La sécurité
Introduction
Tout en informatique est affaire de sécurité, et le sujet est traité globalement. Ce n’est pas une seule et même fonctionnalité qui va sécuriser le système d’information mais bien une succession de fonctionnalités complémentaires.
Dans le domaine, il faut s’entourer de plusieurs couches de sécurité. Sans cela, la moindre défaillance d’une couche donnerait accès à des données d’entreprise et aux systèmes qui la composent. S’il est nécessaire de multiplier les couches, encore faut-il le faire avec une bonne connaissance des services Cloud natifs qui sont une aide précieuse pour renforcer et sécuriser son Cloud Azure.
Une partie des éléments de sécurité ont déjà été présentés dans les différents chapitres du livre : sécurité d’accès aux données stockées dans le chapitre Le stockage, sécurité des accès réseau dans le chapitre Le réseau, ou encore privatisation des accès à l’aide des liaisons privées dans le chapitre Pour aller plus loin. Ce ne sont là que quelques exemples.
Pour compléter le sujet, il reste à traiter la sécurité des secrets (certificats, mot de passe d’authentification...
Coffre de clés ou Key Vault
Le coffre de clés Azure gère les clés et les secrets pour les applications et services d’entreprise.
Il garantit une parfaite protection des secrets et une supervision des accès afin de savoir qui sollicite les secrets. Avoir les droits sur le composant coffre de clés, ce n’est pas avoir les droits sur son contenu. Les autorisations pour la consultation des clés, secrets et certificats sont définies dans des stratégies d’accès. Il supporte le contrôle d’accès en fonction du rôle Azure, mais les stratégies d’accès sont pour l’instant le scénario à privilégier pour les autorisations.
Comme de plus en plus de composants, il active par défaut les options de récupération (suppression réversible) pour une durée de 90 jours. Il y a une différence notable entre les deux niveaux tarifaires proposés :
-
Standard : c’est le niveau par défaut, il ne supporte pas les modules HSM (Hardware Security Module ou module de sécurité matérielle).
-
Premium : il inclut le module HSM.
Azure Key Vault Managed HSM est un service managé monolocataire, c’est-à-dire dédié à un seul client. Il est également possible pour l’entreprise de générer et d’importer les clés générées depuis son HSM local.
Dans les exercices suivants, un coffre de clés est créé, puis un secret ; il est ensuite modifié pour comprendre la notion de version de secret.
Depuis le portail, dans la barre de recherche, saisissez coffre puis sélectionnez Coffre de clés.
Choisissez + Créer, puis sélectionnez le groupe de ressources rg-formation-eni-test. Nommez le coffre kv-formation-eni-prod-01.
Dans les bonnes pratiques, les coffres sont séparés par environnement ; ici, -prod-. La granularité des stratégies d’accès ne dépasse pas le type de secrets, soit Clés, Secrets ou Certificats. Si les coffres ne sont pas dédiés à un environnement, les accès prod, test ou maquette ne sont pas séparés. Il faut fonctionner avec des coffres dédiés....
Azure Firewall
Azure Firewall (ou pare-feu) a été amélioré il y a peu de temps et offre une vraie solution de firewall sous la forme de service. Cette version ajoute un bon nombre d’options. Un pare-feu est une protection réseau pour les données entrantes ou sortantes. Même si c’est un peu réducteur, Azure Firewall est un super gest ionnaire de NSG, mais beaucoup plus central et beaucoup plus complet.
Comme tout système de sécurité réseau, le service doit contrôler ce qui transite pour autoriser ou non le trafic de réseau à réseau. C’est donc une analyse de trafic basée sur des conditions ou règles (un protocole ou un port par exemple).
Azure Firewall peut contrôler les flux de l’Internet vers le réseau interne, du réseau interne vers l’Internet mais également le trafic entre les réseaux internes (par exemple, entre les VNet).
1. Présentation générale
Ce n’est pas une seule fonctionnalité mais un ensemble qui forme un tout. Sous le terme pare-feu, on trouve trois entrées sur le portail : Pare-feux, Stratégies de pare-feu et Firewall Manager.
Les entrées pare-feu du portail
Pourquoi a-t-on trois menus différents ? Implémenter un pare-feu, c’est établir un ensemble de règles de filtrages réseau, les stratégies, créer...
Stratégies Web Application Firewall
Stratégies Web Application Firewall, ou WAF en langage courant, sécurise les applications web. Comme elles sont exposées publiquement, elles sont particulièrement vulnérables et sont des cibles fréquentes pour les attaquants. Sécuriser un site web est une opération compliquée.
En effet, les types d’attaques sont nombreux (attaques par scripts ou injection SQL par exemple). De plus, ces attaques évoluent et un site parfaitement sécurisé, c’est-à-dire répondant aux attaques existantes, doit constamment évoluer pour faire face aux nouvelles attaques et aux nouveaux types de risques de sécurité.
Déployer un service WAF, c’est ajouter une couche de protection supplémentaire et renforcer la sécurité, même si elle a été traitée dans le cycle de développement du site. Il ne faut pas avoir peur d’en faire trop sur le sujet.
WAF est déployé en complément d’autres services Azure. Lors de la création d’une stratégie, il faut lier cette stratégie à l’un des services éligibles, Front Door, Application Gateway ou Azure CDN. Ils ne sont pas présentés dans cet ouvrage. À des niveaux différents, ils optimisent la distribution de contenu...
Protection DDoS (Distributed Denial of Service)
Les attaques par déni de service sont des scénarios d’attaques qui saturent un service. L’attaquant envoie un très grand nombre de requêtes non légitimes ou malveillantes (botnet par exemple) et le service ne sait plus répondre, ni aux requêtes légitimes ni aux requêtes non légitimes.
Il existe d’autres types d’attaques ; augmenter le trafic jusqu’à le rendre inefficace est une attaque volumétrique.
Si le principe de ces attaques est assez simple, limiter efficacement la saturation du service n’est pas chose facile, principalement parce qu’il faut faire le "tri" entre ce qui constitue une requête légitime et une requête malveillante.
Pour cela, le service DDoS supervise (monitore) en continu le trafic et adapte automatiquement les paramètres de protection (algorithme de Machine Learning). Au départ, pour connaître le trafic, il y a une forme d’apprentissage ; puis grâce à cet apprentissage, le service "sait" qu’un comportement normal pour les services protégés est par exemple compris entre 1000 et 3000 requêtes.
Si le seuil de 3000 est dépassé, DDoS commence à atténuer. Les paquets sont routés et analysés pour séparer le trafic légitime du trafic...