Microsoft Azure Pack : Sites Web - Améliorations de la sécurité

  • Article

 

S’applique à : Windows Azure Pack

Après l'installation, vous pouvez améliorer la sécurité en mettant en œuvre des meilleures pratiques supplémentaires. Vous pouvez notamment configurer le filtrage IP (également appelé « inscription sur liste rouge »), paramétrer des quotas pour parer les attaques par déni de service, et bien plus.

Configurer le filtrage d’adresse IP

Il est très important de paramétrer un filtre IP car l'une des méthodes les plus simples pour lancer une attaque par déni de service consiste à lancer l'attaque à partir du service proprement dit. C’est pourquoi, au minimum, le fournisseur de services d’hébergement doit inscrire sur liste rouge sa propre batterie.

Par exemple, si la batterie de serveurs Web est déployée sur un sous-réseau, alors les adresses IP du sous-réseau doivent être filtrées pour empêcher les sites Web d'effectuer un rappel dans la batterie et de lancer (par exemple) une attaque par déni de service.

Pour empêcher les processus de traitement des locataires d'accéder aux plages d'adresses IP correspondant aux serveurs à l'intérieur du cloud de site web, vous pouvez configurer le filtrage IP dans le portail de gestion de Microsoft Azure Pack ou en utilisant PowerShell.

Pour configurer le filtrage IP dans le portail de gestion

Pour configurer le filtrage IP dans le portail de gestion pour les administrateurs, exécutez les étapes suivantes :

  1. Dans le volet gauche du portail, sélectionnez Cloud Sites Web.

  2. Sélectionnez le cloud de sites Web que vous souhaitez configurer.

  3. Choisissez Liste de blocage.

  4. Cliquez sur Ajouter dans la barre de commandes au bas de la page du portail.

  5. Dans la boîte de dialogue Entrer une plage d'adresses IP, entrez une adresse IP dans les zones Adresse de début et Adresse de fin pour créer une plage.

  6. Cliquez sur la coche pour terminer l'opération.

Pour configurer le filtrage IP à l'aide de PowerShell

Pour configurer un filtrage IP à l'aide de PowerShell, exécutez les applets de commande PowerShell suivantes sur le contrôleur. Remplacez <start-of-ip-blacklist-range et end-of-ip-blacklist-range> par des adresses IP valides.><

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Redémarrer le service Dynamic WAS

Enfin, redémarrez le service Dynamic WAS (DWASSVC) sur les serveurs configurés pour exécuter le rôle de traitement Web. Exécutez les commandes suivantes à partir d'une invite de commandes avec élévation de privilèges :

net stop dwassvc
net start dwassvc

Définir les quotas

Pour éviter des attaques par déni de service, vous devez définir les quotas sur l'UC, la mémoire, la bande passante et l'utilisation du disque. Ces quotas peuvent être configurés dans le portail de gestion pour les administrateurs, dans le cadre de la création d'un plan.

Lorsqu'un plan est paramétré avec ces quotas et un site Web appartenant au plan subit une attaque par déni de service ou un pic de consommation de l'UC impromptu, le site Web sera arrêté lorsque les quotas sont atteints, stoppant l'attaque.

Les quotas mentionnés sont également utiles contre les attaques qui ont leur origine dans la batterie de serveurs. Par exemple, une attaque de mot de passe par force brute dans la batterie de serveurs consomme beaucoup de temps processeur et, si des mots de passe forts sont utilisés, le quota de l'UC sera atteint avant que le mot de passe puisse être désactivé.

Attribuer un jeu distinct d'informations d'identification pour chaque rôle Sites Web

En tant que meilleure pratique de sécurité après l'installation, vous devez modifier les jeux d'informations d'identification des rôles de serveur Web, afin qu'ils soient tous uniques. Après la création de nouveaux comptes uniques, vous pouvez mettre à jour les informations d'identification dans le portail de gestion pour que les administrateurs afin d'utiliser de nouveaux comptes.

Pour modifier les informations d'identification du rôle de serveur Sites Web

  1. Dans le portail de gestion pour les administrateurs, cliquez sur Cloud Sites Web, puis choisissez le cloud que vous souhaitez configurer.

  2. Cliquez sur Informations d'identification. Sous Nom d'utilisateur, vérifiez si les noms d'utilisateur sont uniques entre les rôles de sites Web (par exemple, ils peuvent tous être « Administrateur », auquel cas ils doivent être modifiés).

  3. Sélectionnez l’un des noms d’informations d’identification (par exemple, Informations d’identification du serveur d’administration), puis cliquez sur Modifier dans la barre de commandes en bas du portail.

  4. Dans la boîte de dialogue qui apparaît (par exemple, Mettre à jour les informations d'identification du serveur d'administration), indiquez un nouveau nom d'utilisateur et un nouveau mot de passe.

  5. Cliquez sur la coche pour terminer l'opération.

  6. Recommencez les étapes 3 à 5 jusqu'à ce que tous les jeux d'informations d'identification soient uniques.

Modifier (par roulement) les informations d'identification régulièrement

En tant que meilleure pratique de sécurité, il est conseillé de modifier (par roulement) les informations d'identification régulièrement. Pour les services de rôle, il est préférable de modifier le nom d'utilisateur et le mot de passe en même temps, et non seulement le mot de passe. La modification simultanée du nom d'utilisateur et du mot de passe évite le problème de « non synchronisation » qui peut se produire lorsque que le mot de passe a été modifié, mais la modification n'a pas été propagée complètement dans tout l'environnement.

Lorsque vous modifiez à la fois le nom d'utilisateur et le mot de passe, les deux jeux d'informations d'identification sont temporairement disponibles au cours du processus de substitution. Par exemple, deux systèmes déconnectés devant s'authentifier peuvent toujours se connecter après la modification. Lorsque les nouvelles informations d'identification sont en place et complètement fonctionnelles sur tous les systèmes, vous pouvez désactiver l'ancien jeu.

Définir un profil de confiance restrictif pour les applications .NET

Pour les applications .NET, vous devez définir un profil de confiance restrictif. Par défaut, Windows Azure Pack : Sites Web fonctionne en mode de confiance totale pour fournir la plus grande compatibilité d'applications possible. En choisissant le niveau de confiance optimal, la sécurité est compromise au profit de la compatibilité. Dans la mesure où chaque scénario d'utilisation est différent, vous devez déterminer et suivre les meilleures pratiques adaptés à votre cas pour sécuriser les serveurs Web à plusieurs locataires dans votre environnement.

Autres meilleures pratiques

D'autres meilleures pratiques comprennent le recours au principe de privilège minimum lors de la création des comptes d'utilisateur, la réduction de la surface d'exposition du réseau, et la modification des listes de contrôle d'accès système pour protéger votre système de fichiers et votre Registre.

Utiliser le principe du privilège minimum lors de la création des comptes

Lorsque vous créez des comptes d'utilisateur, appliquez-leur le principe du privilège minimum. Pour plus d'informations, reportez-vous à Application du principe de privilège minimum à des comptes d'utilisateur sous Windows.

Minimiser la surface d'exposition du réseau

Configurez votre pare-feu pour réduire la surface d'exposition du réseau sur les serveurs exposés à Internet. Pour plus d'informations sur le Pare-feu Windows avec fonctions avancées de sécurité, consultez les ressources suivantes (les références pour Windows Server 2008 R2 sont toujours utiles pour Windows Server 2012 et Windows Server 2012 R2).

Modifier les listes de contrôle d'accès du système pour sécuriser le système de fichiers et le Registre

Les utilitaires téléchargeables suivants vous aident à évaluer les paramètres de sécurité du système de fichiers et du Registre d'un serveur.

Voir aussi

Déployer Windows Azure Pack : Sites web