Cloud Public Azure

Présentation

Microsoft Azure constitue le socle cloud public de l'architecture hybride d'INDIO Group, offrant une extension élastique et géo-distribuée de l'infrastructure on-premise. L'intégration avec les systèmes internes garantit une continuité opérationnelle et une résilience maximale.

Services Azure déployés

Service Usage Bénéfice
Azure Blob Storage Stockage objet pour sauvegardes et archivage Scalabilité illimitée, coût optimisé
Azure Immutable Storage Protection anti-ransomware (politique WORM) Conformité réglementaire, copie inaltérable
Azure Virtual Machines Workloads additionnels et DR Élasticité et basculement automatique
Azure Virtual Network Extension réseau hybride via VPN/ExpressRoute Connectivité sécurisée site-to-site
Azure AD / Entra ID Fédération d'identités (SSO) Authentification unifiée avec FreeIPA
Azure Monitor Supervision et métriques cloud Visibilité centralisée avec Grafana

Architecture de Stockage Azure

Tiers de stockage

L'architecture utilise les tiers de stockage Azure Blob pour optimiser les coûts en fonction de la fréquence d'accès :

  • Hot Tier : accès fréquent, sauvegardes récentes (< 30 jours)
  • Cool Tier : accès occasionnel, sauvegardes mensuelles (30-180 jours)
  • Archive Tier : archivage long terme, conformité légale (> 180 jours)

Immutabilité et protection WORM

Azure Immutable Storage avec politique de rétention en mode Compliance garantit :

  • Protection anti-suppression : impossibilité de supprimer ou modifier les blobs pendant la période définie
  • Conformité réglementaire : respect des normes SEC 17a-4, FINRA, CFTC
  • Defense-in-depth contre ransomware : même un administrateur ne peut altérer les données immuables
  • Legal Hold : conservation prolongée pour besoins judiciaires ou d'audit

Configuration Veeam avec Azure

Veeam Backup & Replication s'intègre nativement avec Azure Blob Storage via :

  • Scale-out Backup Repository (SOBR) : Azure Blob en tant que Capacity Tier
  • Offload automatique : les sauvegardes anciennes sont déplacées automatiquement vers Azure (tiering)
  • Copy Mode : conservation de copies indépendantes sur Azure pour la règle 3-2-1-1-0
  • Immutability Lock : activation de l'immutabilité via l'API Azure pour bloquer toute modification

Réseau Hybride

Connectivité site-to-site

L'infrastructure on-premise est connectée à Azure via :

  • Azure VPN Gateway (mode actif-actif) : tunnel IPsec redondant
  • Alternative ExpressRoute : connexion dédiée privée (1-10 Gbps) pour charges critiques
  • Routage dynamique : BGP pour l'échange automatique des routes entre on-premise et Azure

Segmentation et sécurité

  • Azure Network Security Groups (NSG) : filtrage au niveau sous-réseau et NIC
  • Azure Firewall : pare-feu centralisé avec règles FQDN
  • Private Endpoints : accès privé aux services PaaS (Blob Storage) sans exposition Internet

Identité et accès (IAM)

Intégration avec FreeIPA et AD

  • Azure AD Connect : synchronisation des comptes depuis Active Directory on-premise
  • Fédération SAML/OpenID : authentification unique (SSO) entre FreeIPA et Azure AD
  • Conditional Access : politiques de contrôle d'accès contextuelles (géolocalisation, appareil managé)

Gestion des permissions (RBAC)

Les accès aux ressources Azure sont gérés via le Role-Based Access Control :

  • Principe du moindre privilège : attribution de rôles granulaires (Reader, Contributor, Owner)
  • Managed Identities : authentification des VMs et services sans secret (passwordless)
  • Privileged Identity Management (PIM) : élévation de privilèges temporaire avec justification

Automatisation et IaC

Provisionnement avec Terraform

Le déploiement des ressources Azure est entièrement automatisé via Terraform :

# Exemple : déploiement d'un Storage Account avec immutabilité
resource "azurerm_storage_account" "backup" {
  name                     = "indioveeambackup"
  resource_group_name      = azurerm_resource_group.main.name
  location                 = "France Central"
  account_tier             = "Standard"
  account_replication_type = "GRS"

  blob_properties {
    versioning_enabled       = true
    change_feed_enabled      = true

    container_delete_retention_policy {
      days = 30
    }
  }
}

resource "azurerm_storage_container" "veeam" {
  name                  = "veeam-backups"
  storage_account_name  = azurerm_storage_account.backup.name

  # Politique d'immutabilité
  immutability_policy {
    period              = 365
    state               = "Locked"
  }
}

Configuration avec Ansible

Ansible assure la configuration post-déploiement :

  • Inventaire dynamique Azure : découverte automatique des VMs via tags
  • Playbooks de configuration : installation agents (Zabbix, Wazuh), durcissement OS
  • Intégration avec Azure Key Vault : récupération sécurisée des secrets

Supervision et monitoring

Intégration avec Zabbix et Grafana

  • Azure Monitor exporte les métriques vers Grafana via datasource native
  • Agents Zabbix déployés sur les VMs Azure pour monitoring unifié
  • Alertes consolidées : regroupement des alertes on-premise et cloud dans une seule interface

Logging centralisé

  • Azure Log Analytics : collecte des logs système et applicatifs
  • Export vers ELK : agrégation des logs Azure dans la stack Wazuh/ELK du SOC
  • Corrélation des événements : détection des menaces cross-environnement (on-premise + cloud)

Plan de Reprise d'Activité (DR)

En cas de sinistre majeur sur le site principal :

  1. Basculement automatique Veeam : restauration des VMs critiques sur Azure
  2. Activation du réseau de secours : bascule DNS et routage vers les ressources Azure
  3. RTO cible : < 4 heures pour les applications non-critiques
  4. RPO garanti : < 15 minutes pour les workloads CDP, < 24h pour les sauvegardes standards

Gouvernance et coûts

Optimisation des coûts

  • Azure Cost Management : suivi budgétaire et alertes de dépassement
  • Reserved Instances : réduction de 30-70% sur les VMs avec engagement 1-3 ans
  • Lifecycle Management : automatisation du tiering Blob (Hot → Cool → Archive)
  • Auto-shutdown : arrêt automatique des environnements non-prod en dehors des heures ouvrées

Conformité et audits

  • Azure Policy : application automatique des standards de sécurité (chiffrement, tags obligatoires)
  • Microsoft Defender for Cloud : évaluation continue de la posture de sécurité (Secure Score)
  • Compliance Dashboard : tableau de bord des conformités (ISO 27001, SOC 2, RGPD)

Sécurité

Chiffrement

  • Chiffrement au repos : Azure Storage Service Encryption (SSE) avec clés managées ou CMK
  • Chiffrement en transit : TLS 1.2+ obligatoire sur toutes les connexions
  • Azure Key Vault : gestion centralisée des clés, certificats et secrets

Protection DDoS

  • Azure DDoS Protection Standard : mitigation automatique des attaques volumétriques
  • WAF (Web Application Firewall) : protection des applications web contre OWASP Top 10

Détection de menaces

  • Microsoft Sentinel (optionnel) : SIEM cloud pour la corrélation avancée
  • Integration avec Wazuh : remontée des alertes Azure vers le SOC on-premise