Skip to content

Article 5 – Définir sa Blueprint

On abordera ici les discussions autour des Policy avec le client.

Comme base de discussion, on partira des Blueprints CIS, pour Azure le document se trouve à cette adresse :

Microsoft Azure

Ce document étant très complet, cela permet d’aborder un large éventail d’options de sécurisation.

Pour la plupart des clients, ceci peut être un peu « trop » et difficile à gérer, donc au lieu de prendre le Blueprint pour appliquer toutes ces règles d’un seul bloc, je reporte l’ensemble des règles dans un fichier Excel, et pour chaque règle j’indique la décision (appliquer ou non) et comment on l’applique.

Si Microsoft offre toutes ces règles dans une Blueprint disponible ici

https://docs.microsoft.com/fr-fr/azure/governance/blueprints/samples/cis-azure-1-1-0

Elles sont aussi disponibles sous forme de Policy individuelles et ce sont ces définitions que nous intégreront dans notre Blueprint.

En complément, il est possible de rajouter des règles qui peuvent être pertinentes pour les entreprises sécurisées :

  • Interdire les IPs publiques sur les VMs
  • Tagger et Verrouiller les ressources les plus critiques
  • Forcer une convention de nommage

L’expérience et la lecture peuvent vous donner de nouvelles idées, par exemple cette section de la documentation Microsoft :

https://docs.microsoft.com/en-us/azure/cloud-adoption-framework/govern/foundation-improvements

Afin d’assurer que votre client soit en maitrise de ses Policy, il peut être utile de les documenter afin de garder un historique de ce que fait chaque Policy et surtout quel potentielle faille de sécurité ou erreur de configuration elle vient corriger.

Si vous avez suivi tous les articles vous avez maintenant vu différents moyens d’appliquer des Policy et des paramètres utiles à la bonne gouvernance des souscriptions :

  • Grouper les Policy builtin et les templates ARM dans une Blueprint
  • Grouper les Security et Custom Policy dans une Initiative
  • Compléter ceci par un script PowerShell qui va automatiser l’ensemble de ces déploiements

Dans le prochain (et peut-être dernier) article de notre série, nous allons tenter l’exercice de créer un nouveau Management Group et les souscriptions et de sécuriser cela en moins de 10 minutes.

Article rédigé par Arnaud Torres

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

I accept the Terms and Conditions and the Privacy Policy