La formation Microsoft Azure Security Technologies (AZ-500) est dirigée par Imade Dakir, un expert en infrastructures cloud avec plus de 20 ans d'expérience. Elle couvre divers aspects de la sécurité dans Azure, y compris la gestion des identités, la protection des ressources et les meilleures pratiques en matière de sécurité. Ce programme est destiné aux ingénieurs de sécurité souhaitant se spécialiser dans la sécurité des plateformes Azure et passer l'examen de certification associé.

1. Une formation
Formation
Microsoft Azure Security
Technologies (AZ-500)
Imade DAKIR

2. Une formation
Présentation du formateur
Prénom NOM : Imade DAKIR
Expert et architecte Infrastructure et Cloud Azure, certifié AZ-900, AZ-103,
AZ-120, AZ-300, AZ-301 et AZ-500.
J’ai plus de 20 ans d’expérience dans le domaine des technologies
Microsoft.
Je travaille sur les principaux projets Azure : architecture, conception,
migration, sécurité, build et automatisation.
J'ai accompagné plusieurs clients grands comptes dans leurs projets de
transformation ou migration vers le Cloud. Je suis capable de mener des
projets de bout en bout et de monter en compétences des équipes.
https://www.linkedin.com/in/imade-dakir-6ba992121

3. AZ-500
https://aka.ms/TrainCertPoster/

4. Une formation
Plan de la formation
Introduction
1. Configuration d'Azure Active Directory pour les charges de travail
2. Azure AD Gestion d'identité privilégiée PIM
3. Azure Sécurité des locataires
4. Sécurité des réseaux
5. Sécurité de l'hôte
6. Sécuriser les ressources Azure
7. Sécurité des conteneurs
8. Configuration des services de sécurité
9. Politiques de sécurité
10. Alertes de sécurité
11. Gestion des données
12. Azure Key Vault
13. Sécurité de l'infrastructure des données
14. Cryptage des données au repos
15. Sécurité pour la remise des demandes
Conclusion

5. Une formation
Ingénieurs de sécurité Azure qui prévoient de passer
l'examen de certification associé, ou qui effectuent des
tâches de sécurité dans leur travail quotidien.
Ingénieur qui souhaite se spécialiser dans la sécurité des
plates-formes numériques basées sur Azure et qui joue un
rôle essentiel dans la protection des données d'une
organisation
Public concerné

6. Une formation
Connaissances requises
Comprendre les meilleures pratiques de sécurité et les
exigences de sécurité de l'industrie
Les protocoles de sécurité tels que les réseaux privés
virtuels (VPN), le protocole de sécurité Internet (IPSec), le
protocole SSL (Secure Socket Layer) et les méthodes de
cryptage des disques et des données
Avoir une certaine expérience du déploiement des charges
de travail Azure
Avoir une expérience des systèmes d'exploitation Windows
et Linux et des langages de script PowerShell et le CLI

8. Une formation
Présentation du Lab
Imade DAKIR

9. Une formation
Les prés-requis du LAB
Un poste Windows 10 ou MacOS avec le droit admin local
L’outil Azure Storage Explorer : https://azure.microsoft.com/en-
us/features/storage-explorer/
L’outil Microsoft Remote Desktop pour les MacOS:
https://apps.apple.com/fr/app/microsoft-remote-
desktop/id1295203466?mt=12
Pour Windows l’outil est intégré dans l'OS (commande mstsc)
PowerShell pour MacOS:
https://docs.microsoft.com/fr-
fr/powershell/scripting/install/installing-powershell-core-on-
macos?view=powershell-7
Pour Windows : l’outil est intégré dans l'OS

10. Une formation
Présentation du LAB
L’accès vers le LAB à travers le lien:
https://github.com/MicrosoftLearning/AZ500-
AzureSecurityTechnologies
https://github.com/MicrosoftLearning/AZ-500-Azure-Security

11. Une formation
Comprendre
les utilisateurs d'Azure AD
Imade DAKIR

12. Utilisateurs Azure AD
Un compte utilisateur est nécessaire pour accéder aux ressources d'Azure
Cela comprend les applications SaaS telles qu'Office 365, ainsi que les
applications personnalisées qui sont écrites par votre équipe de développement
interne
Un compte d'utilisateur peut être de l'un des types suivants
Un compte utilisateur basé sur le cloud (Azure Active Directory)
Un compte d'annuaire synchronisé sur site (AD -> AAD)
Un utilisateur invité, également connu sous le nom d'invité de collaboration B2B

13. Gérer les utilisateurs Azure AD
Azure
Portal
Azure
PowerShell
Azure
CLI

14. Azure Portal

15. Azure PowerShell

16. Azure CLI

17. Une formation
Azure AD B2B
Azure B2B vous permet d'inviter et d'autoriser des utilisateurs de
l'extérieur de votre organisation à accéder à vos ressources
Ces utilisateurs gèrent leur propre identité par l'intermédiaire de
leur propre fournisseur d'identité (comme Azure AD) ou de
comptes de médias sociaux
Pas de frais administratifs supplémentaires
Choisir de renforcer la sécurité des comptes d'utilisateurs B2B en
exigeant une authentification à plusieurs facteurs (MFA)
Créer une API personnalisée pour l'inscription en libre-service

18. Une formation
Démo

19. Une formation
Comprendre les groupes
d'Azure AD
Imade DAKIR

20. Une formation
Types des groupes
Sécurité
Utilisé pour gérer l'accès des membres et des appareils aux ressources
partagées
Donner un ensemble d'autorisations à tous les membres en même temps
au lieu de devoir ajouter des autorisations individuelles à chaque membre
Microsoft 365
Fournir une collaboration en donnant aux membres l'accès à une boîte aux
lettres partagée, un calendrier, un site SharePoint, des fichiers, etc
Il vous permet aussi de donner accès a des personnes externes de votre
organisation

21. Une formation
Types des membres
Assigné
Ajouter des utilisateurs spécifiques pour être membres de ce groupe et
avoir des autorisations uniques
Utilisateur Dynamique
Utiliser des règles d'adhésion dynamiques pour ajouter et retirer
automatiquement des membres
Appareil Dynamique
Utiliser des règles d'adhésion dynamiques pour ajouter et retirer
automatiquement des appareils

22. Une formation
Trucs et astuces
Lorsque vous utilisez les types d'adhésion « utilisateur
dynamique » ou « Appareil dynamique », vous ne pouvez utiliser
que l'un ou l'autre, et non les deux
Lors de la création d'un type « Appareil dynamique », les attributs
de l'appareil spécifique sont examinés pour déterminer
l'appartenance au groupe, et non les attributs du propriétaire de
l'appareil
Possibilité d'ajouter un groupe de sécurité à un autre groupe de
sécurité; « un groupe imbriqué »
Les groupes imbriqués peuvent être un moyen de gérer
facilement l'appartenance à un groupe ainsi que les licences et les
autorisations des utilisateurs

23. Une formation
Limitation
L’ajout de groupes à un groupe synchronisé avec Active
Directory en local
L’ajout de groupes de sécurité aux groupes Microsoft 365
L’ajout de groupes Microsoft 365 à des groupes de
sécurité ou à d’autres groupes Microsoft 365
L’affectation d’applications à des groupes imbriqués
L’application de licences à des groupes imbriqués
Ajout de groupes de distribution dans des scénarios
d’imbrication

24. Une formation
Démo

25. Une formation
Découvrir les enregistrements des
Apps, permissions, scopes et
consentement
Imade DAKIR

26. Enregistrement des Apps
Créer une identité pour l'application, lorsque vous avez un code qui doit accéder ou modifier des
ressources
Cette identité est connue sous le nom de Service Principal
Attribuer les autorisations requises au Service Principal
Avoir les autorisations suffisantes pour enregistrer une application auprès de votre tenant Azure AD

27. Assigner une app à un rôle
Attribuer un rôle à l'application au niveau de votre abonnement
Un rôle est un ensemble d'autorisations sur les ressources d'azure
Une liste des rôles par défaut est disponible par défaut
Créer des rôles personnalisés

28. Une formation
Sécuriser les Apps avec Azure AD
Utiliser leurs identifiants Azure AD existants pour accéder aux
applications
Plus de logins secondaires pour les applications
la plate-forme d'identité de Microsoft est basée sur le
protocole d'autorisation OAuth 2.0
Accès des applications tierces à des ressources au nom d'un
utilisateur connecté
Définir un ensemble de permissions qui peuvent être utilisées
pour diviser la fonctionnalité de cette ressource en plus petits
morceaux, c'est ce qu'on appelle les scopes

29. Une formation
Les Scopes
Les permissions des utilisateurs et des applications sont utilisées avec
les scopes pour maintenir un contrôle précis sur les données de la
ressource ainsi que pour protéger l'exposition de l’API
Ils permettent un contrôle précis de leurs données et de la manière
dont les fonctionnalités de l'API sont exposées
Une application tierce peut demander ces permissions aux utilisateurs
et aux administrateurs, qui doivent approuver la demande avant que
l'application puisse accéder aux données ou agir au nom d'un
utilisateur
Configurés dans les enregistrements d'application (pour les
permissions d'application) OU demandés via le processus de
connexion (pour les permissions déléguées)

30. Une formation
Requête au moment de connexion
GET
https://login.microsoftonline.
com/common/oauth2/v2.0/authorize?client_id=6731de76-14a6-49ae-97bc-
6eba6914391e
&response_type=code
&redirect_uri=http%3A%2F%2Flocalhost%2Fmyapp%2F
&response_mode=query
&scope=
https%3A%2F%2Fgraph.microsoft.com%2Fcalendars.read%20
https%3A%2F%2Fgraph.microsoft.com%2Fmail.send&state=12345

31. Une formation
Permissions
Pour les utilisateurs ou pour les applications
Ils définissent ce à quoi un utilisateur ou une
application peut accéder directement dans Azure
Elles sont définies par le biais de rôles, ces rôles
utilisent un contrôle d'accès basé sur les rôles, ou
RBAC, pour déterminer les privilèges des ressources

32. Une formation
Les permissions effectives
Ecriture dans le répertoire global, mais le scope défini des permissions
pour une application peut ne nécessiter que des autorisations de
lecture
Que se passe-t-il alors ? L'utilisateur n'a que des autorisations de
lecture lorsqu'il utilise l'application
Pour les permissions déléguées, les permissions effectives de votre
application seront les moins privilégiées
Pour les permissions d'application, les permissions effectives de votre
application seront le niveau complet des privilèges accordés à
l'application
Ils sont utilisés par les applications qui fonctionnent sans utilisateur
connecté

33. Une formation
Consentement
Le consentement est donné lors de la connexion de
l'utilisateur
Types de consentement
Le consentement de l'utilisateur individuel
Le consentement d’admin

34. Une formation
Démo

35. Une formation
Comprendre
Azure AD Connect
Imade DAKIR

36. Seamless
authentication
Sync
engine
On-premises
/ Private cloud
Azure AD
Connect
Windows Server
Active Directory
Self
Service
MFA
Single
sign-on
Microsoft Azure
Active Directory
Azure AD Connect

37. Une formation
Demo

38. Une formation
Connaitre les méthodes
d'authentification Azure AD Connect
Imade DAKIR

39. ON PREMISES
Azure AD
Azure AD Connect
Active
Directory
Sécurisé et conforme
Seuls les hashs non réversibles sont
stockés dans le cloud
Rapport d'informations
d'identification disponible
Facile à deployer et administrer
Aucun agent sur site nécessaire
Une expérience utilisateur
exceptionnelle
Mêmes mots de passe pour les
applications basées sur le cloud et
les applications sur site
Intégré avec protection d'identité
et accès conditionnel
Option de reprise après sinistre au
cas où d'autres méthodes
d'authentification ne seraient pas
disponibles
Password Hash Sync (PHS)

40. ON PREMISES
Azure AD
AuthN Agent
AuthN agent
Active
Directory
Sécurisé et conforme
Les mots de passe restent sur site
Aucune DMZ et aucune exigence
de pare-feu entrant
Facile à deployer et administrer
Déploiement basé sur un agent
Haute disponibilité prête à l'emploi
Pas de déploiements sur site ni de
configuration réseau complexes
Aucun frais de gestion
Une expérience utilisateur
exceptionnelle
Mêmes mots de passe pour les
applications basées sur le cloud et
sur site
Intégré à la réinitialisation du mot
de passe en libre-service
Intégré avec protection d'identité
et accès conditionnel
Pass thru Authentication (PTA)

41. ON PREMISES
Azure AD
Web
Application
Proxy
ADFS
Active
Directory
Sécurisé et conforme
Les mots de passe restent sur site
Une DMZ avec des serveurs Web
Application Proxy (WAP)
Charge à deployer et administrer
Déploiement basé sur ADFS
Déploiements sur site des serveurs
Proxy WAP et des ADFS
Haute disponibilité gérée sur site
Frais de gestion à prévoir
Une expérience utilisateur
exceptionnelle
Mêmes mots de passe pour les
applications basées sur le cloud et
sur site
Intégré à la réinitialisation du mot
de passe en libre-service
Intégré avec protection d'identité
et accès conditionnel
Fédération (ADFS)

42. ON PREMISES
Active
Directory
Facile à administrer
Aucune infrastructure sur site
supplémentaire
Enregistrer des appareils non
Windows 10 sans AD FS
Une expérience utilisateur
exceptionnelle
Expérience SSO des appareils joints
au domaine au sein de votre
réseau d’entreprise
Facile à intégrer
Fonctionne avec PHS et PTA
Prend en charge un autre ID de
connexion
Azure AD
Seamless Single Sign On

43. Choisir le mode d’authentification

44. Une formation
Découvrir l'authentification
multi-facteurs
Imade DAKIR

45. Une formation
Azure MFA
Fournit une sécurité supplémentaire pour les comptes
d'utilisateur en exigeant une deuxième forme
d'authentification
En général, les méthodes d'authentification sont :
Une chose que vous connaissez : généralement un mot de passe
Une chose que vous avez : un dispositif de confiance qui n'est
pas dupliqué, comme un téléphone
Une chose vous êtes : la biométrie

46. Une formation
Azure MFA
Fournit une authentification forte grâce à une série de
méthodes d'authentification faciles à utiliser
Message texte (SMS)
Appel téléphonique
Demande d'authentification via l'application
Code d'authentification via l'application
Jetons durs
Le MFA peut être contournée en fonction de la
configuration du produit

47. Une formation
Meilleures pratiques MFA
Le MFA peut être très frustrant pour vos utilisateurs et votre
équipe de support s’il n'est pas mis en œuvre correctement
Voici quelques conseils pour éviter les problèmes potentiels
Communication
Les modèles de communication Microsoft et la documentation destinée
aux utilisateurs finaux facilitent la tâche
Accès conditionnel
Exclusions pour le personnel de soutien
Lieux désignés
Protection de l'identité Azure

48. Une formation
Démo

49. Une formation
Présenter l'Accès conditionnel
Imade DAKIR

50. Une formation
Aperçu Conditional Access
Non utilisé comme authentification de premier facteur ; les mots de passe
sont toujours nécessaires
Peut être utilisé pour exiger le MFA, voici les Scénarios courants
Risque de connexion
Détection des mauvais acteurs
Besoin de plus d'informations
Exiger une MFA
Bloquer des applications spécifiques si l'on ne peut pas obtenir de preuves
Lieu
Sur site (lieux nommés) ou sur internet
Pays et régions
Les IPs de confiance du MFA
Gestion des appareils
Appareils appartenant à des entreprises
BYOD
Application du client

51. Access Policies
Les policies sont basées sur des conditions et des contrôles d'accès
Condition
Lorsque cela se produit
Qui êtes vous ?
Utilisateur/membre d’un groupe
A quoi avez vous accès ?
Obligatoire : Utilisateur et application
Autres : lieu, risque d'identification
Contrôle d'accès
Faites cela
Donner l’accès
Utilisé pour ouvrir l'accès (vous laisser entrer) avec
conditions
Utiliser MFA
Utiliser un appareil conforme
Utiliser un dispositif hybride (poste de travail)
Utiliser une application client approuvée
Contrôles de session
Expérience limitée dans le cloud app

52. Corporate
Network
Geolocation
Microsoft
Cloud App Security
MacOS
Android
iOS
Windows
Windows
Defender ATP
Client apps
Browser apps
Google ID
MSA
Azure AD
ADFS
MFA requis
Authoriser/bloquer
accès
Bloquer authentification legacy
Force reset du
password
******
Accès limité
Contrôles
Employé et partenaire
Utilisateurs et rôles
Devices conforme et
de confiance
Localisation
physique et
virtuelle
Applications client
et méthode
d'authentification
Conditions
Machine
learning
Policies
Real time
Evaluation
Engine
Session
Risk
3
40TB
Effective
policy
Azure AD Conditional Access

53. Une formation
Démo

54. Une formation
Introduire Azure AD
Identity Protection
Imade DAKIR

55. Azure AD Identity Protection
Automatiser la détection et la correction des risques liés à l'identité
Étudier les risques à l'aide des données du portail
Exporter les données de détection des risques vers des utilitaires tiers pour une analyse plus approfondie

56. Risque pour l'utilisateur (User risk)
Appliqué aux connexions des utilisateurs
Répondre automatiquement en fonction du niveau de risque d'un utilisateur spécifique
Fournir la condition (niveau de risque) et l'action (bloquer ou autoriser)
Utiliser un seuil élevé lors du déploiement de la politique
Utiliser un seuil bas pour une sécurité accrue

57. Risque de connexion (Sign-in risk)
Appliqué à tout le trafic du navigateur et aux connexions à l'aide de l'authentification moderne
Répondre automatiquement à un niveau de risque spécifique
Fournir la condition (niveau de risque) et l'action (bloquer ou autoriser)
Cibler toutes les stratégies sur des utilisateurs spécifiques - omettez certains types d'utilisateurs

58. Type d’événements à risque
Sign-in Activity Niveau de risque
Connexions à partir d'adresses IP présentant une activité suspecte Low
Voyages inhabituel Medium
Adresses IP anonymes Medium
Propriétés de connexion inhabituelles Medium
Connexions à partir d'appareils infectés Medium
Fuite de mot de passe High

59. Une formation
Démo

60. Une formation
Présenter un aperçu et
activer du AD PIM
Imade DAKIR

61. Une formation
Azure AD PIM
PIM permet de protéger vos comptes privilégiés
Just-in-time un accès privilégié à Azure AD et aux ressources
Azure
Accès aux ressources limité dans le temps
Obligation d'approbation pour activer les rôles privilégiés
Application d'une authentification MFA pour activer n'importe
quel rôle
Justification pour comprendre pourquoi les utilisateurs activent.
Notifications lorsque des rôles privilégiés sont activés
Access reviews pour s'assurer que les utilisateurs ont toujours
besoin de rôles
Historique téléchargeable pour l'audit interne ou externe

62. Azure AD PIM scope
PIM permet l'adhésion à la demande des utilisateurs dans
des rôles d’Azure AD élevés
Global Admin
User Admin
Security Admin
Exchange Admin etc..
PIM permet la gestion à la demande des membres pour les
rôles de ressources Azure
Owner
Contributor
User Access Administrator
Security Admin

63. Une formation
Licences AD PIM
Azure AD Premium P2
Enterprise Mobility + Security (EMS) E5
Microsoft 365 M5

64. Une formation
Public concerné
Chaque administrateur ou utilisateur qui interagit avec le PIM ou en
bénéficie
Les administrateurs ayant des rôles Azure AD gérés à l'aide du PIM
Les administrateurs ayant des rôles de ressources Azure gérés à
l'aide du PIM
Les administrateurs affectés au rôle d'administrateur de rôle
privilégié
Utilisateurs affectés comme éligibles à des rôles AD Azure gérés à
l'aide du PIM
Les utilisateurs peuvent approuver ou rejeter les demandes dans le
PIM
Les utilisateurs assignés à un rôle de ressource Azure avec des
affectations directes (basées sur le temps) ou just-in-time
Utilisateurs affectés ou qui effectuent l’access reviews

65. Une formation
Terminologie PIM
Eligible
Active
Activer (Activate)
Activé (Activated)
Affecté (Assigned)
Éligibilité permanente
Active en permanence
Éligibilité avec expiration
Active avec expiration
Accès juste à temps (JIT)
Principe du moindre privilège d'accès

66. Une formation
Découvrir la configuration du PIM,
demandes d'accès et approbation
Imade DAKIR

67. Une formation
Rôles et Attributions
Utiliser les rôles Azure AD ou rôles de ressources Azure
pour ajouter un membre éligible à un groupe privilégié
Convertir l'affectation éligible en affectation permanente
ou vice-versa
Utiliser les Attributions pour visualiser les affectations ou
ajouter une affectation

68. Une formation
Paramètres des Rôles
Utiliser les paramètres de rôle Azure AD ou ressource
Azure pour configurer la durée d'activation, les
notifications, le MFA, l'approbation et d'autres paramètres
par rôle
Les paramètres peuvent également être configurés pour
les alertes et la révision d’accès pour l'élévation du rôle AD
ou de ressource

69. Une formation
Rôles et Approbations des demandes
Utiliser Mes rôles pour visualiser et activer toute élévation
de privilège de ressources d'azure ou d'AD
Si l'élévation nécessite une authentification MFA, vérifier
votre identité avant l'activation
Utiliser l'option Approuver les demandes pour visualiser
et approuver toute demande d'élévation de privilège
Si les notifications sont activées pour les demandes,
l'approbateur recevra un message lui demandant
d'examiner la demande

70. Workflow PIM
Administrateur PIM User PIM Approbateur
PIM
Administrateur
PIM
Déterminer les
utilisateurs et les
rôles qui seront
gérés par PIM
Affecter des
utilisateurs ou les
administrateurs
actuels en tant
qu'administrateurs
éligibles pour des
rôles Azure AD
spécifiques, afin
qu'ils aient accès
uniquement
lorsque cela est
nécessaire
Activer vos rôles
d'administrateur
éligibles afin de
pouvoir limiter
l'accès permanent
à l'identité
privilégiée
Afficher et
approuver toutes
les requêtes
d'activation pour
des rôles Azure AD
spécifiques que
vous êtes configuré
pour approuver
Afficher et exporter
l'historique de
toutes les
affectations et les
activations
d'identité
privilégiée afin
d'identifier les
attaques et de
rester en
conformité

71. Configuration PIM
Activation Attribution Notification

72. Une formation
Demo

73. Une formation
Découvrir la révision de l'accès
dans PIM
Imade DAKIR

74. Une formation
Révisions d’accès
Utiliser PIM pour créer des révisions d'accès pour les rôles Azure
AD privilégiés ainsi que pour les ressources Azure
Configurer des révisions d'accès récurrentes qui se produisent
automatiquement
Les membres éligibles des rôles privilégiés sont notifiés dans le
portail Azure lorsqu'ils doivent justifier de leur accès
La communication par courriel peut également être configurée
pour notifier vos utilisateurs d'un contrôle d'accès
Le PIM peut déterminer la ligne de conduite appropriée en
fonction de facteurs tels que le temps écoulé depuis l'élévation
Ces recommandations peuvent être mises en œuvre pour les non-
répondants

75. Révisions d’accès
Permettre aux organisations de recertifier les membres des groupes, l'accès aux applications et les
attributions de rôles privilégiés
Évaluer l'accès des utilisateurs invités
Évaluer l'accès des employés aux applications et l'appartenance à un groupe
Suivre les révisions pour les applications sensibles à la conformité ou aux risques
Évaluer l'attribution des rôles des utilisateurs administratifs (PIM)

76. Une formation
Démo

77. Une formation
Connaitre le transfert des
abonnements Azure entre tenants
Imade DAKIR

78. Une formation
Transfert d’abonnement
Lors du transfert à un autre tenant, tous les utilisateurs,
groupes et accès RBAC aux ressources du tenant source
sont perdus sur les ressources de l'abonnement
L'utilisateur qui accepte la demande de transfert est le seul
compte ayant accès aux ressources
Les certificats de gestion, les clés d'accès et les justificatifs
d'accès à distance restent intacts
Ils doivent être mis à jour si le compte source ne nécessite
plus l'accès à ces ressources

79. Une formation
Transfert d’abonnement
Contacter le service d'assistance pour les transferts
entre pays
Pour effectuer le transfert, le destinataire doit
accepter la propriété de la facture et fournir les
détails du paiement
Si le bénéficiaire n'a pas de compte Azure, il doit en
créer un pour accepter le transfert

80. Une formation
Abonnement éligible pour transfert
Seuls ces types d'abonnements sont éligibles pour le transfert
Contrat Entreprise (EA)
Microsoft Partner Network
Abonnés Visual Studio Enterprise (MPN)
Plateformes MSDN
Pay-As-You-Go
Pay-As-You-Go Dev/Test
Visual Studio Enterprise
Visual Studio Enterprise : BizSpark
Visual Studio Professional
Visual Studio Test Professional
Plan Microsoft Azure

81. Une formation
Démo

82. Une formation
Présenter les réseaux virtuels
Imade DAKIR

83. Une formation
Réseaux virtuels (Vnet)
Utilisé pour créer un réseau privé virtuel à l'intérieur
d'Azure où les ressources peuvent être mises en réseau les
unes avec les autres, comme dans un environnement privé
sur site
Le VNet dispose d'un espace d'adressage interne
Les ressources se connectent à des sous-réseaux au sein
d'un VNet pour obtenir un accès au réseau
Tous les sous-réseaux d'un réseau virtuel peuvent
communiquer les uns avec les autres
Le routage par défaut peut être modifié à l'aide de tables
de routage définies par l'utilisateur

84. Vnet
Les VNets peuvent être reliés entre eux pour permettre la communication entre eux
(Peering)
Les VNets peuvent également être connectés à des réseaux sur site (ainsi qu'à d'autres
VNets) avec des connexions VPN de site à site ou ExpressRoute
Ces connexions nécessitent la présence de passerelles de réseau virtuel à l'intérieur du
VNet

85. Une formation
Démo

86. Une formation
Découvrir les groupes
de sécurité des réseaux NSG
Imade DAKIR

87. Une formation
Network Security Group
Utilisés pour assurer la sécurité de la couche réseau des
ressources au sein d'un réseau virtuel (VNet)
Lorsqu'ils sont rattachés à une ressource, ils peuvent autoriser ou
refuser le trafic en fonction de règles que vous configurez
Vue d'ensemble
La meilleure pratique consiste à bloquer TOUT le trafic, sauf les
communications requises; C'est ce qu'on appelle parfois le "refus
par défaut"
Les NSG peuvent être appliqués à une carte d'interface réseau
(NIC), à un sous-réseau, ou aux deux

88. Une formation
NSG
Lorsque les NSG sont affectés aux deux, les règles des deux sont
évaluées
Les règles du NSG sont des règles d'état (stateful), de sorte que le
trafic de réponse est automatiquement autorisé indépendamment
des autres règles
Les NSG contiennent des "règles par défaut" qui ne peuvent pas
être supprimées ; il faut des règles plus prioritaires pour les
remplacer
Une fois qu'une règle a été mise en correspondance, aucune autre
règle n'est traitée

89. Une formation
Démo

90. Une formation
Découvrir les groupes de
sécurité des applications ASG
Imade DAKIR

91. Une formation
Groupe de sécurité des applications
Un groupe de sécurité des applications (ASG) est un ensemble
logique de machines virtuelles, en particulier leurs cartes
d'interface réseau (NIC)
Vous joignez des machines virtuelles au ASG et utilisez ensuite le
groupe de sécurité des applications comme source ou destination
dans les règles du NSG
Considérez les ASG comme un moyen de créer des étiquettes de
service (service tags) personnalisées pour un groupe de sécurité
réseau

92. ASG
Par exemple on peut créer un ASG pour regrouper les
serveurs du même tier (WEB, DB,…)

93. Une formation
Démo

94. Une formation
Comprendre Azure Firewall
Imade DAKIR

95. Une formation
Azure Firewall
Un pare-feu performant en tant que service
Haute disponibilité intégrée avec évolutivité illimitée
Filtrage FQDN et tags
Règles de filtrage du trafic réseau
Prise en charge du SNAT sortant
Prise en charge du DNAT entrant (transfert de port)
Filtrage basé sur Threat Intelligence
Intégration complète avec Azure Monitor
Tunneling forcé

96. Azure Firewall
Le déploiement typique du pare-feu Azure se fait dans un réseau virtuel central
D'autres réseaux virtuels lui sont alors reliés par des points de connexion en étoile
Les routes par défaut des réseaux virtuels pairés sont dirigées vers le réseau virtuel
central du pare-feu
L'avantage de ce modèle est la possibilité d'exercer un contrôle centralisé sur plusieurs
VNET à rayons multiples pour différents abonnements

97. Une formation
Démo

98. Une formation
Découvrir le Firewall
des ressources
Imade DAKIR

99. Pare-feu des ressources
Les ressources Azure individuelles maintiennent également leur propre ensemble de règles
de pare-feu
Ces règles peuvent autoriser ou refuser l'accès aux réseaux virtuels Azure, aux services Azure
tels que la sauvegarde et le SQL, et aux hôtes Internet
Ces règles d'accès sont configurées au sein des ressources Azure elles-mêmes
Les ressources les plus courantes bénéficiant de cette protection supplémentaire sont les
comptes de stockage et les bases de données de serveurs SQL Azure

100. Trusted Services
Azure Backup
Azure Data Box
Azure DevTest Labs
Azure Event Grid
Azure Event Hubs
Azure File Sync
Azure HDInsight
Azure Monitor
Azure Networking
Azure Site Recovery
Azure Import Export

101. Une formation
Démo

102. Services Endpoint

103. Une formation
Sécuriser un réseau virtuel
avec le pare-feu Azure
Imade DAKIR

104. Une formation
Demo

105. Une formation
Configurer une passerelle
VPN Azure VNet-to-Vnet
Imade DAKIR

106. Une formation
Démo

107. Une formation
Découvrir de la sécurité des
points terminaux des VMs
Imade DAKIR

108. Une formation
Sécurité de VM Endpoint
Microsoft Antimalware pour Azure est un service gratuit
de protection en temps réel
Il aide à identifier et à supprimer les virus, les logiciels
espions et autres logiciels malveillants
Il génère des alertes lorsqu'un logiciel malveillant ou
indésirable connu tente de s'installer ou de s'exécuter sur
vos systèmes Azure

109. Une formation
Les fonctionnalités
Protection en temps réel
Lutte contre les logiciels malveillants
Mises à jour des signatures
Mises à jour des moteurs anti malveillants
Mises à jour de la plate-forme-antimalware
Protection active
Rapports sur les échantillons
Exclusions
Collection d'événements anti-malveillants

110. Déploiement Antimalware
Configurer et déployer Microsoft Antimalware en utilisant les extensions Azure
Cela peut être effectué sur les nouveaux déploiements de machines virtuelles ainsi que sur les
machines virtuelles existantes
Les exclusions et les paramètres de protection sont spécifiés lors du déploiement
Configurer et déployer Microsoft Antimalware en utilisant Azure Policy ou Azure Security
Center

111. Une formation
Démo

112. Une formation
Gérer les mises à jour
du système VM sur Azure
Imade DAKIR

113. Gestion des mises à jour
Azure fournit la solution de gestion des mises à jour pour vous permettre de gérer les mises à jour
et les correctifs pour vos machines virtuelles Windows et Linux
La solution nécessite Azure Log Analytics et un compte Azure Automation
Si ceux-ci ne sont pas disponibles au moment du déploiement, ils peuvent être provisionnés pour
vous

114. Une formation
Démo

115. Une formation
Gérer le contrôle d'accès basé
sur les rôles (RBAC)
Imade DAKIR

116. Une formation
Azure RBAC
Le contrôle d'accès basé sur les rôles (RBAC) est utilisé pour fournir un
accès granulaire aux ressources Azure
Ces rôles peuvent être attribués au niveau de l'abonnement, du groupe de
ressources ou de la ressource
Azure comprend une gamme de plus de 70 rôles intégrés pour contrôler
l'accès aux ressources Azure, il y a trois rôles fondamentaux
Owner
Contributor
Reader
Si les rôles intégrés ne sont pas suffisants, des rôles personnalisés peuvent
être créés
Pour que les rôles prennent effet, ils doivent être attribués
Les rôles sont attribués à un utilisateur, un groupe ou un Service Principal

117. Rôle ’’Virtual Machine Operator’’
Lire la configuration de VM
Démarrer la VM
Redémarrer la VM
Rôle personnalisé

118. Une formation
Démo

119. Une formation
Présenter Managed Identities
Imade DAKIR

120. Une formation
Managed Identities
Fournit une méthode sécurisée pour authentifier les ressources
Azure par rapport à d'autres services Azure sans avoir besoin
d'inclure des justificatifs d'identité
Cela évite d'avoir à stocker les informations d'identification de la
demande sous forme de code (par exemple, l'ID du client et les
secrets)
Entièrement géré par Microsoft
Automatise la création et l'enregistrement d'une application dans
Azure AD, Service Principal, et Client ID
Comprend une fonctionnalité intégrée permettant aux ressources
Azure d'obtenir un jeton d'authentification en toute sécurité
N'implique aucune autorisation, puisque l'identité doit toujours
être accordé toutes les autorisations souhaitées

121. Une formation
Démo

122. Une formation
Découvrir Azure Resource
Locks
Imade DAKIR

123. Une formation
Azure Resource Locks
Empêcher d'autres utilisateurs de notre organisation
de supprimer ou de modifier accidentellement des
ressources critiques telles qu'un abonnement, des
groupes de ressources ou des ressources

124. Une formation
Types de verrouillage
Delete = ne peut pas supprimer la ressource
ReadOnly = ne peut pas supprimer la ressource ou la mettre à jour
Les locks de ressources sont hérités en aval
Avoir accès aux actions Microsoft .Autorisation/* ou
Microsoft.Autorisation/locks/* pour créer ou supprimer des
locks de gestion
Le Owner et User Access Administrator sont les seuls des rôles
intégrés accordés à ces actions

125. Une formation
Démo

126. Une formation
Présenter les groupes
de gestion
Imade DAKIR

127. Une formation
Groupes de gestion
Regrouper les abonnements pour gérer l'accès, les politiques et la
conformité
Considérer les comme un niveau au-dessus des abonnements,
mais uniquement pour la gestion
La facturation est toujours traitée au niveau des abonnements
Les abonnements au sein d'un groupe de gestion héritent de
l'accès, des politiques et des autres facteurs de conformité qui lui
sont appliqués
Un groupe de gestion peut contenir des abonnements individuels
ou d'autres groupes de gestion dans une hiérarchie imbriquée

128. Groupes de gestion
Créer des groupes de gestion et appliquer une politique exigeant la création de toutes les
ressources dans une région particulière à des fins de conformité
Un autre groupe de gestion peut être utilisé pour déterminer l'accès à des abonnements multiples
(via le RBAC), par opposition à l'octroi d'un accès au niveau de l'abonnement
Lorsque l'on utilise des groupes de gestion, le premier groupe est appelé le Tenant root group et
sert à gérer tous les abonnements

129. Une formation
Démo

130. Une formation
Présenter Azure Policies
Imade DAKIR

131. Une formation
Azure Policies
Azure Policy est un service que vous utilisez pour créer, attribuer et gérer
des politiques
Ces politiques appliquent des règles et des effets différents à vos
ressources afin que celles-ci restent conformes aux normes de votre
entreprise, aux normes techniques ou aux normes gouvernementales

132. Une formation
Les politiques
Les définitions des politiques exposent les critères spécifiques à
évaluer
Les affectations déterminent où ces politiques sont appliquées
Elles peuvent être appliquées aux abonnements Azure et, en
option, aux groupes de ressources
Les ressources héritent des politiques appliquées à leurs parents
Les initiatives sont des collections de définitions de politiques
visant à atteindre un objectif unique, tel que la conformité globale
aux normes de l'entreprise
Elles sont attribuées de la même manière que les définitions
individuelles

133. Azure Policies

134. Une formation
Assurer la compliance avec
Azure Policies
Imade DAKIR

135. Une formation
Démo

136. Une formation
Découvrir la sécurité
du Container Registry
Imade DAKIR

137. Une formation
Azure Container Registry
Construire, stocker et gérer des images pour
tous les types de déploiement de conteneurs
Contrôler l'accès pour les utilisateurs (Azure
AD), le Service Principal ou avec un login/mot
de passe
Utiliser RBAC avec les utilisateurs ou Service
Principal

138. Une formation
Création de l’ACR
Azure CLI
Az acr create –resource-group myRG –name myACR01 –
sku Basic
Azure PowerShell
New-AzContainer Registry - ResourceGroupName "mRG" –
Name "myACR01" - EnableAdminUser - Sku Basic

139. Une formation
Connexion à l’ACR
Azure AD
Utilisé lorsque vous travaillez directement avec votre ACR
Accès basé sur les rôles (AcrPull, AcrPush, Propriétaire)
Service Principal
Les applications ou les services peuvent l'utiliser pour une
authentification sans tête
Accès basé sur le rôle (AcrPull, AcrPush, Propriétaire)
Managed identity
Système ou utilisateur
Compte Admin
Conçu pour qu'un seul utilisateur puisse accéder à l’ACR
Accès complet à l’ACR

140. Une formation
Push de l’image
Push de l’image
docker pull hello-world
docker tag hello-world myACR01.azurecr.io/hello-world:v1
docker push hello-world myACR01.azurecr.io/hello-
world:v1
Exécuter l’image
Docker run hello-world myACR01.azurecr.io/hello-world:v1

141. Une formation
Lock & Vnet/Firewall
Lock
Similaire aux autres ressources
Protéger contre la suppression ou modification
Vnet/Firewall
Seules les ressources du réseau virtuel accèdent à l’ACR
Les règles de pare-feu n'autorisent qu'à partir d'IP
spécifiques

142. Une formation
Démo

143. Une formation
Découvrir la configuration
de la sécurité de l'instance
Imade DAKIR

144. Une formation
Azure Container Instance
Azure ACR Tasks est une suite de fonctionnalités au sein
d'Azure Container Registry
Permet la création d'images de conteneurs dans le cloud
pour Linux, Windows et ARM
Automatiser la mise à jour corrective du framework et de
l’OS pour vos conteneurs Docker
Construction d'images de conteneurs à la demande
Des compilations automatisées sont réalisées lors de la validation
du code source ou lorsque l'image de base d'un conteneur est mise
à jour

145. Une formation
Sécurité dans ACR
Utiliser les registres privés
Une image de conteneur accessible au public ne garantit pas la
sécurité
Docker Trusted Registry (on-premises)
Azure Container Registry (basé sur le cloud)
Surveiller et scanner les images des conteneurs
Des solutions de surveillance et de scan sont disponibles sur le
Marketplace Azure
Utiliser-les pour scanner les images des conteneurs dans un registre
privé et identifier les vulnérabilités potentielles
Scanner avant de pousser

146. Une formation
Protection des secrets
Inventorier tous les secrets d'identité
Exiger des développeurs qu'ils utilisent les nouveaux
outils de gestion des secrets conçus pour les
plateformes de conteneurs
Azure Key Vault

147. Une formation
Contenu de confiance
Azure Container Registry met en œuvre le modèle de confiance de contenu
de Docker, qui permet de pousser et de tirer des images signées
La confiance dans le contenu est une caractéristique du SKU Premium
d'Azure Container Registry
La confiance dans le contenu nous permet de signer les images que nous
poussons vers notre registre
Les consommateurs de nos images peuvent configurer leurs clients pour
qu'ils ne tirent que des images signées
Lorsqu'un consommateur d'images extrait une image signée, son client
Docker vérifie l'intégrité de l'image

148. Une formation
Démo

149. Une formation
Présenter les groupes de
conteneurs
Imade DAKIR

150. Une formation
Groupe de Conteneurs
C’est un ensemble de conteneurs qui sont programmés sur
la même machine hôte
Les conteneurs d'un groupe de conteneurs partagent un
cycle de vie, des ressources, un réseau local et des volumes
de stockage
Le concept est similaire à celui d'un pod de Kubernetes
Utile pour construire une application où un service a
besoin d'un second processus attaché

151. Une formation
Propriétés
Sont déployés sur une seule VM
Ne supportent que les VM Linux
Peuvent se situer derrière une IP publique avec des
ports exposés optionnels
Peuvent être déployés via ARM ou YAML

152. Une formation
Demo

153. Une formation
Découvrir la gestion
de la vulnérabilité des conteneurs
Imade DAKIR

154. Une formation
Gestion des vulnérabilités
Une partie importante de la sécurité des conteneurs
L'analyse des images conteneurisées à la recherche de
vulnérabilités de mauvaises configurations est cruciale pour
maintenir la sécurité des conteneurs
Des solutions de surveillance et de scan de la sécurité telles que
Twistlock et Aqua Security sont disponibles sur le Marketplace
Azure
Elles peuvent être utilisées pour scanner les images des
conteneurs dans un registre privé et identifier les vulnérabilités
potentielles

155. Azure Security Center
L’analyse des vulnérabilités est aussi disponible sur Azure Security Center
Cette fonctionnalité est optimisée par Qualys, fournisseur de solutions leader pour la sécurité des informations

156. Une formation
Présenter la sécurité d'AKS
Imade DAKIR

157. Architecture AKS
Les nœuds master des clusters gérés par Azure
fournissent les principaux services Kubernetes
et l'orchestration des charges de travail des
applications
Les nœuds (machines virtuelles) gérés par le
client exécutent les charges de travail de vos
applications

158. Une formation
Sécurité du master
Dans l'AKS, les composants maîtres de Kubernetes font partie
du service géré fourni par Microsoft
Chaque cluster AKS possède son propre master Kubernetes
dédié à un seul tenant pour fournir l’API server, Scheduler, etcd
et controller-manager
Par défaut, Kubernetes API server utilise une adresse IP
publique avec un nom de domaine complet (FQDN)
Vous pouvez créer un cluster privé pour limiter l’accès à votre
réseau virtuel.
Contrôler l'accès à l’API server en utilisant les contrôles d'accès
basés sur les rôles de Kubernetes et Azure Active Directory

159. Une formation
Sécurité des nœuds
Les nœuds AKS sont des machines virtuelles Azure que nous
gérons et entretenons
Les nœuds Linux exécutent une distribution Ubuntu optimisée
en utilisant le runtime du conteneur Moby/Containerd
Les nœuds Windows Server exécutent une version optimisée
de Windows Server 2019 et utilisent également le runtime du
conteneur Moby/Containerd
Lorsqu'un cluster AKS est créé ou mis à l'échelle, les nœuds
sont automatiquement déployés avec les dernières mises à
jour et configurations de sécurité des systèmes d'exploitation

160. Une formation
Secrets de Kubernetes
Utilisés pour injecter des données sensibles dans des pods,
comme des identifiants ou des clés d'accès
Bonnes pratiques
Accès sécurisé des conteneurs aux ressources
Mise à jour régulière de la dernière version de Kubernetes
Traitement des mises à jour et des redémarrages des
nœuds Linux à l'aide de kured

161. Une formation
Démo

162. Une formation
Découvrir Microsoft Azure
Monitor
Imade DAKIR

163. Une formation
Azure Monitor
Le Monitoring est l'acte de collecte et d'analyse de données visant
à déterminer les performances, la santé et la disponibilité de notre
application métier et des ressources dont elle dépend
Le Monitoring dans Azure est principalement assuré par Azure
Monitor qui fournit des mémoires communes pour le stockage
des données de surveillance, de multiples sources de données
pour la collecte de données des différents niveaux supportant
notre application, et des fonctionnalités pour analyser et répondre
aux données collectées telles que les fonctionnalités de requête et
d'alerte

164. Metrics
Logs
Application Container VM Monitoring
Solutions
Insights
Dashboards Views Power BI Workbooks
Visualize
Metrics Explorer Log Analytics
Analyze
Alerts Autoscale
Respond
Event Hubs Ingest &
Export APIs
Logic Apps
Integrate
Azure Monitor
Custom Sources
Applications
Operating Systems
Azure Resources
Azure Subscriptions
Azure Tenant

165. Metrics
Les métriques sont des valeurs numériques décrivant un aspect
d’un système à un moment précis dans le temps

166. Les Logs contiennent différents types de données organisées en
enregistrements, avec différents jeux de propriétés pour chaque type
Logs

167. Une formation
Connaitre le diagnostic et
conservation des journaux
Imade DAKIR

168. Une formation
Les journaux de diagnostic
Fournissent des données sur le fonctionnement des ressources d'Azure
Journaux des tenants
Les journaux provenant de services au niveau du tenant tels que Azure
Active Directory
Journaux de ressources
Les journaux proviennent des ressources d'un abonnement Azure, telles
que les groupes de sécurité réseau ou les comptes de stockage
Ils n'incluent pas le journal d'activité Azure ni aucun journal au niveau du
système d'exploitation

169. Une formation
Options des journaux
Sauvegarder sur un compte de stockage pour un audit ou
une inspection manuelle
Les transmettre à un Event Hub pour qu'ils soient pris en
compte par une solution d'analyse personnalisée telle que
Power BI
Envoyer vers un Log Analytics

170. Une formation
Paramètres des journaux
Les journaux de diagnostic des ressources sont
configurés à l'aide des paramètres de diagnostic des
ressources
Les journaux de diagnostic du tenant sont configurés à
l'aide d'un paramètre de diagnostic des tenants. Ces
paramètres déterminent :
Les destinations des journaux de diagnostic et des métriques
Les catégories de journaux et les options de données
métriques
La durée de conservation (compte de stockage uniquement)

171. Une formation
Demo

172. Une formation
Découvrir le Just in Time VM Access
avec le centre de sécurité Microsoft
Azure
Imade DAKIR

173. Une formation
Just in Time VM Access
Nous permet de verrouiller l'accès à nos machines
virtuelles Azure, n'autorisant l'accès qu'en cas de besoin
des utilisateurs
Azure Security Center Standard est nécessaire pour
configurer cette fonction
Ne prend actuellement en charge que les machines
virtuelles déployées via Azure Resource Manager

174. Une formation
Créer ou éditer JIT policy
Microsoft.Security/locations/jitNetworkAccessPolicies/write
(subscription ou resource group)
Microsoft.Compute/virtualMachines/write
(subscription, resource group, ou VM)

175. Une formation
Demander l’accès JIT
Microsoft.Security/locations/{the_location_of_the_VM}/jitN
etworkAccessPolicies/initiate/action
(subscription ou resource group)
Microsoft.Compute/virtualMachines/read
(subscription, resource group ou VM)

176. Une formation
Demo

177. Une formation
Découvrir l'examen et réponse
aux alertes et recommandations
Imade DAKIR

178. Une formation
Alertes de sécurité
Les menaces sont détectées sur la base des données
recueillies par Security Center
Pour chaque menace, une alerte est générée
Une liste d'alertes est affichée dans Security Center avec
les informations dont nous avons besoin pour enquêter
rapidement sur le problème et des recommandations sur la
manière de remédier à une attaque

179. Une formation
Recommandations
Les recommandations sont des mesures à prendre pour
sécuriser nos ressources
Les recommandations sont basées sur les meilleures pratiques
et sur des avis de sécurité fiables
Chaque recommandation fournit les éléments suivants
Une description
Les mesures correctives
Les ressources affectées
Le score de l'impact de sécurité

180. Une formation
Demo

181. Une formation
Présenter les Playbooks du centre
de sécurité Microsoft Azure
Imade DAKIR

182. Une formation
Azure Security Playbook
Azure security playbook est simplement un ensemble de
procédures
Ces procédures sont exécutées lorsqu'un playbook est
déclenché.
Les alertes de sécurité sont le déclencheur qui lance
l'exécution du playbook
Les playbooks peuvent nous aider à élaborer et à exécuter des
réponses automatisées aux alertes de sécurité, ce qui nous
aide à gérer notre environnement Azure avec peu d'efforts
administratifs
Les playbooks de sécurité du Security Center sont basés sur
Azure Logic Apps

183. Une formation
Demo

184. Une formation
Découvrir Azure Sentinel
Imade DAKIR

185. Une formation
Azure Sentinel
Solution évolutive, cloud-native, de gestion des événements
d'information de sécurité (SIEM) et d'orchestration de la
réponse automatisée de sécurité (SOAR)
Fournit des analyses de sécurité intelligentes et des
renseignements sur les menaces dans toute l'entreprise, en
offrant une solution unique pour la détection des alertes, la
visibilité des menaces, la chasse proactive et la réponse aux
menaces

186. Une formation
Azure Sentinel
Offre une échelle de cloud et une vitesse presque illimitée pour
répondre à vos besoins de sécurité. Azure Sentinel est le premier
SIEM-as-a-service qui utilise la puissance du cloud et de l'intelligence
artificielle
Enrichit votre enquête et votre détection en fournissant à la fois le flux
de renseignements sur les menaces de Microsoft et les flux de
renseignements sur les menaces externes
S'intègre à la solution Microsoft 365 et met en corrélation des millions
de signaux provenant de différents produits tels que
AIP
Microsoft Cloud App Security
Azure ATP
Windows Advanced Threat Protection
O365 Advanced Threat Protection et Intune

187. Une formation
Connecteurs de données
Azure Sentinel est livré avec un certain nombre de
connecteurs pour les solutions Microsoft tel que Microsoft
Threat Protection, et les sources Microsoft 365, dont Office
365, Azure AD, Azure ATP et Microsoft Cloud App Security
En outre, il existe des connecteurs intégrés à l'écosystème
de sécurité plus large pour les solutions non-Microsoft
Vous pouvez également utiliser le format d'événement
commun, Syslog ou REST-API pour connecter vos sources
de données avec Azure Sentinel

188. Une formation
Workbooks
Surveiller les données en utilisant l'intégration d'Azure Sentinel
avec Azure Monitor Workbooks, qui offre une grande souplesse
dans la création de workbooks personnalisés
Bien que les workbooks soient affichés différemment dans
Azure Sentinel, il peut être utile pour vous de déterminer
comment créer des rapports interactifs avec les workbooks
Azure Monitor
Azure Sentinel vous permet de créer des workbooks
personnalisés à partir de vos données, et est également fourni
avec des modèles de workbooks intégrés pour vous permettre
d'avoir rapidement un aperçu de vos données dès que vous
connectez une source de données

189. Une formation
Incidents
Les alertes déclenchées dans les solutions de sécurité Microsoft
qui sont connectées à Azure Sentinel, telles que Microsoft Cloud
App Security et Azure Advanced Threat Protection, ne créent
pas automatiquement d'incidents dans Azure Sentinel
Par défaut, lorsque vous connectez une solution Microsoft à
Azure Sentinel, toute alerte générée dans ce service sera
stockée sous forme de données brutes dans Azure Sentinel,
dans le tableau des alertes de sécurité de votre espace de travail
Azure Sentinel
Ces données peuvent ensuite être utilisées comme toutes les
autres données brutes que vous connectez à Sentinel

190. Une formation
Demo

191. Une formation
Découvrir la classification des données à
l'aide de Azure Information Protection
Imade DAKIR

192. Une formation
AIP
C’est une solution de gestion des droits dans le cloud qui aide
notre organisation à classer et à protéger les documents et les
courriels
La classification est réalisée par l'application des labels
Les labels déterminent la confidentialité des données en fonction
de conditions qui peuvent être fixées par les administrateurs ou,
le cas échéant, par les utilisateurs finaux
L'AIP peut également recommander l'application de certains
labels aux documents et aux courriers électroniques en fonction
du type de données créées
Des licences Azure Active Directory Premium P1 ou P2 sont
nécessaires

193. Une formation
Permissions
L'AIP comprend plusieurs ensembles de permissions
intégrées pour l'accès aux données étiquetées
Ces rôles peuvent être appliqués aux membres de notre
Azure Active Directory ainsi qu'aux destinataires externes
(spécifiés par le nom de domaine internet)
Co-Owner
Co-Author
Reviewer
Viewer
Custom

194. Une formation
Labels
Dans l'AIP, les labels déterminent la classification d'une donnée
Les données étiquetées "Générales" ne sont pas protégées et
peuvent être distribuées à l'intérieur et à l'extérieur d'une
organisation, tandis que les données étiquetées "Confidentielles"
ne le peuvent pas
Les labels peuvent être appliquées manuellement à une donnée
ou automatiquement en fonction de conditions, telles que le
format des données
L'AIP contient 100 conditions préconfigurées, ou nous pouvons
créer les nôtres en nous basant sur une expression régulière
L'application de conditions à un label nécessite Azure Active
Directory P2 l'octroi de licences

195. Une formation
Présenter les politiques de conservation
des données analytiques de stockage
Imade DAKIR

196. Une formation
Politiques de conservation
Par défaut, Storage Analytics ne supprime aucune donnée de
journalisation ou de métric
Les blobs et les tables continueront à être écrits jusqu'à ce que la
limite de 5PiB partagée soit atteinte
Une fois la limite de 5PiB atteinte, Storage Analytics cessera
d'écrire de nouvelles données et ne reprendra pas tant qu'il n'y
aura pas d'espace libre
Pour mieux gérer ces données, nous pouvons créer une politique
de rétention
Les politiques de rétention peuvent être créées via l'API REST ou
dans le Portail

197. Une formation
Demo

198. Une formation
Connaitre la souveraineté des
données avec la politique d'Azure
Imade DAKIR

199. Une formation
Souveraineté des données
Parfois, en raison de réglementations gouvernementales ou autres, il est
nécessaire de s'assurer que nos données organisationnelles résident dans
un pays d'origine particulier
Avec Azure, nous sommes en mesure de créer des ressources Azure dans
des régions situées dans le monde entier
Pour faire respecter la souveraineté des données, nous pouvons utiliser
Azure Policy pour faire respecter l'emplacement des ressources d'Azure et
des données qui y sont contenues
Azure Policy contient de nombreuses politiques préconfigurées pour nous
aider à atteindre nos objectifs de conformité. L'une d'entre elles détermine
les emplacements autorisés où les ressources d'Azure peuvent être
déployées

200. Une formation
Comprendre Azure Key Vault
Imade DAKIR

201. Une formation
Azure Key Vault
Permet de sauvegarder et de gérer les clés pour la cryptographie et les
secrets utilisés par les applications et services Azure
Azure Key Vault tasks
Stocker en toute sécurité et contrôler étroitement l'accès aux tokens,
aux mots de passe, des certificats, des clés API et d'autres secrets
Créer et contrôler les clés de cryptage utilisées pour chiffrer les
données
Fournir, gérer et déployer des systèmes de sécurité publics et privés.
Certificats SSL/TLS (Sockets Layer/Transport Layer Security) pour
utilisation avec des ressources internes connectées
Les modèles du gestionnaire de ressources Azure peuvent accéder
aux secrets et aux clés stockées dans un coffre-fort à clés pendant le
déploiement d'autres ressources azure

202. Une formation
Accès au Key Vault
Les données d'Azure Key Vault étant sensibles et essentielles
pour les entreprises, nous devons sécuriser l'accès à nos
coffres-forts en n'autorisant que les applications et les
utilisateurs autorisés
L'accès à Azure Key Vault est contrôlé par une politique
d'accès
Les politiques d'accès déterminent les privilèges accordés aux
clés, secrets et certificats stockés dans le Key Vault
Le RBAC est également utilisée pour déterminer l'accès à la
ressource de Key Vault

203. Une formation
Démo

204. Une formation
Utiliser Azure Key Vault
Imade DAKIR

205. Une formation
Démo

206. Une formation
Comprendre l’authentification et
l’audit des bases de données
Imade DAKIR

207. Une formation
Authentification SQL avec Azure AD
Par défaut, les bases de données Azure SQL, les instances
gérées et les entrepôts de données utilisent des comptes
d'utilisateurs locaux pour l'authentification
Lorsqu'une des ressources mentionnées ci-dessus est
initialement déployée, un compte SQL Server est créé
pour l'administration (pensez au compte SA dans MSSQL
Server)

208. Une formation
Authentification Azure AD
Azure Active Directory peut être configuré pour simplifier
l'authentification à l'une de ces ressources
Les avantages de l'authentification Azure AD :
Compte utilisateur unique pour l'authentification de la base de
données
La force du mot de passe est basée sur les politiques d'Azure AD
Prise en charge de l'authentification ADFS
Prise en charge de MFA
Utilisation d'outils de gestion SQL avec l'authentification Azure AD
Afin de s'intégrer à Azure AD, un administrateur Azure AD doit
être affecté à la base de données SQL, à l'instance gérée ou aux
données l'entrepôt
Il peut s'agir d'un objet utilisateur ou d'un objet de groupe
Cet utilisateur peut assigner d'autres utilisateurs et groupes Azure
AD à SQL ressources

209. Une formation
Audit
L'audit des bases de données SQL et des entrepôts de
données nous aide à maintenir la conformité et à mieux
comprendre l'activité dans ces zones critiques de
ressources Azure
Nous pouvons utiliser l'audit SQL pour conserver les
données d'audit des événements relatifs à nos bases de
données SQL, créer des rapports sur l'activité des bases de
données et analyser ces rapports avec Azure Monitor pour
découvrir les événements et activités inhabituels

210. Une formation
Les journaux d'audit
Les journaux d'audit SQL peuvent être configurés pour le
serveur SQL dans son ensemble ou au niveau de chaque base
de données
Si vous définissez l'audit au niveau du serveur, l'audit au
niveau de la base de données sera également activé
Si vous auditez à la fois les composants au niveau du serveur
et de la base de données, certaines données d'audit seront
saisies deux fois
Les journaux d'audit peuvent être envoyés aux comptes de
stockage, à Log Analytics (à utiliser par Azure Monitor), ou à
Event Hub (à ingérer par une solution tierce ou Power BI)
La journalisation peut être configurée à l'aide du portail
Azure, de PowerShell, de la API REST, ou modèles ARM

211. Une formation
Demo

212. Une formation
Détecter les menaces dans
la base de données SQL Azure
Imade DAKIR

213. Une formation
Azure SQL Database Threat Protection
Peut aider à protéger votre infrastructure Azure SQL en
détectant et en alertant sur les activités indiquant des
tentatives inhabituelles et potentiellement nuisibles d'accès
ou d'exploitation des bases de données
Peut identifier des injections SQL potentielles, un accès à
partir d'un emplacement ou d'un centre de données
inhabituel, un accès à partir d'un principal inconnu ou d'une
application potentiellement nuisible et des références SQL en
force brute
Les notifications d'alertes peuvent être consultées sur le
portail Azure ou envoyées par courrier électronique
La sécurité avancée des données est un service haut de
gamme qui entraîne des coûts supplémentaires

214. Une formation
Demo

215. Une formation
Gérer le contrôle d'accès et les clés
pour les comptes de stockage
Imade DAKIR

216. Une formation
Contrôle d'accès et des clés
Les comptes de stockage Azure sont les repositories des
données accessibles par utilisateurs, applications et autres
services Azure
Le verrouillage de ces comptes de stockage est un
élément essentiel de la sécurité d'Azure

217. Une formation
Méthodes de sécurisation
Nous pouvons utiliser plusieurs méthodes différentes pour
sécuriser le comptes du stockage
Nous pouvons utiliser des clés d'accès, qui permettent à
l'utilisateur d'avoir un contrôle sur l'ensemble du compte
de stockage
Nous pouvons également utiliser les signatures d'accès
partagé (SAS), qui permettent un accès fin aux services des
comptes de stockage
Par exemple, nous pouvons appliquer un SAS pour
accorder un accès en lecture seule à un conteneur de blob
au sein d'un compte de stockage

218. Une formation
Demo

219. Une formation
Découvrir la sécurité pour
HDInsight
Imade DAKIR

220. Une formation
Sécurité HDInsight
Les clusters ESP (Enterprise Security Package) fournissent un accès
multi-utilisateurs sur les clusters Azure HDInsight
Les clusters HDInsight avec ESP sont connectés à un domaine afin
que les utilisateurs du domaine puissent utiliser leurs identifiants
de domaine pour s'authentifier auprès des clusters et exécuter
des jobs Big Data
Afin de créer un cluster HDInsight avec ESP, Azure Active Directory
Domain Services (Azure AD DS) doit être déployé dans le tenant
Azure
Une fois activée, une identité gérée pour le cluster HDInsight doit
être créée et se voir attribuer le rôle de contributeur de services
de domaine HDInsight dans l'instance AAD DS
Une fois ces conditions préalables remplies, le cluster HDInsight
avec L'ESP peut être déployée dans Azure

221. Une formation
Découvrir la sécurité pour
Cosmos DB
Imade DAKIR

222. Une formation
Sécurité CosmosDB
Utilise deux types de clés pour authentifier les utilisateurs et donner accès
à ses données et à ses ressources
Master Keys
Utilisée pour les ressources administratives telles que les comptes de base
de données, les bases de données, les utilisateurs et les autorisations
Resource tokens
Utilisés pour les ressources de l’application; conteneurs, documents, pièces
jointes, procédures stockées, déclencheurs et fonctions définies par
l’utilisateur
Chaque compte se compose de deux clés principales; une clé primaire et
une clé secondaire
Le but des doubles clés est de nous permettre de régénérer ou les clés de
roulette, qui permettent un accès continu à notre compte et à nos données

223. Sécurité CosmosDB
Nous pouvons utiliser un resource token (en créant des utilisateurs et des autorisations
Cosmos DB) lorsque nous voulons donner accès à des ressources dans votre Cosmos DB
à un client qui ne peut pas être approuvé avec la clé primaire

224. Une formation
Demo

225. Une formation
Découvrir la sécurité pour
Microsoft Azure Data Lake
Imade DAKIR

226. Une formation
Sécurité Data lake
La sécurisation des données dans Azure Data Lake Storage utilise
une combinaison de permissions basées sur le rôle d'Azure AD et
de listes de contrôle d'accès au sein du système de fichiers Data
Lake
Les principes de sécurité d'Azure AD contrôlent l'accès au compte
Gen1 de Data Lake Storage à partir du portail et les opérations de
gestion à partir du portail ou par le biais d'API
Ces principes réglementent également le contrôle d'accès aux
données stockées dans le Data Lake Storage Gen1
Nous pouvons également verrouiller l'accès à Data Lake au niveau
du réseau en utilisant un pare-feu de ressources

227. Une formation
Demo

228. Une formation
Microsoft Azure SQL Database
Always Encrypted
Imade DAKIR

229. Une formation
Always Encrypted
C’est une technologie de cryptage des données dans la base de
données Azure SQL et le serveur SQL qui permet de protéger les
données sensibles au repos sur le serveur, lors des mouvements
entre le client et le serveur, et pendant que les données sont
utilisées
Cela permet de garantir que les données sensibles n'apparaissent
jamais en clair dans le système de base de données
Une fois les données cryptées, seules les applications clientes ou
les serveurs d'applications qui ont accès aux clés peuvent accéder
aux données en clair
Always Encrypted est configuré dans SQL Server Management
Studio à l'aide de l'assistant Always Encrypted
Nous pouvons utiliser Always Encrypted pour crypter des bases
de données entières ou des colonnes et des lignes individuelles
dans la base de données

230. Une formation
Découvrir le cryptage de la
base de données
Imade DAKIR

231. Une formation
Encrypting Data at Rest
Disponible pour SaaS, PaaS et IaaS
Transparent Data Encryption
Cryptage de Cosmos DB
Cryptage de Data Lake

232. Une formation
Transparent Data Encryption
Services clés
SQL Server
Azure SQL Database
Azure SQL Data Warehouse
Comment cela fonctionne
AES et Triple Data Encryption standard
Database encryption key

233. Une formation
Cryptage de Cosmos DB
Chiffrement par défaut et utilise des systèmes de
stockage de clés sécurisés, des réseaux cryptés et
des API cryptographiques

234. Une formation
Cryptage de Data Lake
Activé par défaut
Les clés sont gérées pour vous (facultatif)
3 clés
Master encryption key (MEK)
Data encryption key (DEK)
Block encryption key (BEK)

235. Une formation
Encrypting Data in Motion
TLS/SSL
Transport Layer Security (TLS)
Entre le cloud et le client
Authentification forte
Confidentialité des messages
Intégrité
Perfect Forward Secrecy (PFS)
Protège les données entre les systèmes des clients et le cloud
Shared Access Signatures
Déléguer l'accès aux objets Azure Storage
Data Lake
Les données en transit sont toujours cryptées dans le Data Lake
Store
HTTPS est le seul protocole disponible pour l'interface REST

236. Une formation
Demo

237. Une formation
Découvrir le cryptage du
service de stockage
Imade DAKIR

238. Une formation
Chiffrement de stockage
Azure Storage crypte automatiquement vos données avec un
cryptage AES 256 bits
Les données dans Azure Storage sont cryptées et décryptées de
manière transparente
Le cryptage d'Azure Storage est activé pour tous les comptes de
stockage nouveaux et existants et ne peut être désactivé
Tous les niveaux de compte Azure Storage et les modèles de
déploiement sont cryptés
Les clients d'Azure ont le choix de choisir Microsoft pour gérer la
clé de cryptage des comptes de stockage, ou nous pouvons
fournir notre propre clé et gérer la clé en utilisant Azure Key Vault
Les clés gérées par les clients peuvent être configurées en utilisant
le portail Azure, PowerShell, et la CLI d'azure

239. Une formation
Demo

240. Une formation
Découvrir le cryptage des
disques
Imade DAKIR

241. Une formation
Disk Encryption
Les clients d'Azure peuvent choisir de crypter les disques gérés de leur
machine virtuelle pour protéger les données
Azure utilise le chiffrement de disque Bit Locker pour les disques
gérés par Windows et le chiffrement de disque DM-Crypt pour les
disques gérés par Linux
Les disques standard et premium peuvent bénéficier du cryptage de
disque
Nous pouvons utiliser Azure Security Center pour être avertis de toute
machine virtuelle n'utilisant pas le chiffrement de disque et voir les
instructions sur la façon de chiffrer ces disques
Azure Key Vault peut être utilisé pour gérer les clés utilisées pour
crypter les disques
Azure Disk Encryption exige que votre Key Vault et vos machines
virtuelles résident dans la même région Azure et le même
abonnement

242. Une formation
Demo

243. Une formation
Découvrir le cryptage des
sauvegardes
Imade DAKIR

244. Une formation
Backup Encryption
Les sauvegardes en Azure sont cryptées avec le protocole AES-
256 et sont transmises à Azure Backup Vault par une
communication HTTPS sécurisée
Cryptées au repos par défaut
Aucune configuration n'est nécessaire pour activer cette fonction
Les sauvegardes sur site utilisent passphrase configurée lors de
l'installation du client Azure Backup
Les VM Azure sont cryptées au repos à l'aide de Storage
Service Encryption
Si la passphrase créée lors de l'installation du client est perdue, les
données de sauvegarde sont irrécupérables
Azure Key Vault peut être utilisé pour stocker les passphrase de
sauvegarde d'Azure comme secrets

245. Une formation
Demo

246. Une formation
Présenter l'activation de Always
Encrypted dans Azure SQL
Imade DAKIR

247. Une formation
Demo

248. Une formation
Mise en œuvre des validations de
sécurité pour le développement des
applications
Imade DAKIR

249. Une formation
Sécurité pour le développement
Les applications basées sur les ressources PaaS permet un
déploiement plus facile des applications web et mobiles,
car nous, l'utilisateur final, ne sommes plus responsables
d'éléments tels que l'infrastructure physique et la mise en
réseau
Cela ne veut pas dire que la sécurité n'a plus d'importance
lors du développement et du déploiement d'applications
basées sur le PaaS
La prudence doit être prises lors de la sécurisation de ces
applications qui, par design, sont plus vulnérables que les
applications on-premises

250. Une formation
Bonnes pratiques
Adopter une politique d'identité comme principal périmètre de
sécurité
Sécurisez vos clés et vos secrets pour sécuriser votre déploiement
PaaS
Gérez directement vos ressources PaaS chaque fois que cela est
possible
Utilisez une authentification et une autorisation fortes
Utilisez Web Application Firewall
Surveillez les performances de l'application
Effectuer des tests de pénétration

251. Une formation
Découvrir les opérations sur
titres synthétiques
Imade DAKIR

252. Une formation
Azure Application Insights
Peut être utilisé pour surveiller l'App Service en effectuant
des tests récurrents pour contrôler la disponibilité et la
réactivité
Les problèmes de performance et de disponibilité peuvent
être le résultat de problèmes de sécurité sous-jacents, il
est donc recommandé d'effectuer ces tests souvent
Types de tests de disponibilité
URL ping test
Multi-step web test
Custom track availability tests

253. Une formation
Demo

254. Une formation
Présenter les certificats SSL
et TLS
Imade DAKIR

255. Une formation
Certificats SSL et TLS
Les certificats SSL privés et publics peuvent être utilisés pour
sécuriser les communications sur les applications Web Azure
Combinés avec des domaines personnalisés, nous pouvons
donner à nos applications un espace de nom "vanité" pour l'accès
des utilisateurs
Les plans de service des applications des niveaux Basic, Standard,
Premium ou Isolated sont nécessaires pour utiliser des certificats
SSL personnalisés
Les certificats peuvent être gérés avec le portail Azure, le CLI ou
PowerShell

256. Une formation
Demo

257. Une formation
Connaitre la protection des
applications web
Imade DAKIR

258. Une formation
Protection des WebApp
Azure Web App peuvent être protégées en déployant
d'autres ressources Azure telles que l’Application Gateway
et le Web Application Firewall devant vos Web App
Les applications Gateway assurent l'équilibrage de charge
du réseau et la gestion du trafic pour les machines
virtuelles Azure, les virtual machine scale-sets, et les app
services
Avec une Application Gateway, nous pouvons configurer
un routage basé sur des URL et un hébergement multi-
sites ainsi que d'autres fonctionnalités pour augmenter la
disponibilité des applications web

259. Une formation
Le Web Application Firewall
C’est une fonctionnalité de l’Application Gateway qui
assure une protection centralisée de nos
applications web contre les exploits et les
vulnérabilités les plus courants
Le WAF est basé sur les règles de l'OWASP (Open
Web Application Securit y Project), qui sont des
ensembles de règles de base 3.2, 3,1, 3.0 ou 2.2.9.

260. Une formation
Demo

261. Une formation
Conclusion
Imade DAKIR

262. Une formation
Bilan
Configuration d'Azure AD pour les charges de travail
Azure AD Gestion d'identité privilégiée PIM
Azure Sécurité des locataires
Sécurité des réseaux
Sécurité de l'hôte
Sécuriser les ressources Azure
Sécurité des conteneurs
Configuration des services de sécurité
Politiques de sécurité
Alertes de sécurité
Gestion des données
Azure Key Vault
Sécurité de l'infrastructure des données
Cryptage des données au repos
Sécurité pour la remise des demandes

263. Préparation d’examen AZ500
Passer l’examen AZ500 et devenir un ingénieur
de sécurité Azure 