Ce que vous devez faire:
Dans cet exercice, vous allez auditer la sécurité réseau d’un serveur virtuel, implanter un pare-feu (Network Security Group), puis configurer des règles précises pour autoriser l’administration à distance (RDP) tout en contrôlant l’accès à l’Internet pour ce serveur.
Temps appromatif: 45 minutes
Prérequis:
Pour cet exercice, vous devez avoir accès à un environnement Microsoft Azure, et avoir une machine virtuelle de deployé
Scénario de mise en situation :
La clinique Santé-Plus vient d’acquérir un nouveau serveur virtuel (SC900-WinVM) pour centraliser les radiographies des patients. Actuellement, ce serveur n’est protégé par aucune règle de pare-feu spécifique, ce qui est inacceptable pour des données médicales.
Votre mandat est de sécuriser ce serveur. Vous devrez d’abord confirmer sa vulnérabilité actuelle, créer un Groupe de sécurité réseau (NSG) pour filtrer le trafic entrant et sortant, autoriser votre accès de gestion (RDP), et enfin, bloquer l’accès Internet du serveur pour éviter toute exfiltration de données non autorisée.
Objectif: Auditer la configuration réseau du serveur
Explication:
Avant d’appliquer une couche de sécurité, il est essentiel de vérifier l’état actuel de la vulnérabilité d’une ressource. Une ressource sans groupe de sécurité est une ressource exposée.
Tache 1: Vérifier l’absence de protection
- Connectez-vous au portail Azure
https://portal.azure.comavec vos identifiants d’administrateur. - Recherchez et sélectionnez Machines virtuelles (Virtual machines), puis cliquez sur
SC900-WinVM. - Dans le menu de gauche, sous la section Paramètres, cliquez sur Mise en réseau (Networking).
- Regardez la ligne Groupe de sécurité réseau (Network security group). Vous constaterez qu’aucune valeur n’est inscrite. Le serveur est actuellement « ouvert » à la configuration par défaut de son sous-réseau.
Objectif: Créer et associer un NSG pour protéger le serveur
Explication:
Nous allons créer un « NSG », qui agit comme un pare-feu au niveau de la carte réseau. Une fois créé, nous allons l’associer à notre serveur pour activer le filtrage de sécurité.
Tache 1: Création et association du pare-feu
- Ouvrez un deuxième onglet du portail Azure pour garder le serveur accessible.
- Dans la barre de recherche en haut, tapez Groupes de sécurité réseau (Network security groups) et sélectionnez-le.
- Cliquez sur + Créer. Utilisez les paramètres suivants :
- Groupe de ressources : Sélectionnez
LabsSC900. - Nom :
NSG-SC900 - Région : Laissez par défaut.
- Cliquez sur Vérifier + créer puis Créer.
- Une fois le déploiement terminé, cliquez sur Accéder à la ressource.
- Dans le menu de gauche, sous Paramètres, cliquez sur Interfaces réseau (Network interfaces), puis sur Associer.
- Dans le menu déroulant, sélectionnez l’interface réseau associée à
sc900-winvm...et cliquez sur OK. - Revenez sur l’onglet de votre machine virtuelle (
SC900-WinVM), rafraîchissez la page. Le nomNSG-SC900apparaît maintenant dans la section Mise en réseau.
Objectif: Gérer les règles de trafic entrant (Inbound)
Explication:
Le NSG est maintenant actif et, par défaut, il bloque tout le trafic entrant. Si vous essayez de vous connecter en RDP (bureau à distance), cela échouera. Nous devons créer une règle de priorité élevée pour autoriser votre accès.
Tache 1: Autoriser l’administration à distance (RDP)
- Dans le NSG (
NSG-SC900), allez dans Règles de sécurité de trafic entrant (Inbound security rules). - Cliquez sur + Ajouter.
- Source :
Any(Toute source) - Ports source :
* - Destination :
Any - Service :
RDP(Le port 3389 sera automatiquement sélectionné) - Action :
Autoriser(Allow) - Priorité :
1000(Plus le chiffre est bas, plus la règle est prioritaire. 1000 est excellent pour une règle personnalisée). - Nom :
Autoriser-RDP - Cliquez sur Ajouter.
- Maintenant, retournez sur la page
Connectde votre machine virtuelle. Cliquez sur Vérifier l’accès (Check access). Le statut devrait maintenant indiquer Accessible.
Objectif: Bloquer le trafic sortant (Outbound)
Explication:
Le serveur de radiographies ne devrait jamais naviguer sur le Web. Les règles par défaut d’Azure autorisent la sortie vers Internet. Nous allons créer une règle pour bloquer tout accès sortant vers l’Internet depuis ce serveur.
Tache 1: Créer la règle de blocage Internet
- Testez d’abord la connexion : Connectez-vous à la machine virtuelle (via RDP), ouvrez Edge et tentez d’aller sur
[www.bing.com](https://www.bing.com). Ça fonctionne (c’est le comportement par défaut). - Retournez dans votre NSG (
NSG-SC900), menu Règles de sécurité de trafic sortant (Outbound security rules). - Cliquez sur + Créer une règle de port (Create port rule).
- Source :
Any - Destination :
Service Tag - Balise de service de destination :
Internet - Plage de ports :
* - Protocole :
Any - Action :
Refuser(Deny) - Priorité :
1000 - Nom :
Bloquer-Internet - Cliquez sur Ajouter.
- Note technique : Il faut parfois attendre 2 à 5 minutes pour que la règle se propage dans le réseau Azure.
- Retournez dans votre session RDP sur le serveur. Essayez de recharger
[www.bing.com](https://www.bing.com). La page ne devrait plus s’afficher !
Félicitations !
Vous avez sécurisé le serveur de la clinique. Il est maintenant inaccessible aux intrus extérieurs (sauf via votre règle RDP approuvée) et il ne peut plus se connecter sur Internet, ce qui limite grandement les risques de fuites de données.
La video.
A venir
