AZURE : Sécuriser les VMs Level 1

by Mickaël LOPES
0 comment

Bonjour,

Commençant à utiliser de façon très sérieuse Azure, on me pose souvent des questions sur la sécurité.

Je propose une petite liste de choses à comprendre afin de ne pas se faire assassiner par nos amis de la sécurité.

 

Le compte et le mot de passe

 

Vous n’allez peut-être utiliser Azure uniquement pour du développement, mais nous savons tous qu’il est possible de hacker le mot de passe de nos machines.

La technique la plus connue est le brute force avec des duo login/mot de passe connu.

La première étape est d’utiliser des comptes qui ne vous viendraient pas à l’esprit.

Azure intègre une aide au moment de la création d’une VM.

Il refuse les utilisateurs comme Admin ou Administrator

user-adminEt il refuse les mots de passe les plus courant.

mdp-adminSachez qu’il connait également quelques mots de passe complexe comme Passw0rd1, Pass@word1, P@ssw0rd1.

Vous pouvez vous aidez de http://www.generateurdemotdepasse.com/ ou encore https://identitysafe.norton.com/fr/password-generator pour trouver un mot de passe plus complexe.

 

Les Endpoints

 

Les Endpoints autorisent des connexions d’Internet vers les VM. Quand on crée une VM Windows dans Azure, 2 endpoints sont créée par défaut : RDP et RemotePowershell.

La première recommandation est bien sur de supprimer les Endpoints dont vous n’avez plus besoin, voir tous si vous ne souhaitez pas que votre VM soit accessible de l’extérieur.

Si vous souhaitez conserver un Endpoint, il est recommandé de changer le port public.

Dans le cas du RDP, par défaut Azure passe le port externe en Auto.

A noter que lors de la suppression de l’Endpoint RDP, vous n’avez plus d’accès à la machine à travers le portail. Il suffit de rajouter l’Endpoint pour que la fonctionnalité se réactive.

WinRm n’est pas configuré sur les images Windows proposé dans Azure.

Remote-management-disable

Si vous laissez des ports ouvert, il sera très simple à une personne de faire un scan sur chaque IP de Microsoft Azure. D’ailleurs le Range IP est disponible en téléchargement ici http://msdn.microsoft.com/en-us/library/azure/dn175718.aspx

Voici comment supprimer et ajouter un Endpoint via le portail :

Supprimer un Endpoint

Delete-Endpoint-azureAjouter un Endpoint

ADD-Endpoint-azure

Mais on peut aussi limiter les accès à ces IPs via des ACLs.

 

Les ACLs

 

Si vous devez laisser des ports ouvert depuis l’extérieur, vous pouvez créer des limitations d’accès via des ACLs.

Une ACL permet de restreindre l’accès via le réseau source de la requête.

En utilisant les ACLs, vous pouvez :

  • Permettre ou non le trafic entrant à une plage d’adresse IP ou une IP,
  • Blacklister des IP,
  • Créer de multiples ACL par VM
    • Maximum 50 ACL par Endpoint

 

Un bon exemple en image de ce qu’il est possible de faire :

http://blogs.msdn.com/cfs-filesystemfile.ashx/__key/communityserver-blogs-components-weblogfiles/00-00-01-13-25/8360.ashwin-subscription.png

Les ACLs ne se configure que sur les Endpoints Externe.

 

Le VPN

 

L’option Site-to-site

Si vous souhaitez accéder aux serveurs dans Azure comme des serveurs locaux, il vous faudra penser à un VPN Site-to-Site.

Ceci permet de créer un tunnel sécurisé entre le réseau On-Premises et un Virtual Network dans Azure. Grâce à cette option, vous pourrez supprimer complétement les Endpoints externes pour le management des VMs car vous passerez par votre VPN et votre Virtual Network.

Le plus c’est que vous pouvez considérer Azure comme une partie de votre Datacenter. Vos outils d’administrations habituels verront les VMs dans Azure et pourront les modifier. Vous pouvez ajouter ces serveurs à un domaine Active Directory en interne afin de profiter des mêmes methodes d’authentifications et les GPO.

 

L’option Point-to-site

L’option Point-to-site est une connexion VPN d’un ordinateur vers un virtual Network.

Plus besoin d’une connexion matérielle entre Azure et votre réseau interne, votre machine se connecte directement au Virtual Network et interagit avec les VMs.

Ceci est limité car seulement ceux ayant configuré leurs postes pourront accéder aux VMs.

Par contre pour la construction d’un environnement WEB sans aucune chance de connexion avec votre réseau internet, c’est parfait. Ou encore la mise à disposition d’un environnement cloisonné pour du développement.

 

L’option ExpressRoute

L’option ExpressRoute est un véritable lien dédié entre votre infrastructure et le Datacenter d’Azure.

Voici les partenaires de Microsoft :

azure-express-route

Il a l’avantage d’avoir une sécurité garantie par les partenaires Microsoft.

 

Utiliser vos VHDs

 

Il est possible dans Azure de télécharger nos propres VHD (actuellement seul les VHD sont supportés dans Azure), et de les utiliser pour le déploiement de nos VM. C’est aussi un bon moyen de les sécuriser si vous avez une configuration particulière sur vos systèmes. (sachant que si vous mettez en place le VPN site-to-site, et que vous intégrez vos VMS à vos AD, vous recevrez donc les GPO)

Vous pouvez déployer des outils développés en interne dans ces VMs.

 

Les Networks Security Groups

 

Déjà traité lors d’un précédent article, le but des Network Security Groups est de créer des règles de filtrage au niveau des subnets, voir des règles de filtrages sur des VMs seules.

L’article est présent ici : http://lopes.im/azure-network-security-groups/

 

La sécurité des VMs est présente au sein des Clouds Publics, il suffit d’utiliser les bons outils et les bonnes méthodes !

Si vous avez d’autres points de vue, n’hésitez pas à les partager !

-Mickaël

You may also like

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer