Estelle Auberix - La securité dans Azure - Global Azure Bootcamp 2016 Paris

2

3

2015 Global Sponsors

4

Le Triangle C.I.A.

4

DATA

Availability

4

o Droits d’Accès

o Politique de ‘deny all’

o Système de validation

o Système de sauvegardes

o Redondances

o Sauvegardes

Confidentialité Intégrité Disponibilité

Et la Sécurité dans Azure ?

• Microsoft gère l’Infrastructure d’Azure

Le Cloud Azure

Un Environnement partagé

VMPAASSAAS

Contrôle d’Accès basé sur les Rôles

Personnalisation des Rôles

• RBAC• Role-Based Access Control

Les Outils pour la Gestion d’Accès

Portail Azure Azure PowerShell Azure Command-Line Interface API REST

Authentification multi-facteurs

Sécurisation du dossier des comptes utilisateurs

Fonctionnalités ‘embarquées’ dans Azure AD- Authentification des apps (toutes les plateformes mobiles)- Appel automatique- SMS automatique(-> Session AD dispensée par Maxime Rastello)

Bonnes pratiques dans le PAAS

Sites Web Services Cloud Stockage Bases SQL Services Bus Cache

Hébergement de code via Kudu

Sites Web et Services Cloud

Projet Kuduhttps://github.com/projectkudu/kudu

Services CloudLe 1er service d’Azure (2009)

Ecrire l’application L’encapsuler dans un ‘Artifact’ nommé ‘Cloud Service’ Packager le code et la configuration avec ‘Specific Tools’ Uploader dans Azure et laisser le créer l’environnement pour

lancer l’application

Points de sécurité du Service Cloud

Endpoint distant (Remote Endpoint) Accès Bureau Distant (Remote Desktop) Tâches de Démarrage Antimalware Microsoft Communication Réseau

Vérification du statut de l’antimalware Dans PowerShell connecté à votre souscription Utiliser le cmdlet Select-AzureSubscription "[subscription]" pour

intervenir sur la souscription choisie Taper Get-AzureServiceAntimalwareConfig "[cloudService]" pour

obtenir la configuration d’extensionUse the Add-AzureAccount cmdlets to link your subscription to the session

Points de sécurité d’un site Web

Identifiants Modes de connection Paramétrages et ‘connection strings’ Sauvegardes Extensions

Stockage de Données

Clés de Compte

Signatures d’Accès partagés

Bases de Données SQL Paramétrer les règles du firewall (permettre

l’accès depuis Azure Service) Paramétrer les utilisateurs et les rôles Paramétrer les connexions (permettre un accès

à une rangée spécifique d’IP pour tout le serveuret à une autre rangée pour une BDD spécifique)

Azure Managed Cache et Redis Cache Mettre en cache une copie des données fréquemment utilisées Paramétrer le Cache en stockage primaire avec une éventuelle

persistence Créer une instance de Azure Managed Cache (uniquement via

PowerShell)- Nom du Cache (choisi pendant la création)- Clés d’Accès primaire et secondaire- Endpoint du Cache pour connecter le service

[cacheName].cache.windows.net

Azure Managed Cache et Redis Cache

Par défaut, la communication entre le Client et le Cache n’estpas encryptée !

Configuration fichier : app/web.config

Services Bus Utiliser les ‘Queues’ pour optimiser le système et assurer une

communication asynchrone entre les Producteurs et les Clients Les Rubriques et Abonnements permettent d’optimiser les envois

de messages à une rubrique ou en provenance d’un abonnement Les concentrateurs d’Evènements intègrent des informations de

télémétrie très appréciées en Big Data notamment Les concentrateurs de notifications pour des ‘Push notifications’

(très gros volumes supportés + cross-plateformes) Services Relay pour créer des applications hybrides qui s’exécutent à

la fois dans un centre de données Azure et dans votre propre environnement d’entreprise local.

Bonnes pratiques dans le IAAS

Machines Virtuelles Azure

Réseaux Virtuels Azure

Pour les VM, la règle est ‘simple’

La Gestion des Sécurités Externess’effectue directement à partir du Portaild’Azure ou via PowerShell

La Gestion des Sécurités Internes esttotalement à la charge du Client

Pour les Vnets (Virtual Networks)

Importance d’appliquer les bonnes règlesde sécurité ainsi que les ‘modèles’ d’isolationvia la creation de Groupes de sécurité par exemple

Opportunités d’optimisation de réseauxhybrids par implementation de scénariicomplexes (cross-premises disaster)

Pour finir

N’oubliez pas vos SAUVEGARDES pour preserver l’Intégrité et la Disponibilitéde vos Données

Cloud Backup d’Azure+ Prix du stockage en baisse= Service gagnant !