Considérations relatives à la sécurité pour l’accélérateur de la zone d’atterrissage des Services d’intégration Azure

Toute application Azure repose sur une bonne sécurité. Les Services d’intégration Azure rencontrent un défi particulier, car les applications se composent de nombreuses ressources ayant chacune leurs propres considérations en matière de sécurité. Pour vous assurer que bien comprendre les considérations spécifique à chaque service, reportez-vous aux bases de référence de la sécurité suivantes :

• Ligne de base de sécurité Azure pour Logic Apps

• Base de référence sur la sécurité Azure pour la Gestion des API

• Base de référence de la sécurité Azure pour Data Factory

• Base de référence de sécurité Azure pour Service Bus

• Base de référence de la sécurité Azure pour Functions

• Base de référence de la sécurité Azure pour le Stockage

• Ligne de base de sécurité Azure pour Key Vault

Remarques relatives à la conception

Lors de la conception de votre modèle de sécurité, vous allez rencontrer deux domaines de conception différents : la sécurité au moment de la conception et la sécurité à l’exécution.

• La sécurité au moment du design implique l’accès à la gestion et à la création de ressources Azure via le Portail Azure ou via une API de gestion. Dans Azure, nous utilisons Microsoft Entra ID et le contrôle d’accès en fonction du rôle (RBAC) pour y parvenir.

• La sécurité au moment de l’exécution implique l’accès aux points de terminaison et aux ressources dans le flux d’une application (par exemple, lors de l’authentification et de l’autorisation d’un utilisateur qui appelle une application logique ou une opération d’API dans API Management).

Déterminez le plus tôt possible si vous avez besoin des éléments suivants :

• Cloud privé : toutes vos ressources résident dans un réseau virtuel et utilisent uniquement l’adressage privé, sans accès à ou depuis l’Internet public et potentiellement disponible pour vos ressources locales via VPN ou ExpressRoute.

• Cloud public : toutes vos ressources publiques ont accès à l’Internet public, mais sont verrouillées pour limiter l’accès depuis l’Internet public.

• Hybride : certaines ressources sont privées et d’autres sont publiques.

Votre choix a un impact sur le coût des ressources et sur le niveau de sécurité que vous pouvez mettre en œuvre pour vos applications.

Exemples de considérations générales concernant la sécurité :

• Utiliser des services Azure pour protéger le trafic d’entrée et de sortie

• Utilisation de Microsoft Entra ID et d’OAuth 2.0 pour gérer l’authentification.

• Appliquer des stratégies de gouvernance avec Azure Policy

• Verrouiller l’accès aux ressources (contrôle d’accès)

• Chiffrer les données en transit et au repos

• Journaliser toutes les tentatives d’accès aux ressources

• Effectuer un audit de l’accès aux ressources

Recommandations de conception

Recommandations relatives à la conception des réseaux

• Envisagez l’utilisation d’une Application Gateway (Azure Application Gateway ou Azure Front Door) avec un Web Application Firewall (WAF) devant vos points de terminaison accessibles. Cela vous permettra de chiffrer automatiquement les données et facilitera la surveillance et la configuration de vos points de terminaison.

  • Front Door est un réseau de distribution d’applications qui fournit un équilibrage de charge global et un service d’accélération de site pour les applications web. Front Door offre des fonctionnalités de couche 7, telles que le déchargement SSL, le routage basé sur le chemin, le basculement rapide, la mise en cache pour améliorer les performances et la disponibilité de vos applications.

  • Traffic Manager est un équilibreur de charge du trafic DNS qui vous permet de distribuer le trafic de manière optimale aux services dans toutes les régions Azure globales, tout en offrant réactivité et haute disponibilité. Traffic Manager étant un service d’équilibrage de charge basé sur le DNS, il équilibre la charge uniquement au niveau du domaine. Pour cette raison, il ne peut pas basculer aussi rapidement que Front Door, en raison de défis courants concernant la mise en cache DNS et les systèmes qui ne respectent pas DNS TTLS.

  • Application Gateway propose un contrôleur de livraison d’applications managé doté de diverses fonctionnalités d’équilibrage de charge de couche 7. Vous pouvez utiliser Application Gateway pour optimiser la productivité de la batterie de serveurs web en déchargeant l’arrêt SSL nécessitant de nombreuses ressources d’UC vers la passerelle.

  • Azure Load Balancer est un service d’équilibrage de charge entrant et sortant de couche 4 à ultra faible latence et hautes performances (en entrée et en sortie) pour tous les protocoles UDP et TCP. Load Balancer gère des millions de requêtes par seconde. Load Balancer est redondant interzone, garantissant une haute disponibilité de la fonctionnalité Zones de disponibilité.

• À l’aide de VNet, implémentez l’isolement réseau sur vos ressources de services d’intégration pour les placer dans un sous-réseau isolé combiné à l’utilisation d’une liaison privée Azure et de points de terminaison privés. Consultez l’article Topologie et connectivité réseau de cette série pour passer en revue ces conseils de conception.

• Protéger votre trafic de sortie avec le Pare-feu Azure

• Utilisez le filtrage IP pour verrouiller vos points de terminaison afin qu’ils ne soient accessibles que par des adresses réseau connues (ce principe s’applique aux applications logiques non intégrées aux réseaux virtuels).

• Si vous disposez de ressources disponibles publiquement, utilisez l’obfuscation DNS pour dissuader les attaquants. Le terme « obfuscation » signifie soit des noms de domaine personnalisés, soit des noms de ressources Azure spécifiques qui ne révèlent pas l’objectif ni le propriétaire d’une ressource.

Recommandations de conception du chiffrement

• Lors du stockage de données (dans Stockage Azure ou Azure SQL Server, par exemple), activez toujours l’option Chiffrement au repos. Verrouillez l’accès aux données, idéalement restreint aux services et à un nombre limité d’administrateurs. Notez que cette recommandation s’applique également aux données de journal. Pour plus d’informations, consultez Chiffrement des données au repos Azure et Vue d’ensemble du chiffrement Azure.

• Utilisez toujours le chiffrement en transit (trafic TLS, par exemple) lors du transfert de données entre des ressources. N’envoyez jamais de données sur un canal non chiffré.

• Lorsque vous avez recours à des protocoles TLS, utilisez toujours TLS 1.2 ou une version ultérieure.

• Conservez les secrets dans Azure Key Vault, puis associez-les aux paramètres d’application (Functions, Logic Apps), aux valeurs nommées (API Management) ou aux entrées de configuration (App Configuration).

• Implémentez une stratégie de rotation des clés pour vous assurer que toutes les clés utilisées dans votre environnement font l’objet d’une rotation régulière. Vous éviterez ainsi les attaques menées avec des clés piratées.

• Pour les applications logiques, utilisez l’obfuscation afin de sécuriser les données dans l’historique des exécutions.

Recommandations relatives à la conception de l’authentification et de l’accès

• Suivez toujours le principe du moindre privilège lors de l’attribution de l’accès : accordez à une identité les autorisations minimales dont elle a besoin. Ceci implique parfois la création d’un rôle Microsoft Entra personnalisé. S’il n’existe pas de rôle intégré avec les autorisations minimales dont vous avez besoin, envisagez de créer un rôle personnalisé avec uniquement ces autorisations.

• Dans la mesure du possible, utilisez les identités managées dès lors qu’une ressource doit accéder à un service. Par exemple, si votre workflow d’application logique a besoin d’accéder à Key Vault pour récupérer un secret, utilisez l’identité managée de votre application logique. Les identités managées fournissent un mécanisme d’accès aux ressources plus sécurisé et plus facile à gérer, car Azure gère l’identité à votre place.

• Utilisez OAuth 2.0 comme mécanisme d’authentification entre les points de terminaison des ressources :

  • Dans Logic Apps ou Functions, activez Easy Auth, qui nécessite que tous les appelants externes utilisent une identité OAuth (généralement Microsoft Entra ID, mais il peut s’agir de n’importe quel fournisseur d’identité).

  • Dans API Management, utilisez l’élément de stratégie jwt-validation pour exiger un flux OAuth lors des connexions aux points de terminaison.

  • Dans Stockage Azure et Key Vault, configurez des stratégies d’accès pour limiter l’accès à des identités spécifiques.

Recommandations relatives à la conception de la gouvernance

• Utilisez activement Azure Policy pour rechercher les problèmes de sécurité ou les défauts. Par exemple, des points de terminaison sans filtrage IP.

• Le cas échéant, utilisez Microsoft Defender pour le cloud afin d’analyser vos ressources et d’identifier les lacunes potentielles.

• Examinez régulièrement les journaux d’audit (idéalement à l’aide d’un outil automatisé) pour déceler les attaques de sécurité ainsi que tout accès non autorisé à vos ressources.

• Envisagez d’utiliser des tests d’intrusion pour identifier les faiblesses de votre conception de sécurité.

• Utilisez des processus de déploiement automatisés pour configurer la sécurité. Si possible, utilisez un pipeline CI/CD comme Azure DevOps avec Terraform non seulement pour déployer vos ressources, mais aussi pour configurer la sécurité. Ainsi, vos ressources seront automatiquement protégées chaque fois qu’elles sont déployées.

Étape suivante

Passez en revue les zones de conception critiques pour prendre en compte l’ensemble des considérations et recommandations relatives à votre architecture.

Gestion

Contenu recommandé

• Qu’est-ce que Microsoft Defender pour le cloud ?

• Que sont les identités managées pour les ressources Azure ?

• Authentifier l’accès aux ressources Azure avec des identités managées dans Azure Logic Apps

• Considérations relatives à la sécurité des déplacements de données dans Azure Data Factory

• Workflows de déclencheur dans les applications logiques standards avec l’authentification facile

• Protéger une API dans Gestion des API Azure en utilisant l’autorisation OAuth 2.0 avec Azure Active Directory

• Sécurité d’Azure Key Vault

• Comptes de stockage et la sécurité