
Application de contrôles et technologies pour découvrir l’informatique fantôme.
Garantir les autorisations appropriées dans l’application.
Limitation de l’accès en fonction de l’analytique en temps réel.
Surveillance du comportement anormal.
Contrôle des actions de l’utilisateur.
Validation des options de configuration sécurisée.
Toutes les applications sont disponibles en utilisant l’accès du moindre privilège avec une vérification continue.
Une maîtrise dynamique est en place pour toutes les applications avec un contrôle en cours de session.
Defender for Cloud App (Cloud App Security)
De nos jours, il ne se passe pas une heure sans que nous utilisions des applications SaaS pour nous outils critiques. La sécurité passe donc par la protection de ces dernières.
Ajouté à cela, il est très fréquent que certaines applications SaaS soient utilisées sans faire partie du paysage IT de l’entreprise. Certaines de ces applications peuvent présenter des risques majeurs, du point de vue des cyberattaques, tandis que d’autres ne sont tout simplement pas conformes aux réglementations que votre entreprise doit respecter.
Microsoft Cloud App Security est une solution bien conçue pour résoudre ces problèmes. Elle recueille et rend compte de toutes les informations essentielles dont les administrateurs informatiques ont besoin pour protéger les ressources Cloud d’une entreprise contre les attaques externes et les accidents internes.
Microsoft Defender pour les applications cloud est un répartiteur de sécurité d’accès cloud (CASB) qui prend en charge différents modes de déploiement, y compris la collecte de journaux, les connecteurs API et un proxy inverse. Il offre une grande visibilité, un contrôle des déplacements des données, et des analyses sophistiquées pour identifier et combattre les cybermenaces sur l’ensemble de vos services cloud Microsoft et tiers.
Les périphériques accédant à vos données se doivent d’être protégés. La mise en place d’outils de gestion, de contrôle et de conformité est déjà un premier pas vers plus de sécurité. Voici une liste non exhaustive d’outils Azure pour la sécurité de vos périphériques.
Périphérique joint / enregistré à Azure AD
Il est toujours utile de joindre les périphériques à Azure AD. Comme pour un Active Directory, la connaissance de ces derniers apporte une meilleure maitrise de la sécurité lors de la création de règles de sécurité.
Cette jointure ne rentre absolument pas en conflit pour les périphériques déjà présents dans un Active Directory. L’outil de synchronisation Azure AD Connect dispose d’une fonctionnalité permettant justement la jointure hybride pour ces périphériques.
Une fois le périphérique joint à Azure AD, il est possible de mettre en place des règles d’accès conditionnel qui tiennent compte de ce status :
Endpoint Management (Intune)
Qu’est-ce que Microsoft Intune ou Endpoint Management ?
Microsoft Intune est un service basé sur le cloud qui se concentre sur la gestion des périphériques mobiles (MDM) et la gestion des applications mobiles (MAM). Vous contrôlez la façon dont les appareils de votre organisation sont utilisés, y compris les téléphones mobiles, les tablettes et les ordinateurs portables. Vous pouvez également définir des stratégies spécifiques pour contrôler les applications. Par exemple, vous pouvez empêcher l’envoi d’e-mails à des personnes extérieures à votre organisation.
Le schéma ci-dessous montre le large potentiel d’Intune sur le contrôle des périphériques, en situation de mobilité ou non.
L’étendue de ces contrôles est variable en fonction du périphérique lui-même :
Périphérique d’entreprise : contrôle total sur l’appareil, notamment les paramètres, les fonctionnalités et la sécurité. Par exemple, vous pouvez définir les critères de mot de passe et de code confidentiel, créer une connexion VPN, configurer la protection contre les menaces, …
Périphérique personnel : appelé aussi byOD (Bring-your-own Device), Le contrôle n’est pas total. Par exemple, les utilisateurs inscrivent leurs appareils uniquement s’ils veulent un accès aux ressources de votre organisation. Vous pouvez également utiliser les stratégies de protection des applications qui requièrent l’authentification multifacteur (MFA) pour utiliser ces derniers. Par exemple, si les utilisateurs souhaitent accéder à la messagerie ou Microsoft Teams.
Microsoft Intune est déjà inclus dans un grand nombre de licence Microsoft 365 (voir liste ci-dessous), mais est également disponible en licence seule pour un utilisateur ou un périphérique :
Microsoft 365 E5
Microsoft 365 E3
Enterprise Mobility + Security E5
Enterprise Mobility + Security E3
Microsoft 365 Business Premium
Microsoft 365 F1
Microsoft 365 F3
Microsoft 365 Gouvernement G5
Microsoft 365 Gouvernement G3
Intune for Education
Microsoft 365 Education A5
Microsoft 365 Education A3
Rien de mieux qu’une vidéo pour faire un tour d’horizon de l’outil :
Defender for Endpoint (Microsoft 365 Defender)
Qu’est-ce que Defender for Endpoint ?
Microsoft Defender for Endpoint est une plate-forme de sécurité conçue pour aider les réseaux d’entreprise à prévenir, détecter, examiner et répondre aux menaces avancées.
Pour faire simple, l’intégration de périphériques dans le portail de sécurité Microsoft Security apporte à votre équipe une vision complète des alertes et des incidents de sécurité sur tout le parc IT. Cela est une bonne approche pour gagner du temps et comprendre et déjouer les attaques chaînées :
Côté licence, Defender for Endpoint est maintenant disponible sous deux plans :
Microsoft organise assez régulièrement un évènement appelé Microsoft Build. Comme l’indique sa page Wikipédia, c’est une conférence annuelle destinée aux ingénieurs logiciels et aux développeurs Web utilisant Windows, Azure et d’autres technologies Microsoft.
Sa première organisation date de 2011, en remplacement d’autres évènements eux aussi dédiés aux développeurs, comme la Conférence des développeurs professionnels et le MIX. Cette année encore, il fut organisé en virtuel.
Qu’est-ce que le Microsoft Build Cloud Skills Challenge ?
Comme pour le Microsoft Ignite, organisé pour la dernière fois en novembre dernier, Microsoft propose de rendre ses évènements plus interactifs avec la participation de l’audience.
Pour cela, Microsoft vous propose de participer à un exercice technique, appelé challenge. La réalisation d’un seul challenge vous apporte une meilleure compréhension du message de Microsoft et vous donne la possibilité de repartir avec un gain immédiat : un bon d’examen pour une certification Microsoft.
Attention :
Ce challenge est limité dans le temps, vous devez le terminer au plus tard le 21 juin prochain
La réalisation de plusieurs challenges ne vous apportera pas plusieurs bons d’examen Microsoft
Quelques informations supplémentaires sont disponibles dans la FAQ officielle
La réalisation d’un des 3 challenges techniques, vous offre un bon d’examen pour tester et valider vos connaissances Microsoft. Cette année, 3 challenges vous sont accessibles :
Pour quelles certifications pourrons-nous utiliser notre bon d’examen ?
Vous retrouvez ci-dessous les certifications Microsoft accessibles gratuitement grâce à l’utilisation de votre bon d’examen Microsoft Build :
Il arrive qu’une machine virtuelle ne corresponde plus aux besoins initialement définis avec sa taille. Pas de panique ! Un changement est toujours possible après coup. L’un des grands avantages d’Azure est la possibilité de modifier la taille des machines virtuelles, à la volée, des besoins en termes de performances du processeur, du réseau ou de disques.
Dans cet article, nous allons démontrer ensemble la simplicité de changer la taille d’une machine virtuelle, mais également les étapes additionnelles pour un changement particulier.
Dans quel cas redimensionner ?
Lorsque l’on examine le redimensionnement de machines virtuelles sous Azure, trois axes définissent ce processus de changement de taille :
Localisation : votre région Azure ne contient pas le matériel nécessaire pour prendre en charge la taille de machine virtuelle souhaitée.
Interruption : vous devrez dans certains cas désallouer la machine virtuelle. Cela peut se produire si la nouvelle taille n’est pas disponible sur le cluster matériel qui l’héberge actuellement.
Restriction : Si votre machine virtuelle utilise le stockage Premium, assurez-vous que vous choisissez une version s de la taille pour obtenir le support du stockage Premium.
Tailles des machines virtuelles dans Azure
Avant de basculer sur le portail Azure pour effectuer les étapes de modification de taille, voici un rappel de l’offre des machines virtuelles Azure. Afin d’y voir plus clair, Microsoft a segmenté son offre de machines virtuelles par famille, correspondant à des scénarios de besoin utilisateur :
En exemple, voici la définition donnée par Microsoft pour des besoins GPU :
Les tailles de machine virtuelle au GPU optimisé sont des machines virtuelles spécialisées disponibles avec des GPU uniques, multiples ou fractionnaires. Ces tailles sont conçues pour des charges de travail de visualisation, mais également de calcul et d’affichage graphique intensifs.
Les familles sont généralement couvertes par plusieurs séries. Une série est une combinaison CPU + RAM + Autre critères. Les séries sont régulièrement mis à jour par Microsoft via des versions. Voici en exemple le détail de la composition pour la série NCv3 :
Les machines virtuelles de série NCv3 sont optimisées par les GPU NVIDIA Tesla V100. Ces GPU peuvent fournir des performances de calcul une fois et demie supérieure à celles de la série NCv2… les machines virtuelles de la série NCv3 sont également pilotées par des processeurs Intel Xeon E5-2690 v4 (Broadwell).
Enfin, chaque série dispose plusieurs SKUs pour proposer différentes puissances. Toujours en exemple, la série graphique NCv3 :
La taille de la machine virtuelle influe également sur le prix de celle-ci. Toujours en exemple, la série graphique NCv3 :
Les instances réservées, d’un ou trois ans, diminuent fortement le prix des machines virtuelles.
Codification Azure
Cette large découpe propose aux utilisateurs un très grand nombre de machines virtuelles possibles. Dans cette jungle de SKUs, Microsoft a mis en place une codification précise dans la dénomination.
Une ou plusieurs lettres minuscules indiquent des fonctionnalités supplémentaires, telles que : a = processeur basé sur AMD b = bloquer les performances de stockage d = diskfull (c.-à-d., un disque temporaire local présent) ; ceci concerne les nouvelles machines virtuelles Azure, consultez Séries Ddv4 et Ddsv4 i = taille isolée l = mémoire insuffisante ; une quantité de mémoire inférieure à la taille d’utilisation intensive de la mémoire m = utilisation intensive de la mémoire ; la plus grande quantité de mémoire dans une taille particulière t = très petite mémoire ; la plus petite quantité de mémoire dans une taille particulière s = capacité de stockage Premium, y compris l’utilisation possible de SSD Ultra (Remarque : certaines tailles plus récentes sans l’attribut de s peuvent toujours prendre en charge le stockage Premium, par exemple M128, M64, etc.)
*Type d’accélérateur
Indique le type d’accélérateur matériel dans les références (SKU) spécialisées/GPU. Seules les nouvelles références (SKU) spécialisées/GPU lancées à partir du troisième trimestre 2020 auront l’accélérateur matériel dans leur nom.
Version
Indique la version de la série de machines virtuelles
Voici un exemple de dénomination pour la machine virtuelle graphique NC4as_T4_v3 :
Valeur
Explication
Famille
N
Sous-famille
C
Nombre de processeurs virtuels
4
Fonctionnalités supplémentaires
a = processeur basé sur AMD s = capacité de stockage Premium
Type d’accélérateur
T4
Version
v3
Avec toutes ces informations, nous allons pouvoir nous intéresser au changement de SKU sur une machine virtuelle existante.
Etape 0 : Rappel des prérequis
Pour cela, nous allons créer différentes ressources sur Azure pour y parvenir. Comme toujours, des prérequis sont nécessaires pour réaliser cette démonstration :
Un tenant Microsoft
Une souscription Azure valide
Une machine virtuelle déployée et démarrée
Comme le montre la copie d’écran ci-dessous, ma machine virtuelle dispose actuellement de la taille D4ds v4
Afin de mesurer les impacts d’un changement de taille sur une machine virtuelle démarrée, j’ai également ouvert une connexion RDP à celle-ci
Test I : Changement d’une taille dans la même série
Le changement de taille de la machine virtuelle s’effectue depuis le portail Azure via la section Taille.
Azure y regroupe différentes tailles, accessibles ou non :
Jouez avec les filtres suivants pour trouver la taille adaptée
Certaines tailles ne sont même pas visibles.
Sélectionnez la taille et cliquez sur redimensionner
Une fois déclenché, une notification de traitement apparait dans votre portail Azure
La session RDP est-elle aussi coupée
Après traitement (30 secondes environ), la machine virtuelle retrouve son status démarré. La nouvelle taille se retrouve alors sur la page principale de la machine virtuelle Azure
La réouverture manuelle de la session RDP montre bien la nouvelle puissance
Test II : Changement d’une taille dans une série disponible
Continuez vos tests en effectuant un changement de taille vers une autre famille de machine virtuelle
Là encore, la session RDP se ferme et la notification de changement apparaît sur le portail Azure. Moins d’une minute plus tard, la machine virtuelle repart avec sa dernière taille
Test III : Changement d’une taille dans une série disponible
Dans certains cas, il est nécessaire de partir sur une taille de machine virtuelle ayant des propriétés différentes. Ma machine virtuelle, actuellement en Standard F8s v2, dispose d’un stockage temporaire.
Le disque temporaire est très utile pour les données qui, vous l’aurez deviné, sont de nature temporaire. Un excellent exemple de ce type de données pour Windows est le pagefile. Lorsqu’une nouvelle machine virtuelle Windows est provisionnée à partir d’une image dans Azure, le pagefile est configuré si cela est possible pour qu’il soit situé sur ce disque temporaire.
Ce stockage temporaire se retrouve alors sur le disque D
Pour la plupart des machines virtuelles Windows, le volume sur le disque temporaire à la lettre de lecteur D:. Il a également l’étiquette de lecteur « Temporary Storage ».
Les clients ne doivent pas utiliser le disque temporaire pour des données qui doivent être persistantes.
Un retour dans la liste des tailles disponibles pour ma machine virtuelle vm001 ne permet pas de choisir une machine virtuelle dépourvue de disque temporaire.
Dans ce cas, pas le choix, la recréation d’une nouvelle machine virtuelle est un passage obligatoire.
Etape I : Créer une sauvegarde du ou des disques présents
Allez sur la page des disques de la machine virtuelle et cliquez sur chacun d’eux
Créez une sauvegarde de chaque disque (OS et Data)
Vérifiez les champs et lancez la création
Une fois terminé, cliquez ici pour accéder au snapshot
Etape II : Créez un ou des disques depuis la ou les sauvegardes
Lancez la création du ou des nouveaux disques depuis le ou les snapshots créés
Une fois terminé, cliquez ici pour accéder au disque créé
Etape III : Création de la nouvelle machine virtuelle
Il ne reste plus qu’à rattacher ce ou ces disques à une nouvelle machine virtuelle
Renseignez tous les champs nécessaires et la nouvelle taille de machine désirée
Lancez la création de la machine virtuelle
Cliquez ici pour retrouver les propriétés de votre nouvelle machine virtuelle
Constatez la bonne taille de votre machine virtuelle Standard D4s v4
Rouvrez une session RDP sur cette nouvelle machine virtuelle pour finaliser les réglages de pagefile. Un message d’avertissement apparaît à l’ouverture de la session
Sélectionnez les paramétrages automatiques Windows
Redémarrez la machine virtuelle pour appliquer les modifications pagefile
Et vous voilà avec la nouvelle taille ????
Conclusion
Azure apporte beaucoup de flexibilité avec le changement de taille pour les machines virtuelles. Il est même possible de scripter le changement de taille selon les besoins ou les pics de charges.
Comme toujours John nous propose une vidéo pour aller plus loin sur ce sujet ????
