Ce billet de blog a été co-écrit par Eliran Azulai, Principal Program Manager.

Avec le rythme accéléré de la transformation numérique depuis le début de la pandémie de COVID-19, les organisations cherchent continuellement à migrer leurs charges de travail vers le cloud et à garantir la sécurité de ces dernières. En outre, les organisations ont besoin d’un nouveau modèle de sécurité qui s’adapte plus efficacement à la complexité de l’environnement moderne, prend en compte l’espace de travail hybride et protège les applications et les données, quel que soit leur emplacement.

Le framework Confiance Zéro de Microsoft protège les ressources n’importe où en adhérant à trois principes :

1. Vérifier explicitement : Authentifiez et autorisez toujours en fonction en fonction de la totalité des points de données disponibles, à savoir l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service ou la charge de travail, la classification des données et les anomalies.
2. Utiliser le droit d’accès minimal : Limitez l’accès utilisateur avec des privilèges d’accès Juste-à-temps et Juste suffisants (JIT/JEA), des stratégies adaptatives basées sur les risques et une protection visant à protéger tant les données que la productivité.
3. Assumer la violation : Réduisez le rayon d’explosion et segmentez l’accès. Vérifiez le chiffrement de bout en bout et utilisez l’analytique pour obtenir de la visibilité, détecter les menaces et améliorer les défenses.

Dans ce blog, nous décrirons certains services de sécurité réseau Azure qui aident les organisations à appliquer la Confiance Zéro, en mettant l’accent sur le troisième principe (assumer la violation).

Pare-feu réseau

Les pare-feu réseau sont généralement déployés sur les réseaux de périmètre, ce qui filtre le trafic entre les zones approuvées et non approuvées. L’approche Confiance Zéro étend ce modèle et recommande de filtrer le trafic entre les réseaux internes, les hôtes et les applications.

L’approche Confiance Zéro assume la violation et accepte le fait que les mauvais acteurs sont partout. Plutôt que de créer un mur entre des zones approuvées et non approuvées, nous vous recommandons de vérifier toutes les tentatives d’accès, de limiter l’accès utilisateur (JIT/JEA) et de renforcer les ressources elles-mêmes. Toutefois, cela ne nous empêche pas de gérer des zones de sécurité. En fait, le pare-feu réseau offre un type de vérification et d’équilibre pour les communications réseau, en segmentant le réseau en zones plus petites et en contrôlant le trafic qui est autorisé à circuler entre eux. Cette pratique de sécurité approfondie nous oblige à déterminer si une connexion particulière doit franchir une limite sensible.

Où les pare-feu doivent-ils être placés dans des réseaux Confiance Zéro ? Étant donné que votre réseau est vulnérable par nature, vous devez implémenter un pare-feu au niveau de l’hôte et en dehors de celui-ci. Dans Azure, nous fournissons des services de filtrage et de pare-feu déployés à différents emplacements réseau : au niveau de l’hôte et entre des réseaux virtuels ou des sous-réseaux. Voyons comment les services de pare-feu d’Azure prennent en charge l’approche Confiance Zéro.

Groupe de sécurité réseau (NSG) Azure

Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau à destination et en provenance des ressources Azure dans un réseau virtuel Azure. Le groupe de sécurité réseau est implémenté au niveau de l’hôte, en dehors des machines virtuelles. En termes de configuration utilisateur, le groupe de sécurité réseau peut être associé à un sous-réseau ou une carte réseau de machine virtuelle. L’association d’un groupe de sécurité réseau à un sous-réseau est une forme de filtrage de périmètre que nous aborderons plus tard. L’application la plus pertinente du groupe de sécurité réseau dans le contexte de réseaux Confiance Zéro est associée à une machine virtuelle spécifique (par exemple, en affectant un groupe de sécurité réseau à une carte réseau de machine virtuelle). Ceci prend en charge la stratégie de filtrage par machine virtuelle, ce qui fait que la machine virtuelle participe à sa propre sécurité. L’objectif est de s’assurer que chaque machine virtuelle filtre son propre trafic réseau, plutôt que de déléguer tous les pare-feu à un pare-feu centralisé.

Alors que le pare-feu de l’hôte peut être implémenté au niveau du système d’exploitation invité, le groupe de sécurité réseau Azure offre une protection contre une machine virtuelle compromise. Une personne malveillante qui accède à la machine virtuelle et élève ses privilèges peut supprimer le pare-feu sur hôte. Le groupe de sécurité réseau est implémenté en dehors de la machine virtuelle, isolant le filtrage au niveau de l’hôte, ce qui offre des garanties fortes contre les attaques sur le système de pare-feu.

Filtrage entrant et sortant

Le groupe de sécurité réseau fournit le filtrage entrant (réguler le trafic entrant sur une machine virtuelle) et le filtrage sortant (réguler le trafic sortant d’une machine virtuelle). Le filtrage sortant, en particulier entre les ressources du réseau virtuel, a un rôle important dans les réseaux Confiance Zéro pour renforcer davantage les charges de travail. Par exemple, une configuration inutilisable dans les règles de groupe de sécurité réseau entrantes peut entraîner une perte de la couche de défense de filtrage entrante qui est très difficile à détecter. Le filtrage sortant de groupe de sécurité réseau généralisé protège les sous-réseaux même en cas de mauvaise configuration critique.

Simplifier la configuration des groupe de sécurité réseau (NSG) avec les groupes de sécurité d’application Azure

Les groupes de sécurité d’application Azure (ASG) simplifient la configuration et la gestion de groupes, en configurant la sécurité réseau comme une extension de la structure d’une application. Les groupes de sécurité d’application vous permettent de regrouper les machines virtuelles et de définir des stratégies de sécurité réseau en fonction de ces groupes. Avec les groupes de sécurité d’application, vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites. Dans l’exemple simplifié ci-dessous, nous appliquons un NSG1 sur un niveau de sous-réseau et associons deux machines virtuelles à un WebASG (groupe de sécurité d’application de niveau d’application web) et une autre machine virtuelle avec un LogicASG (groupe de sécurité d’application de couche d’application de logique métier).

Nous pouvons appliquer des règles de sécurité à des groupes de sécurité d’application au lieu de chacune des machines virtuelles individuellement. Par exemple, la règle ci-dessous autorise le trafic HTTP en provenance d’Internet (port TCP 80) vers VM1 et VM2 dans la couche d’application web, en spécifiant WebASG comme destination, au lieu de créer une règle distincte pour chaque machine virtuelle.

Priorité	Source	Ports source	Destination	Ports de destination	Protocole	Accès
100	Internet	*	WebASG	80	TCP	Accorder

Pare-feu Azure

Bien que le filtrage au niveau de l’hôte soit idéal pour la création de micro-périmètres, le pare-feu au niveau du réseau virtuel ou du sous-réseau ajoute une autre couche importante de protection. Il protège le plus d’infrastructure possible contre le trafic non autorisé et les attaques potentielles à partir d’Internet. Il sert également à protéger le trafic est-ouest pour réduire au maximum le rayon d’explosion en cas d’attaque.

Pare-feu Azure est un service de sécurité réseau natif pour le pare-feu. Implémentés parallèlement aux groupes de sécurité réseau, ces deux services fournissent des contrôles et des équilibres importants dans des réseaux Confiance Zéro. Le Pare-feu Azure implémente des règles globales et une stratégie d’hôte grossière, tandis que le groupe de sécurité réseau définit une stratégie fine. Cette séparation entre le périmètre et le filtrage de l’hôte peut simplifier l’administration de la stratégie de pare-feu.

La meilleure pratique en matière de modèle Confiance Zéro consiste à toujours chiffrer les données en transit pour obtenir un chiffrement de bout en bout. Toutefois, du point de vue opérationnel, les clients souhaitent souvent avoir une visibilité sur leurs données et appliquer des services de sécurité supplémentaires sur les données non chiffrées.

Le Pare-feu Azure Premium avec son contrôle TLS (Transport Layer Security) peut effectuer un déchiffrement et un chiffrement complets du trafic, ce qui donne la possibilité d’utiliser des systèmes de détection et de prévention des intrusions (FAI), ainsi que de fournir aux clients une visibilité sur les données elles-mêmes.

Protection DDos

La Confiance Zéro s’efforce d’authentifier et d’autoriser pratiquement tout ce qui se trouve sur le réseau, mais elle ne fournit pas une bonne atténuation contre les attaques DDoS, en particulier contre les attaques volumétriques. Tout système pouvant recevoir des paquets est vulnérable aux attaques DDoS, même celles qui utilisent une architecture Confiance Zéro. Par conséquent, il est impératif que toute implémentation de modèle Confiance Zéro soit entièrement protégée contre les attaques DDoS.

Azure DDoS Protection Standard offre des fonctionnalités d’atténuation DDoS pour la défense contre les attaques DDoS. Cette solution s’adapte automatiquement pour protéger les ressources connectées à Internets dans un réseau virtuel. La protection est simple à activer sur tout réseau virtuel, nouveau ou existant, et ne nécessite aucun changement au niveau de l’application ou des ressources.

Optimisez les opérations SecOps avec Azure Firewall Manager

Azure Firewall Manager est un service de gestion de la sécurité qui fournit une stratégie de sécurité centralisée et assure la gestion des itinéraires pour les périmètres de sécurité basés sur le cloud.

En plus de la gestion des stratégies de Pare-feu Azure, Azure Firewall Manager vous permet désormais d’associer vos réseaux virtuels à un plan de protection DDoS. Sous un seul locataire, les plans de protection DDoS peuvent être appliqués à des réseaux virtuels sur plusieurs abonnements. Vous pouvez utiliser le tableau de bord Réseaux virtuels pour répertorier tous les réseaux virtuels qui n’ont pas de Plan de protection DDoS et assigner des plans de protection nouveaux ou disponibles à ceux-ci.

Par ailleurs, Azure Firewall Manager vous permet d’utiliser les meilleures offres SECaaS (sécurité en tant que service) tierces et familières afin de protéger l’accès à Internet pour vos utilisateurs.

Grâce à l’intégration transparente avec les services de sécurité de base Azure, tels que Microsoft Defender pour le cloud, Microsoft Sentinel et Azure Log Analytics, vous pouvez optimiser davantage vos SecOps avec un seul emplacement qui vous offre le meilleur des services de sécurité réseau, de la gestion de la posture et de la protection des charges de travail — ainsi que SIEM et l’analyse des données.

Et ensuite ?

Un modèle Confiance Zéro est impératif pour les organisations qui travaillent à tout protéger. Il s’agit d’un parcours sur la durée pour les professionnels de la sécurité, mais la prise en main commence par les premières étapes et les améliorations itératives continues. Dans ce blog, nous avons décrit plusieurs services de sécurité Azure et vu comment ils activent le parcours Confiance Zéro pour toutes les organisations.

Pour en savoir plus sur ces services, consultez les ressources suivantes :

• Framework Confiance Zéro.
• Groupes de sécurité réseau Azure.
• Groupes de sécurité d’application Azure.
• Pare-feu Azure.
• Azure Firewall Manager.
• Protection DDoS standard Azure.