Notes concernant la AZ 900

Comparaison du cloud avec l'électricité, pour le coté, on se fiche de savoir comment, si il y a d'autres utilisateur, etc.

Diagramme représentant les différences entre les approches VM, Container et serverless.

Scalling Vertical ⇒ Ajouter de la ressource Scalling Horizontal ⇒ Ajouter des serveurs

Explication des cloud Public / Privé / hybrid

Explication des différentes approches du cloud:
IAAS:
PASS:
SASS:

Différences concernant la responsabilités:

Service-Level Agreements (SLAs)
Failure Mode Analysis (FMA)

Role Base Access Control (RBAC) ⇒ contrôle d’accès en fonction du rôle

Azure Advisor donne des conseils sur Les bonnes pratiques et la sécurité pour vos services
Azure Cloud Shell est un shell interactif, accessible par navigateur pour la gestion des ressources Azure.

• Préversion privée. Cela signifie que la fonctionnalité Azure en question est accessible à des clients Azure spécifiques. Ils sont généralement invités à l’évaluer par l’équipe produit responsable de la fonctionnalité ou du service.
  
• Préversion publique. Cela signifie que la fonctionnalité Azure en question peut être évaluée par tous les clients Azure. Ces préversions peuvent être activées via la page des fonctionnalités en préversion.
  

Il existe quatre techniques courantes pour le calcul dans Azure :

• Machines virtuelles
• Conteneurs
• Azure App Service
• Informatique Serverless

Les machines virtuelles constituent un choix idéal quand vous devez :

• Avoir un contrôle total sur le système d’exploitation
• Exécuter des logiciels personnalisés, ou
• Utiliser des configurations d’hébergement personnalisées

Avec un groupe à haute disponibilité, vous avez :

• Jusqu’à trois domaines d’erreur qui contiennent chacun un rack de serveurs avec des ressources d’alimentation et de réseau dédiées
• Cinq domaines de mise à jour logiques

Les groupes identiques vous permettent de gérer, configurer et mettre à jour de manière centralisée un grand nombre de machines virtuelles, en quelques minutes, pour vous offrir des applications à haute disponibilité. Le nombre d’instances de machine virtuelle peut augmenter ou diminuer automatiquement en fonction d’une demande ou d’un calendrier défini. Avec les groupes de machines virtuelles identiques, vous pouvez créer des services à grande échelle pour des domaines comme le calcul, le Big Data et les charges de travail de conteneur. Présentation d’Azure Batch

Azure Batch permet la planification de travaux et la gestion de calculs à grande échelle, avec une capacité d’extension à des dizaines, centaines ou milliers de machines virtuelles.

Lorsque vous êtes prêt à exécuter un travail, Batch :

• Démarre un pool de machines virtuelles de calcul pour vous
• Installe des applications et des données intermédiaires
• Exécute les travaux avec autant de tâches que vous avez
• Identifie les défaillances
• Remet en file d’attente le travail
• Effectue un scale-down du pool quand le travail prend fin

Image représentant des conteneurs Azure

Les conteneurs constituent un excellent choix si vous souhaitez exécuter plusieurs instances d’une application sur une seule machine virtuelle. L’orchestrateur de conteneurs peut démarrer, arrêter et augmenter la taille des instances d’application en fonction des besoins.

Les conteneurs sont conçus pour être légers, créés, mis à l’échelle et arrêtés de façon dynamique. Cette conception vous permet de répondre rapidement aux modifications apportées à la demande ou en cas d’échec.

Autre avantage des conteneurs : vous pouvez exécuter plusieurs applications isolées sur un même hôte de machine virtuelle. Comme les conteneurs sont sécurisés et isolés, vous n’avez pas besoin de séparer les machines virtuelles pour chaque application.

Azure prend en charge les conteneurs Docker et plusieurs façons de les gérer dans Azure.

• ACI (Azure Container Instances)
• Azure Kubernetes Service (AKS)

Functions et Logic Apps

Functions et Logic Apps peuvent créer des orchestrations complexes. Une orchestration est une collection de fonctions ou d’étapes exécutées pour accomplir une tâche complexe. Avec Azure Functions, vous écrivez du code pour effectuer chaque étape, tandis qu’avec Logic Apps, vous utilisez une interface graphique utilisateur pour définir les actions et les relations entre-elles.

Azure SQL Database est un DaaS (relational database as a service)
Azure Cosmos DB est un service de base de données distribué à l’échelle mondiale. Il prend en charge les données sans schéma
Le Stockage Blob Azure est non structuré, ce qui signifie qu’il n’existe aucune restriction sur les genres de données qu’il peut contenir.

La fonctionnalité Data Lake vous permet d’effectuer une analytique sur votre utilisation de données et de préparer des rapports. Data Lake est un grand référentiel qui stocke des données structurées et non structurées.

Azure Files offre des partages de fichiers complètement managés dans le cloud, accessibles via le protocole SMB (Server Message Block) standard.

Stockage File d’attente Azure est un service permettant de stocker un grand nombre de messages accessibles de n’importe où dans le monde. Vous pouvez utiliser le stockage File d’attente pour :

• Créer un backlog de travail et passer les messages entre différents serveurs web Azure.
• Répartir la charge entre différents serveurs web/infrastructure et gérer les pics de trafic.
• Créez une résilience face aux défaillances des composants quand plusieurs utilisateurs accèdent à vos données en même temps.

Azure propose trois niveaux de stockage pour les objets blob :

• Niveau de stockage chaud : optimisé pour le stockage de données souvent sollicitées.
• Niveau de stockage froid : optimisé pour le stockage de données rarement sollicitées et stockées pendant au moins 30 jours.
• Niveau de stockage archive : optimisé pour le stockage de données rarement sollicitées et stockées pendant au moins 180 jours, sous des conditions de latence flexibles.

Les types de chiffrements suivants sont disponibles pour vos ressources :

• Azure Storage Service Encryption (SSE) pour les données au repos vous permet de sécuriser vos données pour garantir le respect des engagements de votre organisation en matière de sécurité et de conformité. Il chiffre les données avant de les stocker et les déchiffre avant de les récupérer. Le chiffrement et le déchiffrement se font de façon transparente pour l’utilisateur.
  
• Le chiffrement côté client est l’endroit où les données sont déjà chiffrées par les bibliothèques clientes. Azure stocke les données dans un état chiffré au repos et les déchiffre ensuite pendant la récupération.
  

L’illustration suivante montre les différences entre le stockage local et le stockage de données Azure.

loosely coupled ⇒ couplage faible

• Azure Load Balancer est un service d’équilibreur de charge fourni par Microsoft. Il prend en charge la maintenance à votre place.
  
• Azure Application Gateway est un équilibreur de charge conçu pour les applications web. Il utilise Azure Load Balancer au niveau du transport (TCP) et applique des règles de routage sophistiquées basées sur les URL pour prendre en charge plusieurs scénarios avancés.
  

Voici quelques avantages liés à l’utilisation d’Azure Application Gateway sur un équilibreur de charge simple :

• Affinité des cookies. Cette fonctionnalité est utile quand vous souhaitez conserver une session utilisateur sur le même serveur back-end.
• Arrêt SSL. Application Gateway peut gérer vos certificats SSL et passer le trafic non chiffré aux serveurs back-end pour éviter une surcharge du chiffrement/déchiffrement. Il prend également en charge le chiffrement complet de bout en bout des applications qui le nécessitent.
• Pare-feu d’applications web. Application Gateway prend en charge un pare-feu sophistiqué (WAF) avec des fonctionnalités de supervision et de journalisation détaillées pour détecter les attaques malveillantes contre votre infrastructure réseau.
• Routes basées sur des règles d’URL. Application Gateway vous permet de router le trafic en fonction de modèles d’URL, de l’adresse IP et du port sources vers l’adresse IP et le port de destination. Cela est utile pour la configuration d’un réseau de distribution de contenu.
• Réécrire les en-têtes HTTP. Vous pouvez ajouter ou supprimer des informations dans les en-têtes HTTP entrants et sortants de chaque requête pour activer des scénarios de sécurité importants ou pour supprimer des informations sensibles telles que des noms de serveurs.

Un CDN (réseau de distribution de contenu) est un réseau distribué de serveurs capables de fournir efficacement du contenu web aux utilisateurs. Il s’agit d’un moyen de transmettre du contenu aux utilisateurs en fonction de la région dans laquelle ils se trouvent pour réduire le temps de latence.

DNS (Domain Name System) est une façon de mapper des noms conviviaux sur leur adresse IP. Vous pouvez considérer DNS comme l’annuaire téléphonique d’Internet.

Azure Traffic Manager utilise le serveur DNS le plus proche de l’utilisateur pour diriger le trafic utilisateur vers un point de terminaison distribué mondialement.

La sécurité dans le cloud est généralement partégé dans sa responsabilité:

Principe de la sécurité en couche:

Dans presque tous les cas, les attaquants sont intéressés par les données :

• Stockées dans une base de données
• Stockées sur disque dans des machines virtuelles
• Stockées dans une application SaaS comme Office 365
• Stockées dans un stockage cloud

• Garantir que les applications sont sécurisées et sans vulnérabilités.
• Stocker les secrets des applications sensibles dans un support de stockage sécurisé.
• Intégrer la sécurité dans la conception tout au long du développement d’application.

• Sécuriser l’accès aux machines virtuelles.
• Implémenter une protection des points de terminaison et faire en sorte que les systèmes soient constamment corrigés et actualisés.

• Limiter la communication entre ressources.
• Refuser par défaut.
• Limiter l’accès Internet entrant et limiter l’accès sortant en fonction des besoins.
• Implémenter une connectivité sécurisée dans les réseaux locaux.

• Utiliser une protection contre le déni de service distribué (DDoS) pour filtrer les attaques à grande échelle avant qu’elles ne provoquent un déni de service pour les utilisateurs finaux.
• Utiliser des pare-feu de périmètre pour identifier les attaques malveillantes contre votre réseau et vous en alerter.

• Contrôler l’accès à l’infrastructure et contrôler les modifications.
• Utiliser l’authentification unique et l’authentification multifacteur.
• Auditer les événements et les modifications.

• Dans le centre de données, la première ligne de défense est la sécurité du bâtiment, ainsi que le contrôle de l’accès au matériel informatique.

Azure Security Center est un très bon point de départ pour examiner la sécurité de votre solution Azure. Security Center est un service de supervision qui assure une protection contre les menaces sur l’ensemble de vos services, à la fois dans Azure et en local. Security Center peut :

• Fournir des suggestions de sécurité basées sur vos configurations, ressources et réseaux.
• Surveiller les paramètres de sécurité sur les charges de travail locales et cloud, et appliquer automatiquement la sécurité requise aux nouveaux services mis en ligne.
• Superviser en permanence tous vos services, et effectuer des évaluations de la sécurité automatiques pour identifier les vulnérabilités potentielles avant leur exploitation éventuelle.
• Utiliser le machine learning pour détecter et bloquer l’installation de logiciels malveillants sur vos machines virtuelles et les services. Vous pouvez également créer une liste des applications autorisées pour vous assurer que seules les applications approuvées pourront être exécutées.
• Analyser et identifier les attaques entrantes potentielles, et examiner les menaces et toute activité après violation de la sécurité pouvant s’être produite.
• Contrôler l’accès juste-à-temps aux ports, et réduire ainsi la surface d’attaque en veillant à ce que le réseau n’autorise que le trafic strictement nécessaire.

Authentification et autorisation

L’authentification et l’autorisation sont deux concepts fondamentaux qu’il est impératif de bien comprendre quand on parle de contrôle d’accès et d’identité. De ces concepts découle tout le reste qui se produit de manière séquentielle dans n’importe quel processus de contrôle d’identité et d’accès :

• L’authentification est le processus qui consiste à établir l’identité d’un utilisateur ou d’un service cherchant à accéder à une ressource. Ce processus comprend l’action de demander à une partie des informations d’identification légitimes, et fournit la base de la création d’un principal de sécurité à des fins de contrôle d’identité et d’accès. Il détermine si la partie est bien ce qu’elle prétend être.

• L’autorisation est le processus visant à établir le niveau d’accès dont dispose un utilisateur ou un service authentifié. Elle détermine les données auxquelles ils ont accès et l’utilisation qu’ils peuvent en faire.

L’authentification et l’autorisation sont parfois abrégées en AuthN et AuthZ, respectivement.
Azure fournit des services pour gérer l’authentification et l’autorisation par le biais d’Azure Active Directory (Azure AD).

Authentificatio unique SSO (Single Sign-On)

Authentification multifacteur (MFA) fournit une sécurité supplémentaire pour vos identités en exigeant au moins deux éléments pour une authentification complète. Ces éléments se répartissent en trois catégories :

• Quelque chose que vous connaissez
• Quelque chose que vous possédez
• Quelque chose que vous êtes

Azure Storage Service Encryption pour les données au repos vous permet de protéger vos données conformément aux engagements de votre organisation en matière de sécurité et de conformité.

Azure Disk Encryption est une fonctionnalité qui vous permet de chiffrer vos disques de machine virtuelle IaaS Windows et Linux.

TDE (Transparent Data Encryption) aide à protéger Azure SQL Database et Azure Data Warehouse contre les menaces d’activité malveillante.

Azure Key Vault est un service cloud centralisé conçu pour le stockage des secrets d’application. Key Vault vous aide à gérer les secrets de vos applications en les conservant dans un emplacement central unique et en fournissant des fonctionnalités d’accès sécurisé, de contrôle des autorisations et de journalisation des accès. Ce service est utile dans divers scénarios :

• Gestion des secrets. Vous pouvez utiliser Key Vault pour stocker en toute sécurité les jetons, mots de passe, certificats, clés API (interface de programmation d’applications) et autres secrets, et pour contrôler étroitement l’accès à tous ces secrets.
• Gestion des clés. Vous pouvez également utiliser Key Vault comme solution de gestion des clés. Key Vault simplifie la création et le contrôle des clés de chiffrement utilisées pour chiffrer vos données.
• Gestion des certificats. Key Vault vous aide à provisionner, gérer et déployer vos certificats SSL/TLS (Secure Sockets Layer/Transport Layer Security) publics et privés pour vos ressources Azure et vos ressources connectées internes.
• Stockage de secrets secondé par des modules de sécurité matériels (HSM). Les secrets et les clés peuvent être protégés par logiciel ou par des modules de sécurité matériels approuvés FIPS 140-2 de niveau 2.

ExpressRoute vous permet d’étendre vos réseaux locaux au cloud Microsoft via une connexion privée facilitée par un fournisseur de connectivité.

Azure Information Protection (parfois appelé AIP) est une solution cloud qui aide les organisations à classer et éventuellement protéger leurs documents et e-mails en leur appliquant des étiquettes.

Azure Advanced Threat Protection (Azure ATP) est une solution de sécurité cloud qui identifie, détecte et vous aide à examiner les menaces avancées, les identités compromises et les actions malveillantes d’initiés contre votre entreprise.

Azure Policy est un service Azure que vous utilisez pour définir, affecter et gérer les standards des ressources de votre environnement.
Une définition d’initiative est un ensemble ou un groupe de définitions de stratégie qui permettent de suivre l’état de conformité d’un objectif plus large.

Le STP (Portail d’approbation de services) héberge le service Gestionnaire de conformité. Il constitue le site public de Microsoft pour la publication de rapports d’audit et autres informations sur la conformité des services cloud de Microsoft.

Azure Monitor optimise la disponibilité et les performances de vos applications en fournissant une solution complète pour collecter, analyser et agir sur la télémétrie de vos environnements cloud et locaux. Il vous aide à comprendre le fonctionnement de vos applications et identifie de façon proactive les problèmes qui les affectent ainsi que les ressources dont elles dépendent.

Azure Service Health est une suite d’expériences qui fournit une aide et un support personnalisés quand vous êtes affecté par des problèmes liés aux services Azure. Il peut vous envoyer des notifications, vous aider à comprendre l’impact des problèmes et vous tenir informé de leur résolution. Azure Service Health peut également vous aider à vous préparer à la maintenance planifiée et aux changements susceptibles d’affecter la disponibilité de vos ressources.