Télécharger en tant que PDF, PPTX
Téléchargé parMicrosoft Décideurs IT
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés
Le document présente la conception d'une architecture sécurisée sur Microsoft Azure, mettant l'accent sur la responsabilité partagée en matière de sécurité entre Microsoft et les utilisateurs. Il aborde des fonctionnalités telles que la protection contre les malwares, la gestion des clés via Azure Key Vault et la configuration des réseaux virtuels. Les services de sécurité et de supervision sont intégrés pour améliorer la gouvernance des données et la gestion des accès.
Contenu connexe
Similaire à Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés
![[GAB2016] La sécurité dans Azure - Estelle Auberix](https://cdn.slidesharecdn.com/ss_thumbnails/gab2016estelleauberixsecurit-160418121841-thumbnail.jpg?width=640&height=640&fit=bounds)
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouveautés
- 1. SEC310 Azure IaaS :concevoir une architecture sécurisée en tirant bénéfice des nouveautés René Jaouen – Thales e-security Arnaud Jumelet – Microsoft France Stéphane Woillez – Microsoft France
- 2.
- 3.
- 4. La plateforme deCloud Public • Microsoft Azure, un ensemble de data centers à travers le monde. • Le client sélectionne des ressources et des services dans la ou les régions de son choix. US US US US Europe Europe AsieAsieAsieAsie AustralieBrésil
- 5. Azure ADVMs Cloud Svcs RemoteApp Multi-factor Auth Virtual N/W Express Route Traffic Manager Blobs Tables Operational Insights Key Vault HDInsight Media Scheduler Backup StorSimple Media Machine Learning Websites Mobile SQL Azure Visual Studio BizTalk Cache Hybrid Notification Hub Service Bus … VM Extensions
- 6. Risques qu’un fournisseur Cloudpeut aider à réduire Risques partagés Risques qu’un client doit gérer Data governance & rights management Responsibility On prem IaaS PaaS SaaS Client end-points Account & access management Identity & directory infrastructure Application Network controls Operating system Physical network Physical datacenter CustomerMicrosoft Physical hosts
- 7.
- 9.
- 10. Antivirus/antimalware dans Azure Laresponsabilité est partagée entre Microsoft et les utilisateurs Azure AZURE • Réalise la supervision et la gestion des alertes anti malware au niveau de la plateforme • Propose la protection antimalwares des VM, et le scan à la demande via les extensions de machines virtuelles UTILISATEURS • Installe et configure l’anti malware de Microsoft ou d’un partenaire • Extrait les événements vers un outil de centralisation • Supervise les alertes associées aux machines virtuelles • Réagit aux alertes relevées Azure Storage Customer Admin Guest VM Cloud Services Customer VMs Portal SMAPI Guest VM Enable & configure antimalware Events Extract Antimalware Health Events to SIEM or other Reporting System Event ID Computer Event Description Severity DateTime 1150 Machine1 Client in Healthy State 4 04/29/2014 2002 Machine2 Signature Updated Successfully 4 04/29/2014 5007 Machine3 Configuration Applied 4 04/29/2014 1116 Machine2 Malware Detected 1 04/29/2014 1117 Machine2 Malware Removed 1 04/29/2014 SIEM Admin View Alerting & reporting Microsoft Azure
- 12.
- 13.
- 14. • Centralisation etcorrélation de logs en provenance des machines virtuelles • Recherche et analyses prédictives sur ces logs • Pack d’intelligence pour faciliter la supervision • Intégration avec System Center Operations Manager
- 15. Supervision Opérationnelle etprédictive des logs de machines virtuelles Microsoft Azure Operational Insights Preview Serveurs connectés à SCOM Windows & Linux Windows & Linux Serveurs connectés en direct VMs Azure Event Logs | Logs IIS | Logs Sécurité Performances | Syslog | & plus… Données Machines Log Management Sources de données multiples Contexte opérationnel Audits système Prévisions de capacité Gestion du changement Supervision de l’identité Intégration System Center
- 16. • Antimalware • Security •Active Directory • System Update
- 18. Operational Insights Appli Mobile VMExtensions Sécurité
- 19.
- 20.
- 21. Microsoft Azure IaaS SaaSPaaS MicrosoftConfidential Key Vault offre un moyen facile, abordable pour protéger les clés et les autres secrets utilisés par les applications cloud à l'aide de boitiers HSMs. Importer clés HSM KeyVault
- 22. KeyVault Vos applications Fournir àvos applications métiers un accès sécurisé aux clés pour signer et chiffrer les données. SQL Server Mettre en œuvre et gérer des clés pour SQL Server à demeure ou sous forme de machines virtuelles dans le Cloud avec Transparent Data Encryption (TDE), Column Level Encryption (CLE) et les sauvegardes Machines virtuelles Chiffrer les données des disques OS et DATA des machines virtuelles Azure Chiffrer les certificats utilisés par les machines virtuelles Azure pour plus de sécurité
- 23.
- 24.
- 25.
- 26.
- 27. o Delivers HighPerformance / High Quality Key Generation o Provides Certified Full Lifecycle Hardware Key Management o Mitigates Risks Of Non-Compliance With Regulatory Mandates o Facilitates Security Auditing Taking Systems Out Of Scope o Maintains Your Control Of Key Protecting Your Tenant Key o Ensures Control Over The Security Of Your Data Enables You to Use The Cloud With Confidence!
- 28.
- 29. Microsoft Confidential HSM App Propriétaire dela clé Key Vault Opérateur de l’App
- 30. Key Vault Service Azure Active Directory SQLServer Admin Operations de sécurité Auditeur SQL Server Connector E K M 1. Inscrit l’instance SQL Server dans Azure AD 2a. Créer le Vault 2b. Créer la clé 2c. Autoriser l’accès au Vault à SQL Server 4. Authentification 3. Configurer le chiffrement SQL Server 5. Protection des clefs 6. Auditer l’utilisation des clés (bientôt) • SQL Server 2014 RTM Enterprise • SQL Server 2012 SP2 Enterprise • SQL Server 2012 SP1 CU6 Enterprise • SQL Server 2008 R2 SP2 CU8 Enterprise
- 31.
- 32. tech.days 2015#mstechdaysTitre sessionpied de page
- 33. tech.days 2015#mstechdaysTitre sessionpied de page
- 34. tech.days 2015#mstechdaysTitre sessionpied de page
- 35.
- 36. tech.days 2015#mstechdaysTitre sessionpied de page
- 37. Add-AzureKeyVaultKey -VaultName 'MyHSMKeyVault'–Name ‘SQLMasterKeyHW' –Destination 'HSM'
- 38. tech.days 2015#mstechdaysTitre sessionpied de page
- 39. Azure Key Vault+ SQL Server 2014
- 40. • • • Extensible Key ManagementUsing Azure Key Vault (SQL Server)
- 41.
- 42. AzureVirtual Network VPN GW FrontauxApplicationBackend Internet Connectivité vers Monréseau Privé Connectivité vers/depuis Internet • IP Load-balancés ou directes • protection ACLs & DDoS • Traffic Manager • Support IaaS + PaaS • Topologies multi tiers • ACLs Réseau (Access Groups) • Connectivité multiple inter VNET • Connectivité VPN IPSec via Internet • Passerelles classiques et premium • Connectivité privée via Azure ExpressRoute
- 43. AZURE • Contrôle letrafic réseau en provenance d’Internet • Propose une configuration par défaut autorisant uniquement l’admin remote des serveurs • Implémente l’état de l’art de la protection anti DDOS • Exécute des tests de sécurité réguliers UTILISATEURS • Contrôlent le firewall de protections des services et VMs • Etablissent les liens de connectivité entre réseaux • Configurent les règles de filtrage réseau Customer 2 INTERNET Isolated Virtual Networks Customer 1 Isolated Virtual Network Deployment X Deployment X Deployment Y Portal Smart API Administration par l’utilisateur VNET to VNET Cloud Access Layer Web Endpoint (public access) RDP Endpoint (password access) Client Client VPN Corp 1 Microsoft Azure Portal SMAPI Protection et filtrage réseau La responsabilité est partagée entre Microsoft et les utilisateurs Azure
- 44.
- 45. Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises 10.0/16 S2S VPNs Internet PrioritéSource Src.Port Destination Dest. Port Protocol Accès 65000 * * * 80 TCP ALLOW 32000 * * * * TCP DENY
- 46.
- 47. 1. New-AzureNetworkSecurityGroup -Name “BackendPolicy" -Location europenorth -Label “NSG pour controler la securite backend" 2. Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set-AzureNetworkSecurityRule -Name WEB -Type Inbound -Priority 100 -Action Allow -SourceAddressPrefix 'INTERNET' - SourcePortRange '*' -DestinationAddressPrefix '*' -DestinationPortRange '*' -Protocol TCP 3. Get-AzureVM -ServiceName "MyWebsite" -Name "Instance1" | Set- AzureNetworkSecurityGroupConfig -NetworkSecurityGroupName "MyVNetSG" | Update- AzureVM Get-AzureNetworkSecurityGroup -Name "MyVNetSG" | Set- AzureNetworkSecurityGroupToSubnet -VirtualNetworkName 'VNetUSWest' -SubnetName 'FrontEndSubnet' Virtual Network DB-Tier 10.1.3/24 App-tier 10.1.2/24 Web-Tier 10.1.1/24 Internet Internet Ressource : https://msdn.microsoft.com/en-us/library/azure/dn848316.aspx
- 48. Jusqu’à 4 adressesIP par VM Les multi adresses MAC et IP des VMs sont persistantes Les scénarios possibles en multi NIC Virtual Appliances Séparation des types de trafic réseau Implémentation de Firewalls spécifiques Analyse des flux réseau Azure Virtual Machine NIC2 NIC1 Default Azure Virtual Network Frontend Subnet App Subnet Backend Subnet Internet 10.2.2.2210.2.3.33 10.2.1.11 VIP: 133.44.55.66 Add-AzureNetworkInterfaceConfig -Name "Ethernet1" -SubnetName "Midtier" -StaticVNetIPAddress "10.1.1.11" -VM $vm Add-AzureNetworkInterfaceConfig -Name "Ethernet2" -SubnetName "Backend" -StaticVNetIPAddress "10.1.2.22" -VM $vm
- 49. Implémentation réelle du scénario« extension privée de DataCenter sur Azure » “Force” ou redirige le trafic Internet des VMs Azure vers le réseau privé, au travers d’ExpressRoute Permet le contrôle et l’analyse du traffic internet des VMs Azure par les outils habituels des utilisateurs Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises S2S VPNs Forced Tunneled via S2S VPN Internet
- 50.
- 51. tech.days 2015#mstechdays Examen 70-532Examen 70-533 Examen 70-534
- 52.
- 53. © 2015 MicrosoftCorporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr