Outils pour utilisateurs

Outils du site

Piste : az900
info:azure:az900

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
info:azure:az900 [2019/07/28 22:52] froginfo:azure:az900 [2019/07/29 18:22] (Version actuelle) frog
Ligne 88: Ligne 88:
  
 Functions et Logic Apps peuvent créer des orchestrations complexes. Une orchestration est une collection de fonctions ou d’étapes exécutées pour accomplir une tâche complexe. Avec Azure Functions, vous écrivez du code pour effectuer chaque étape, tandis qu’avec Logic Apps, vous utilisez une interface graphique utilisateur pour définir les actions et les relations entre-elles. Functions et Logic Apps peuvent créer des orchestrations complexes. Une orchestration est une collection de fonctions ou d’étapes exécutées pour accomplir une tâche complexe. Avec Azure Functions, vous écrivez du code pour effectuer chaque étape, tandis qu’avec Logic Apps, vous utilisez une interface graphique utilisateur pour définir les actions et les relations entre-elles.
 +
 +
 +
 +===== Stockage =====
 +Azure SQL Database est un DaaS (relational database as a service) \\
 +Azure Cosmos DB est un service de base de données distribué à l’échelle mondiale. Il prend en charge les données sans schéma \\
 +Le Stockage Blob Azure est non structuré, ce qui signifie qu’il n’existe aucune restriction sur les genres de données qu’il peut contenir.\\
 +
 +== Azure Data Lake Storage ==
 +
 +La fonctionnalité Data Lake vous permet d’effectuer une analytique sur votre utilisation de données et de préparer des rapports. Data Lake est un grand référentiel qui stocke des données structurées et non structurées.
 +
 +== Azure Files ==
 +
 +Azure Files offre des partages de fichiers complètement managés dans le cloud, accessibles via le protocole SMB (Server Message Block) standard.
 +
 +== File d’attente Azure ==
 +
 +Stockage File d’attente Azure est un service permettant de stocker un grand nombre de messages accessibles de n’importe où dans le monde.
 +Vous pouvez utiliser le stockage File d’attente pour :
 +  * 
 +  *     Créer un backlog de travail et passer les messages entre différents serveurs web Azure.
 +  *     Répartir la charge entre différents serveurs web/infrastructure et gérer les pics de trafic.
 +  *     Créez une résilience face aux défaillances des composants quand plusieurs utilisateurs accèdent à vos données en même temps.
 +
 +
 +
 +== Niveaux de stockage ==
 +
 +Azure propose trois niveaux de stockage pour les objets blob :
 +
 +  *     Niveau de stockage chaud : optimisé pour le stockage de données souvent sollicitées.
 +  *     Niveau de stockage froid : optimisé pour le stockage de données rarement sollicitées et stockées pendant au moins 30 jours.
 +  *     Niveau de stockage archive : optimisé pour le stockage de données rarement sollicitées et stockées pendant au moins 180 jours, sous des conditions de latence flexibles.
 +
 +== Chiffrement des services de stockage ==
 +
 +Les types de chiffrements suivants sont disponibles pour vos ressources :\\
 +
 +  *     Azure Storage Service Encryption (SSE) pour les données au repos vous permet de sécuriser vos données pour garantir le respect des engagements de votre organisation en matière de sécurité et de conformité. Il chiffre les données avant de les stocker et les déchiffre avant de les récupérer. Le chiffrement et le déchiffrement se font de façon transparente pour l’utilisateur.\\
 +  *     Le chiffrement côté client est l’endroit où les données sont déjà chiffrées par les bibliothèques clientes. Azure stocke les données dans un état chiffré au repos et les déchiffre ensuite pendant la récupération.\\
 +
 +L’illustration suivante montre les différences entre le stockage local et le stockage de données Azure.\\    
 +{{:info:azure:az900-005.png?400|}}
 +
 +==== Reseau ====
 +
 +loosely coupled => couplage faible \\
 +  * Azure Load Balancer est un service d’équilibreur de charge fourni par Microsoft. Il prend en charge la maintenance à votre place.\\
 +  * Azure Application Gateway est un équilibreur de charge conçu pour les applications web. Il utilise Azure Load Balancer au niveau du transport (TCP) et applique des règles de routage sophistiquées basées sur les URL pour prendre en charge plusieurs scénarios avancés.\\
 +{{:info:azure:az900-006.png?400|}}
 +
 +Voici quelques avantages liés à l’utilisation d’Azure Application Gateway sur un équilibreur de charge simple :
 +
 +  *     Affinité des cookies. Cette fonctionnalité est utile quand vous souhaitez conserver une session utilisateur sur le même serveur back-end.
 +  *     Arrêt SSL. Application Gateway peut gérer vos certificats SSL et passer le trafic non chiffré aux serveurs back-end pour éviter une surcharge du chiffrement/déchiffrement. Il prend également en charge le chiffrement complet de bout en bout des applications qui le nécessitent.
 +  *     Pare-feu d’applications web. Application Gateway prend en charge un pare-feu sophistiqué (WAF) avec des fonctionnalités de supervision et de journalisation détaillées pour détecter les attaques malveillantes contre votre infrastructure réseau.
 +  *     Routes basées sur des règles d’URL. Application Gateway vous permet de router le trafic en fonction de modèles d’URL, de l’adresse IP et du port sources vers l’adresse IP et le port de destination. Cela est utile pour la configuration d’un réseau de distribution de contenu.
 +  *     Réécrire les en-têtes HTTP. Vous pouvez ajouter ou supprimer des informations dans les en-têtes HTTP entrants et sortants de chaque requête pour activer des scénarios de sécurité importants ou pour supprimer des informations sensibles telles que des noms de serveurs.
 +
 +Un CDN (réseau de distribution de contenu) est un réseau distribué de serveurs capables de fournir efficacement du contenu web aux utilisateurs. Il s’agit d’un moyen de transmettre du contenu aux utilisateurs en fonction de la région dans laquelle ils se trouvent pour réduire le temps de latence.\\
 +
 +DNS (Domain Name System) est une façon de mapper des noms conviviaux sur leur adresse IP. Vous pouvez considérer DNS comme l’annuaire téléphonique d’Internet.\\
 +
 +Azure Traffic Manager utilise le serveur DNS le plus proche de l’utilisateur pour diriger le trafic utilisateur vers un point de terminaison distribué mondialement.\\
 +
 +===== Sécurité =====
 +La sécurité dans le cloud est généralement partégé dans sa responsabilité:
 +{{:info:azure:az900-007.png?400|}}
 +
 +Principe de la sécurité en couche:
 +{{:info:azure:az900-008.png?400|}}
 +
 +== Données ==
 +Dans presque tous les cas, les attaquants sont intéressés par les données :
 +  *     Stockées dans une base de données
 +  *     Stockées sur disque dans des machines virtuelles
 +  *     Stockées dans une application SaaS comme Office 365
 +  *     Stockées dans un stockage cloud
 +
 +== Application ==
 +
 +  *     Garantir que les applications sont sécurisées et sans vulnérabilités.
 +  *     Stocker les secrets des applications sensibles dans un support de stockage sécurisé.
 +  *     Intégrer la sécurité dans la conception tout au long du développement d’application.
 +
 +== Calcul ==
 +
 +  *     Sécuriser l’accès aux machines virtuelles.
 +  *     Implémenter une protection des points de terminaison et faire en sorte que les systèmes soient constamment corrigés et actualisés.
 +
 +
 +
 +== Mise en réseau ==
 +
 +  *     Limiter la communication entre ressources.
 +  *     Refuser par défaut.
 +  *     Limiter l’accès Internet entrant et limiter l’accès sortant en fonction des besoins.
 +  *     Implémenter une connectivité sécurisée dans les réseaux locaux.
 +
 +
 +== Périmètre ==
 +
 +  *     Utiliser une protection contre le déni de service distribué (DDoS) pour filtrer les attaques à grande échelle avant qu’elles ne provoquent un déni de service pour les utilisateurs finaux.
 +  *     Utiliser des pare-feu de périmètre pour identifier les attaques malveillantes contre votre réseau et vous en alerter.
 +
 +
 +== Identité et accès ==
 +
 +  *     Contrôler l’accès à l’infrastructure et contrôler les modifications.
 +  *     Utiliser l’authentification unique et l’authentification multifacteur.
 +  *     Auditer les événements et les modifications.
 +
 +
 +== Sécurité physique ==
 +
 +  *     Dans le centre de données, la première ligne de défense est la sécurité du bâtiment, ainsi que le contrôle de l’accès au matériel informatique.
 +
 +
 +Azure Security Center est un très bon point de départ pour examiner la sécurité de votre solution Azure. Security Center est un service de supervision qui assure une protection contre les menaces sur l’ensemble de vos services, à la fois dans Azure et en local. Security Center peut :
 +
 +  *     Fournir des suggestions de sécurité basées sur vos configurations, ressources et réseaux.
 +  *     Surveiller les paramètres de sécurité sur les charges de travail locales et cloud, et appliquer automatiquement la sécurité requise aux nouveaux services mis en ligne.
 +  *     Superviser en permanence tous vos services, et effectuer des évaluations de la sécurité automatiques pour identifier les vulnérabilités potentielles avant leur exploitation éventuelle.
 +  *     Utiliser le machine learning pour détecter et bloquer l’installation de logiciels malveillants sur vos machines virtuelles et les services. Vous pouvez également créer une liste des applications autorisées pour vous assurer que seules les applications approuvées pourront être exécutées.
 +  *     Analyser et identifier les attaques entrantes potentielles, et examiner les menaces et toute activité après violation de la sécurité pouvant s’être produite.
 +  *     Contrôler l’accès juste-à-temps aux ports, et réduire ainsi la surface d’attaque en veillant à ce que le réseau n’autorise que le trafic strictement nécessaire.
 +
 +Authentification et autorisation
 +
 +L’authentification et l’autorisation sont deux concepts fondamentaux qu’il est impératif de bien comprendre quand on parle de contrôle d’accès et d’identité. De ces concepts découle tout le reste qui se produit de manière séquentielle dans n’importe quel processus de contrôle d’identité et d’accès :
 +
 +  *     L’authentification est le processus qui consiste à établir l’identité d’un utilisateur ou d’un service cherchant à accéder à une ressource. Ce processus comprend l’action de demander à une partie des informations d’identification légitimes, et fournit la base de la création d’un principal de sécurité à des fins de contrôle d’identité et d’accès. Il détermine si la partie est bien ce qu’elle prétend être.
 +
 +  *     L’autorisation est le processus visant à établir le niveau d’accès dont dispose un utilisateur ou un service authentifié. Elle détermine les données auxquelles ils ont accès et l’utilisation qu’ils peuvent en faire.
 +
 +L’authentification et l’autorisation sont parfois abrégées en AuthN et AuthZ, respectivement.\\
 +Azure fournit des services pour gérer l’authentification et l’autorisation par le biais d’Azure Active Directory (Azure AD).\\
 +
 +Authentificatio unique SSO (Single Sign-On)
 +
 +Authentification multifacteur (MFA) fournit une sécurité supplémentaire pour vos identités en exigeant au moins deux éléments pour une authentification complète. Ces éléments se répartissent en trois catégories :
 +
 +  *     Quelque chose que vous connaissez
 +  *     Quelque chose que vous possédez
 +  *     Quelque chose que vous êtes
 +
 +
 +=== Chiffrement ===
 +
 +
 +Azure Storage Service Encryption pour les données au repos vous permet de protéger vos données conformément aux engagements de votre organisation en matière de sécurité et de conformité.\\
 +
 +Azure Disk Encryption est une fonctionnalité qui vous permet de chiffrer vos disques de machine virtuelle IaaS Windows et Linux.\\
 +
 +TDE (Transparent Data Encryption) aide à protéger Azure SQL Database et Azure Data Warehouse contre les menaces d’activité malveillante.\\
 +
 +Azure Key Vault est un service cloud centralisé conçu pour le stockage des secrets d’application. Key Vault vous aide à gérer les secrets de vos applications en les conservant dans un emplacement central unique et en fournissant des fonctionnalités d’accès sécurisé, de contrôle des autorisations et de journalisation des accès. Ce service est utile dans divers scénarios :
 +  * 
 +  *     Gestion des secrets. Vous pouvez utiliser Key Vault pour stocker en toute sécurité les jetons, mots de passe, certificats, clés API (interface de programmation d’applications) et autres secrets, et pour contrôler étroitement l’accès à tous ces secrets.
 +  *     Gestion des clés. Vous pouvez également utiliser Key Vault comme solution de gestion des clés. Key Vault simplifie la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.
 +  *     Gestion des certificats. Key Vault vous aide à provisionner, gérer et déployer vos certificats SSL/TLS (Secure Sockets Layer/Transport Layer Security) publics et privés pour vos ressources Azure et vos ressources connectées internes.
 +  *     Stockage de secrets secondé par des modules de sécurité matériels (HSM). Les secrets et les clés peuvent être protégés par logiciel ou par des modules de sécurité matériels approuvés FIPS 140-2 de niveau 2.
 +
 +ExpressRoute vous permet d’étendre vos réseaux locaux au cloud Microsoft via une connexion privée facilitée par un fournisseur de connectivité. \\
 +
 +Azure Information Protection (parfois appelé AIP) est une solution cloud qui aide les organisations à classer et éventuellement protéger leurs documents et e-mails en leur appliquant des étiquettes.\\
 +
 +Azure Advanced Threat Protection (Azure ATP) est une solution de sécurité cloud qui identifie, détecte et vous aide à examiner les menaces avancées, les identités compromises et les actions malveillantes d’initiés contre votre entreprise.\\
 +
 +Azure Policy est un service Azure que vous utilisez pour définir, affecter et gérer les standards des ressources de votre environnement.\\
 +Une définition d’initiative est un ensemble ou un groupe de définitions de stratégie qui permettent de suivre l’état de conformité d’un objectif plus large.\\
 +
 +Le STP (Portail d’approbation de services) héberge le service Gestionnaire de conformité. Il constitue le site public de Microsoft pour la publication de rapports d’audit et autres informations sur la conformité des services cloud de Microsoft. \\
 +
 +Azure Monitor optimise la disponibilité et les performances de vos applications en fournissant une solution complète pour collecter, analyser et agir sur la télémétrie de vos environnements cloud et locaux. Il vous aide à comprendre le fonctionnement de vos applications et identifie de façon proactive les problèmes qui les affectent ainsi que les ressources dont elles dépendent.\\
 +
 +Azure Service Health est une suite d’expériences qui fournit une aide et un support personnalisés quand vous êtes affecté par des problèmes liés aux services Azure. Il peut vous envoyer des notifications, vous aider à comprendre l’impact des problèmes et vous tenir informé de leur résolution. Azure Service Health peut également vous aider à vous préparer à la maintenance planifiée et aux changements susceptibles d’affecter la disponibilité de vos ressources.\\
 +
 +
info/azure/az900.1564347163.txt.gz · Dernière modification : de frog

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Share Alike 4.0 International
CC Attribution-Share Alike 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki