estelle auberix - la securité dans azure - global azure bootcamp 2016 paris
TRANSCRIPT
4
o Droits d’Accès
o Politique de ‘deny all’
o Système de validation
o Système de sauvegardes
o Redondances
o Sauvegardes
Confidentialité Intégrité Disponibilité
Les Outils pour la Gestion d’Accès
Portail Azure Azure PowerShell Azure Command-Line Interface API REST
Authentification multi-facteurs
Sécurisation du dossier des comptes utilisateurs
Fonctionnalités ‘embarquées’ dans Azure AD- Authentification des apps (toutes les plateformes mobiles)- Appel automatique- SMS automatique(-> Session AD dispensée par Maxime Rastello)
Hébergement de code via Kudu
Sites Web et Services Cloud
Projet Kuduhttps://github.com/projectkudu/kudu
Services CloudLe 1er service d’Azure (2009)
Ecrire l’application L’encapsuler dans un ‘Artifact’ nommé ‘Cloud Service’ Packager le code et la configuration avec ‘Specific Tools’ Uploader dans Azure et laisser le créer l’environnement pour
lancer l’application
Points de sécurité du Service Cloud
Endpoint distant (Remote Endpoint) Accès Bureau Distant (Remote Desktop) Tâches de Démarrage Antimalware Microsoft Communication Réseau
Vérification du statut de l’antimalware Dans PowerShell connecté à votre souscription Utiliser le cmdlet Select-AzureSubscription "[subscription]" pour
intervenir sur la souscription choisie Taper Get-AzureServiceAntimalwareConfig "[cloudService]" pour
obtenir la configuration d’extensionUse the Add-AzureAccount cmdlets to link your subscription to the session
Points de sécurité d’un site Web
Identifiants Modes de connection Paramétrages et ‘connection strings’ Sauvegardes Extensions
Bases de Données SQL Paramétrer les règles du firewall (permettre
l’accès depuis Azure Service) Paramétrer les utilisateurs et les rôles Paramétrer les connexions (permettre un accès
à une rangée spécifique d’IP pour tout le serveuret à une autre rangée pour une BDD spécifique)
Azure Managed Cache et Redis Cache Mettre en cache une copie des données fréquemment utilisées Paramétrer le Cache en stockage primaire avec une éventuelle
persistence Créer une instance de Azure Managed Cache (uniquement via
PowerShell)- Nom du Cache (choisi pendant la création)- Clés d’Accès primaire et secondaire- Endpoint du Cache pour connecter le service
[cacheName].cache.windows.net
Azure Managed Cache et Redis Cache
Par défaut, la communication entre le Client et le Cache n’estpas encryptée !
Configuration fichier : app/web.config
Services Bus Utiliser les ‘Queues’ pour optimiser le système et assurer une
communication asynchrone entre les Producteurs et les Clients Les Rubriques et Abonnements permettent d’optimiser les envois
de messages à une rubrique ou en provenance d’un abonnement Les concentrateurs d’Evènements intègrent des informations de
télémétrie très appréciées en Big Data notamment Les concentrateurs de notifications pour des ‘Push notifications’
(très gros volumes supportés + cross-plateformes) Services Relay pour créer des applications hybrides qui s’exécutent à
la fois dans un centre de données Azure et dans votre propre environnement d’entreprise local.
Pour les VM, la règle est ‘simple’
La Gestion des Sécurités Externess’effectue directement à partir du Portaild’Azure ou via PowerShell
La Gestion des Sécurités Internes esttotalement à la charge du Client
Pour les Vnets (Virtual Networks)
Importance d’appliquer les bonnes règlesde sécurité ainsi que les ‘modèles’ d’isolationvia la creation de Groupes de sécurité par exemple
Opportunités d’optimisation de réseauxhybrids par implementation de scénariicomplexes (cross-premises disaster)