Implémenter la sécurité pour les serveurs et les machines virtuelles

Implémentez des contrôles de sécurité en couches entre les machines virtuelles Azure et les serveurs hybrides avec Arc. Configurez les options de chiffrement de disque, notamment le chiffrement sur l’hôte avec des clés gérées par le client et le chiffrement de disque confidentiel. Activez les fonctionnalités de sécurité de lancement approuvé (démarrage sécurisé, vTPM et surveillance de l’intégrité) pour vous protéger contre les menaces au niveau du démarrage. Éliminez l’exposition RDP publique et SSH avec Azure Bastion. Étendez la gouvernance de la sécurité Azure aux serveurs locaux et multicloud à l’aide d’Azure Arc. Déployez Microsoft Defender for Servers pour l’analyse des vulnérabilités, la détection sur les points de terminaison, l’analyse sans agent des machines et la surveillance de l’intégrité des fichiers. Appliquez l’accès juste-à-temps aux machines virtuelles pour éliminer définitivement les ports de gestion ouverts. Appliquez Azure Configuration de l’ordinateur pour auditer et appliquer les bases de référence de sécurité du système d’exploitation dans l’ensemble de votre patrimoine de serveurs.

Prérequis

  • Connaissance pratique de Machines virtuelles Azure, y compris le déploiement et la gestion de machines virtuelles
  • Connaissance des Microsoft Defender for Cloud au niveau fondamental
  • Compréhension du contrôle d'accès basé sur les rôles Azure (RBAC) et des notions de base d'Azure Policy
  • Connaissance de la connectivité du serveur Azure Arc
  • Avoir terminé « Connecter des environnements hybrides et multicloud à Microsoft Defender for Cloud » (ou posséder des connaissances équivalentes)
  • Achèvement de (ou connaissances équivalentes à) l'activation et la configuration des plans de protection des charges de travail dans Microsoft Defender for Cloud.

Prise en main d’Azure

Choisissez le compte Azure qui vous convient. Payez à l’utilisation ou essayez Azure gratuitement pendant jusqu’à 30 jours. S’inscrire.

Modules de ce parcours d’apprentissage

Sélectionnez et configurez l’approche de chiffrement de disque appropriée pour Azure machines virtuelles. Comparez les options de chiffrement de disque managé, configurez le chiffrement sur l’hôte avec des clés gérées par le client à l’aide de jeux de chiffrement de disque, appliquez le chiffrement de disque confidentiel aux machines virtuelles confidentielles et appliquez la conformité du chiffrement de disque à l’aide de Azure Policy.

Configurez les fonctionnalités de sécurité du lancement approuvé des machines virtuelles Azure. Activez la surveillance du démarrage sécurisé, vTPM et de l’intégrité pour vous protéger contre les programmes malveillants et les rootkits au niveau du démarrage. Mettez à niveau les machines virtuelles Gen1 et Gen2 existantes vers le type de sécurité Trusted Launch et imposez son adoption à grande échelle à l’aide d’Azure Policy.

Planifiez et déployez Azure Bastion pour fournir un accès RDP et SSH sécurisé basé sur un navigateur aux machines virtuelles sans exposer d’adresses IP publiques ou de ports de gestion. Sélectionnez la référence SKU appropriée en fonction des exigences de mise à l’échelle et des fonctionnalités, déployez et configurez Bastion dans un réseau virtuel Azure, puis connectez-vous aux machines virtuelles à l’aide des méthodes clientes natives et du portail.

Gérez les contrôles de sécurité pour les serveurs hybrides compatibles avec Azure Arc. Configurez la sécurité RBAC et des extensions pour prévenir les modifications non autorisées de l'agent. Appliquez ensuite Azure Policy pour appliquer les bases de référence de sécurité sur les machines inscrites à Arc. Enfin, surveillez la posture de sécurité du serveur hybride dans Microsoft Defender for Cloud.

Intégrez les machines virtuelles Azure et les serveurs hybrides connectés à Arc à Microsoft Defender for Servers. Sélectionnez Plan 1 ou Plan 2 en fonction des exigences de capacité, configurez l’analyse des vulnérabilités à l’aide de Defender Vulnerability Management sans agent et basée sur un agent. Intégrez ensuite Microsoft Defender for Endpoint et gérez les fonctionnalités d’analyse sans agent pour l’inventaire logiciel, les secrets, la détection des programmes malveillants et la surveillance de l’intégrité des fichiers.

Activez et configurez l’accès juste-à-temps aux machines virtuelles dans Microsoft Defender for Cloud pour éliminer les ports RDP et SSH ouverts définitivement. Configurez les stratégies d’accès par port, demandez l’accès temporel aux machines virtuelles, auditez l’activité d’accès et appliquez l’adoption de JIT dans votre patrimoine de machines virtuelles à l’aide de Azure Policy.

Auditez et appliquez la configuration de sécurité du système d’exploitation sur les machines virtuelles Azure et les serveurs activés par Arc à l’aide de Azure Configuration de machines. Appliquez des stratégies de base de référence de sécurité intégrées Windows et Linux, configurez l’audit et appliquez les modes, et créez des configurations d’ordinateur personnalisées pour les exigences de sécurité spécifiques à l’organisation.