Академический Документы
Профессиональный Документы
Культура Документы
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
En utilisant ce site, vous autorisez les cookies des fins danalyse, de pertinence et de publicit.
En savoir plus
MicrosoftAzure
tous
Les services de cloud computing Microsoft offrent une grande volutivit des services et
de linfrastructure, des capacits de niveau entreprise et de nombreuses options pour la
connectivit hybride. Les clients peuvent choisir daccder ces services avec Internet ou
grce Azure ExpressRoute, qui fournit une connectivit rseau prive. La plateforme
Microsoft Azure permet aux clients dtendre leur infrastructure dans le cloud et de
gnrer des architectures plusieurs niveaux en toute transparence. Par ailleurs, des tiers
peuvent activer des fonctionnalits amliores en offrant des services de scurit et des
appliances virtuelles. Ce livre blanc fournit une vue densemble des problmes de scurit
et darchitecture dont les clients doivent tenir compte lorsquils utilisent des services de
cloud computing Microsoft auxquels ils accdent avec ExpressRoute. Il dcrit galement
la cration de services plus scuriss dans les rseaux virtuels Azure.
Dmarrage rapide
Le schma logique suivant peut vous orienter vers un exemple spcifique des diffrentes
techniques de scurit disponibles avec la plateforme Azure. Pour une consultation
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
1/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
rapide, recherchez l'exemple le plus adapt votre cas. Pour des explications plus
compltes, lisez entirement le document.
+ Options
2/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Cette approche fournit une base plus solide permettant aux clients de dployer leurs
services dans le cloud de Microsoft. Ltape suivante explique aux clients comment
concevoir et crer une architecture de scurit afin de protger ces services.
3/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Cette ressource peut ensuite communiquer avec les ressources plus loin dans le
rseau, en transitant par la limite suivante en vue dune validation pralable. La couche la
plus lextrieur est appele rseau de primtre, car cette partie du rseau est expose
Internet, gnralement
+ Options avec une certaine forme de protection des deux cts. La figure
suivante montre un exemple de rseau de primtre sousrseau unique dans un rseau
dentreprise, avec deux limites de scurit.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
4/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Dans quels cas les fonctionnalits de scurit Azure natives doiventelles tre utilises
par rapport aux appliances ou services tiers ?
Le diagramme suivant montre les diffrentes couches de scurit fournies aux clients par
+ Options
Azure. Ces couches sont natives la fois sur la plateforme Azure ellemme et dans les
fonctionnalits dfinies par le client :
Issue dInternet, la protection DDoS Azure protge contre les attaques grande chelle
menes contre Azure. Les points de terminaison publics dfinis par les clients constituent
la couche suivante ; ils servent dterminer quel trafic peut traverser le service cloud pour
atteindre le rseau virtuel. Lisolement du rseau virtuel Azure natif garantit lisolement
complet de tous les autres rseaux et la circulation du trafic uniquement au moyen des
mthodes et des chemins daccs configurs par lutilisateur. Ces chemins daccs et
mthodes constituent la couche suivante, o les groupes de scurit rseau, le routage
dfini par lutilisateur et les appliances virtuelles rseau peuvent servir crer des limites
de scurit afin de protger les dploiements dapplications dans le rseau protg.
La section suivante fournit une vue densemble des rseaux virtuels Azure. Ces rseaux
virtuels sont crs par les clients et leurs charges de travail dployes y sont connectes.
Les rseaux virtuels constituent la base de toutes les fonctionnalits de scurit rseau
requises pour tablir un rseau de primtre afin de protger les dploiements des clients
dans Azure.
5/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Ces attaques utilisent plusieurs nuds robot pour tenter de surcharger un service
Internet. Azure est dot dun maillage de protection DDoS robuste sur toutes les
connexions Internet entrantes. Cette couche de protection DDoS ne comporte aucun
attribut configurable
+ Options par lutilisateur et nest pas accessible au client. Elle protge Azure
en tant que plateforme contre les attaques grande chelle, mais ne protge pas
directement les applications client individuelles. Des couches de rsilience
supplmentaires peuvent tre configures par le client contre une attaque localise.
Par exemple : si le client A a t attaqu avec une attaque DDoS grande chelle sur
un point de terminaison public, Azure bloque les connexions ce service. Le client A a
pu basculer vers un autre rseau virtuel ou point de terminaison de service non
impliqu dans lattaque afin de restaurer le service. Il convient de noter que, bien que
le client A puisse tre affect sur ce point de terminaison, aucun autre service en
dehors de ce point de terminaison ne serait affect. En outre, les autres clients et
services ne verraient aucun impact de cette attaque.
2. Points de terminaison: les points de terminaison permettent aux services cloud ou aux
groupes de ressources dexposer des adresses IP Internet publiques et des ports. Le
point de terminaison utilise la traduction d'adresses rseau NAT pour acheminer le
trafic vers l'adresse et le port internes sur le rseau virtuel Azure. Il sagit du principal
chemin daccs pour que le trafic externe passe dans le rseau virtuel. Les points de
terminaison de service sont configurables par les utilisateurs pour dterminer quel
trafic est transfr et comment et o il est traduit sur le rseau virtuel.
Une fois que le trafic a atteint le rseau virtuel, de nombreuses fonctionnalits entrent en
jeu. Les rseaux virtuels Azure constituent la base laquelle les clients joignent leurs
charges de travail et laquelle sapplique la scurit de base au niveau du rseau. Il sagit
dun rseau priv une superposition du rseau virtuel dans Azure pour les clients dots
des caractristiques et fonctionnalits suivantes :
Isolement de trafic: un rseau virtuel est une limite disolement du trafic sur la
plateforme Azure. Les machines virtuelles dans un rseau virtuel ne peuvent pas
communiquer directement avec les machines virtuelles dans un autre rseau virtuel,
mme si les deux rseaux virtuels sont crs par le mme client. Il sagit dune
proprit critique qui garantit que les machines virtuelles et les communications du
client restent prives dans un rseau virtuel.
Topologie multiniveau: les rseaux virtuels permettent aux clients de dfinir une
topologie multiniveau en allouant des sousrseaux et en spcifiant des espaces
dadressage distincts pour diffrents lments ou niveaux de leurs charges de
travail. Ces regroupements et topologies logiques permettent aux clients de dfinir
diffrentes stratgies daccs selon les types de charges de travail et galement de
contrler les flux de trafic entre les niveaux.
Connexions entre diffrents locaux: les clients peuvent tablir des connexions entre
locaux entre un rseau virtuel et plusieurs sites locaux ou dautres rseaux virtuels dans
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
6/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Azure. Pour ce faire, les clients peuvent utiliser des passerelles VPN Azure ou des
appliances virtuelles rseau tierces. Azure prend en charge les VPN de site site S2S
laide des protocoles IPsec/IKE standards et de la connectivit prive ExpressRoute.
Optionsrseau : permet aux clients de crer des rgles listes de contrle
Groupe de+scurit
daccs avec le niveau de granularit souhait : interfaces rseau, machines virtuelles
individuelles ou sousrseaux virtuels. Les clients peuvent contrler laccs en
autorisant ou en refusant la communication entre les charges de travail au sein dun
rseau virtuel, partir des systmes sur les rseaux du client au moyen des connexions
entre diffrents locaux ou de la communication Internet directe.
Routage dfini par lutilisateur et transfert IP : permettent de dfinir les chemins daccs
de communication entre les diffrents niveaux dun rseau virtuel. Les clients peuvent
dployer un parefeu, les services IDS/IPS et dautres appliances virtuelles et acheminer
le trafic rseau travers ces appliances de scurit pour lapplication de stratgies de
limites de scurit, laudit et linspection.
Appliances virtuelles rseau dans Azure Marketplace : les appliances de scurit telles
que les parefeu, les quilibreurs de charge, les systmes de dtection/prvention des
intrusions sont disponibles dans Azure Marketplace et la galerie dimages de machines
virtuelles. Pour finaliser un environnement rseau scuris multiniveau, les clients
peuvent dployer ces appliances dans leurs rseaux virtuels et, en particulier, sur leurs
limites de scurit y compris les sousrseaux du rseau de primtre.
Avec ces fonctionnalits et capacits, voici un exemple de conception darchitecture de
rseau de primtre dans Azure :
7/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Le rseau de primtre est conu pour tre la partie frontale du rseau, crant une
interface directe avec les communications dInternet. Les paquets entrants doivent
traverser les appliances de scurit, notamment le parefeu et les systmes de dtection
et de prvention
dintrusion, avant datteindre les serveurs principaux. Les paquets
+ Options
Internet des charges de travail peuvent galement traverser les appliances de scurit
dans le rseau de primtre pour lapplication des stratgies, linspection et les fins
daudit, avant de quitter le rseau. En outre, le rseau de primtre peut hberger les
passerelles VPN entre diffrents locaux entre les rseaux virtuels client et les rseaux
locaux.
8/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
9/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
10/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
11/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
La figure prcdente montre une vue d'ensemble d'un rseau trois limites de scurit.
Ces limites se trouvent entre le rseau de primtre et Internet, entre les sousrseaux
privs Azure frontaux et principaux et entre le sousrseau Azure principal et le rseau
d'entreprise +
local.
Options
2) O se trouvent les limites ?
Une fois que le nombre de limites est dcid, la question de lemplacement de leur
implmentation constitue le point de dcision suivant. Il existe gnralement trois
possibilits :
l'aide d'un service Internet intermdiaire par exemple, un parefeu d'applications
web cloud, non abord dans ce document
l'aide des fonctionnalits natives et/ou des appliances de rseau virtuel dans Azure
l'aide dappareils physiques sur le rseau local
Sur les rseaux exclusivement Azure, les options sont les fonctionnalits Azure natives
par exemple, les quilibreurs de charge Azure ou les appliances virtuelles rseau partir
dun riche cosystme de partenaires Azure par exemple, les parefeu Check Point.
Si une limite est ncessaire entre Azure et un rseau local, les appareils de scurit
peuvent rsider sur nimporte quel ct de la connexion ou sur les deux cts. Par
consquent une dcision doit tre prise concernant lemplacement du matriel de
scurit.
Dans la figure prcdente, les limites Internetrseau de primtre et frontalprincipal
sont entirement contenues dans Azure et doivent tre des fonctionnalits Azure natives
ou des appliances virtuelles rseau. Les appareils de scurit sur la limite entre Azure
sousrseau principal et le rseau dentreprise peuvent tre du ct Azure ou du ct
local ; une combinaison dappareils des deux cts est galement possible. Ces options
prsentent des avantages et des inconvnients importants qui doivent tre srieusement
envisags.
Par exemple, lutilisation dun matriel de scurit physique existant sur le rseau local
prsente l'avantage de ne pas ncessiter de nouveau matriel. Une reconfiguration suffit.
Linconvnient, cependant, est que tout le trafic doit revenir dAzure vers le rseau local
pour tre vu par le matriel de scurit. Ainsi, le trafic Azure Azure pourrait subir une
latence importante et affecter les performances des applications et lexprience utilisateur
sil a t forc vers le rseau local pour lapplication de stratgies de scurit.
3) Comment les limites sont-elles implmentes ?
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
12/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
13/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
+ Options
Description de lenvironnement
Dans cet exemple, il existe un abonnement qui contient les lments suivants :
deux services cloud : FrontEnd001 , BackEnd001 ,
Un rseau virtuel CorpNetwork avec deux sousrseaux : FrontEnd et BackEnd
,
un groupe de scurit rseau est appliqu aux deux sousrseaux,
un serveur Windows Server reprsentant un serveur web dapplication IIS01 ,
deux serveurs Windows Server qui reprsentent les serveurs principaux dapplications
AppVM01 , AppVM02 ,
Un serveur Windows Server qui reprsente un serveur DNS DNS01 ,
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
14/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Pour accder aux scripts et un modle Azure Resource Manager, consultez les
instructions de gnration dtailles.
Description +
duOptions
groupe de scurit rseau
Dans cet exemple, un groupe NSG est cr, puis charg avec six rgles.
Conseil
En rgle gnrale, vous devez dabord crer les rgles d autorisation spcifiques, suivies des
rgles de refus plus gnrales. La priorit donne indique quelles sont les rgles values en
premier. Une fois quil a t dtermin que le trafic rpond une rgle spcifique, aucune autre
rgle nest value. Les rgles du groupe de scurit rseau peuvent sappliquer dans le sens
entrant ou sortant du point de vue du sousrseau.
Les rgles qui suivent sont gnres de faon dclarative pour le trafic entrant :
1. Le trafic DNS interne port 53 est autoris.
2. Le trafic RDP port 3389 partir dInternet vers nimporte quelle machine virtuelle est
autoris.
3. Le trafic HTTP port 80 partir dInternet vers le serveur web IIS01 est autoris.
4. Tout trafic tous les ports IIS01 vers AppVM1 est autoris.
5. Tout trafic tous les ports en provenance dInternet vers lensemble du rseau virtuel
les deux sousrseaux est refus.
6. Tout trafic tous les ports en provenance du sousrseau frontal vers le sousrseau
principal est refus.
Avec ces rgles associes chaque sousrseau, si une requte HTTP est entrante partir
d'Internet vers le serveur web, les rgles 3 autoriser et 5 refuser s'appliquent. Mais,
tant donn que la rgle 3 a une priorit plus leve, elle est la seule sappliquer et la
rgle 5 nentre pas en jeu. La requte HTTP est donc autorise accder au serveur web.
Si le mme trafic tentait datteindre le serveur DNS01, la rgle 5 refus serait la premire
sappliquer et le trafic ne serait pas autoris accder au serveur. La rgle 6 refuser
bloque la communication du sousrseau frontal vers le sousrseau principal
l'exception du trafic autoris dans les rgles 1 et 4. Cela protge le rseau principal au
cas o un attaquant compromettrait l'application web sur le serveur frontal. Lattaquant
aurait un accs limit au rseau principal protg uniquement aux ressources
exposes sur le serveur AppVM01.
Il existe une rgle par dfaut qui autorise le trafic sortant vers Internet. Pour cet exemple,
nous allons autoriser le trafic sortant sans modifier les rgles de trafic sortant. Pour
verrouiller le trafic dans les deux sens, le routage dfini par lutilisateur est requis voir
lexemple 3.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
Conclusion
15/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Conclusion
Il sagit dun moyen relativement simple et direct disoler le sousrseau principal du trafic
entrant. Pour plus dinformations, consultez les instructions de gnration dtailles. Vous
+ Options
trouverez les instructions suivantes :
Comment crer ce rseau de primtre avec des scripts PowerShell.
Comment crer ce rseau de primtre avec un modle Azure Resource Manager.
Des descriptions dtailles de chaque commande NSG.
Des scnarios de flux de trafic dtaills, montrant comment le trafic est autoris ou
refus dans chaque couche.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
16/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
+ Options
Description de lenvironnement
Dans cet exemple, il existe un abonnement qui contient les lments suivants :
deux services cloud : FrontEnd001 , BackEnd001 ,
Un rseau virtuel CorpNetwork avec deux sousrseaux : FrontEnd et BackEnd
,
un groupe de scurit rseau est appliqu aux deux sousrseaux,
une appliance virtuelle rseau, dans ce cas un parefeu, connecte au sousrseau
principal
un serveur Windows Server reprsentant un serveur web dapplication IIS01 ,
deux serveurs Windows Server qui reprsentent les serveurs principaux dapplications
AppVM01 , AppVM02 ,
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
17/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Les rgles qui suivent sont gnres de faon dclarative pour le trafic entrant :
1. Le trafic DNS interne port 53 est autoris.
2. Le trafic RDP port 3389 partir dInternet vers nimporte quelle machine virtuelle est
autoris.
3. Tout trafic Internet tous les ports vers lappliance virtuelle rseau parefeu est
autoris.
4. Tout trafic tous les ports IIS01 vers AppVM1 est autoris.
5. Tout trafic tous les ports en provenance dInternet vers lensemble du rseau virtuel
les deux sousrseaux est refus.
6. Tout trafic tous les ports en provenance du sousrseau frontal vers le sousrseau
principal est refus.
Avec ces rgles associes chaque sousrseau, si une requte HTTP est entrante partir
d'Internet vers le parefeu, les rgles 3 autoriser et 5 refuser s'appliquent. Mais, tant
donn que la rgle 3 a une priorit plus leve, elle est la seule sappliquer et la rgle 5
nentre pas en jeu. La requte HTTP est donc autorise accder au parefeu. Si le mme
trafic tentait datteindre le serveur IIS01, mme sil se trouvait sur le sousrseau frontal, la
rgle 5 refus sappliquerait et le trafic ne serait pas autoris franchir le serveur. La rgle
6 refuser bloque la communication du sousrseau frontal vers le sousrseau principal
l'exception du trafic autoris dans les rgles 1 et 4. Cela protge le rseau principal au
cas o un attaquant compromettrait l'application web sur le serveur frontal. Lattaquant
aurait un accs limit au rseau principal protg uniquement aux ressources
exposes sur le serveur AppVM01.
Il existe une rgle par dfaut qui autorise le trafic sortant vers Internet. Pour cet exemple,
nous allons autoriser le trafic sortant sans modifier les rgles de trafic sortant. Pour
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
18/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
verrouiller le trafic dans les deux sens, le routage dfini par lutilisateur est requis voir
lexemple 3.
Description +
deOptions
la rgle de pare-feu
Sur le parefeu, vous devez crer des rgles de transfert. tant donn que cet exemple
achemine uniquement le trafic Internet entrant vers le parefeu, puis vers le serveur web,
seule une rgle de traduction dadresses rseau NAT de transfert est requise.
La rgle de transfert accepte n'importe quelle adresse source entrante qui atteint le pare
feu, en essayant d'atteindre HTTP port 80 ou 443 pour HTTPS. Elle est envoye hors de
l'interface locale du parefeu et redirige vers le serveur web avec l'adresse IP 10.0.1.5.
Conclusion
Il sagit dun moyen relativement simple de protger votre application avec un parefeu et
disoler le sousrseau principal du trafic entrant. Pour plus dinformations, consultez les
instructions de gnration dtailles. Vous trouverez les instructions suivantes :
Comment crer ce rseau de primtre avec des scripts PowerShell.
Comment crer cet exemple avec un modle Azure Resource Manager.
Descriptions dtailles de chaque commande NSG et rgle de parefeu.
Des scnarios de flux de trafic dtaills, montrant comment le trafic est autoris ou
refus dans chaque couche.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
19/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
+ Options
Description de lenvironnement
Dans cet exemple, il existe un abonnement qui contient les lments suivants :
Trois services cloud : SecSvc001 , FrontEnd001 et BackEnd001
Un rseau virtuel CorpNetwork , avec trois sousrseaux : SecNet , FrontEnd et
BackEnd
Une appliance virtuelle du rseau, dans ce cas un parefeu, connect au sousrseau
SecNet
un serveur Windows Server reprsentant un serveur web dapplication IIS01 ,
deux serveurs Windows Server qui reprsentent les serveurs principaux dapplications
AppVM01 , AppVM02 ,
Un serveur Windows Server qui reprsente un serveur DNS DNS01 ,
Pour accder aux scripts et un modle Azure Resource Manager, consultez les
instructions de gnration dtailles.
Description du routage dfini par lutilisateur
Par dfaut, les itinraires systme suivants sont dfinis en tant que :
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
Copy
20/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Effectiveroutes:
AddressPrefixNexthoptypeNexthopIPaddressStatusSource
{10.0.0.0/16}VNETLocalActiveDefault
+ Options
{0.0.0.0/0}InternetActiveDefault
{10.0.0.0/8}NullActiveDefault
{100.64.0.0/10}NullActiveDefault
{172.16.0.0/12}NullActiveDefault
{192.168.0.0/16}NullActiveDefault
Une fois les tables de routage cres, elles sont lies leurs sousrseaux. La table de
routage du sousrseau frontal, une fois cre et lie au sousrseau, doit ressembler ce
qui suit :
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
Copy
21/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Effectiveroutes:
AddressPrefixNexthoptypeNexthopIPaddressStatusSource
{10.0.1.0/24}VNETLocalActive
+ Options
{10.0.0.0/16}VirtualAppliance10.0.0.4Active
{0.0.0.0/0}VirtualAppliance10.0.0.4Active
Remarque
UDR peut dsormais tre appliqu ce sousrseau de passerelle sur lequel le circuit
ExpressRoute est connect.
Des exemples d'activation de votre rseau de primtre avec ExpressRoute ou la mise en rseau
de site site sont prsents dans les exemples 3 et 4.
Description du transfert IP
Le transfert IP est une fonctionnalit associe au routage dfini par lutilisateur. Il sagit
dun paramtre dappliance virtuelle qui permet de recevoir du trafic qui nest pas
spcialement adress lappliance, puis de transfrer ce trafic vers sa destination finale.
Par exemple, si le trafic partir dAppVM01 fait une demande au serveur DNS01, lUDR
lachemine vers le parefeu. Lorsque le transfert IP est activ, le trafic de la destination de
DNS01 10.0.2.4 est accept par lappliance 10.0.0.4, puis transfr vers sa destination
finale 10.0.2.4. Si le transfert IP nest pas activ sur le parefeu, le trafic ne sera pas
accept par lquipement, mme si le tronon suivant de la table ditinraires est le pare
feu. Pour utiliser une appliance virtuelle, il est essentiel de ne pas oublier dactiver le
transfert IP en conjonction avec le routage dfini par lutilisateur.
Description du groupe de scurit rseau
Dans cet exemple, un groupe NSG est cr, puis charg avec une seule rgle. Ce groupe
est ensuite li uniquement aux sousrseaux frontaux et principaux et pas au SecNet. La
rgle suivante est gnre de manire dclarative :
Tout trafic tous les ports en provenance dInternet vers lensemble du rseau virtuel
tous les sousrseaux est refus.
Bien que dans cet exemple, on utilise des NSG, son principal objectif est celui dune
couche secondaire de dfense contre les erreurs de configuration manuelle. L'objectif est
de bloquer tout le trafic entrant partir d'Internet vers les sousrseaux frontaux ou
principaux. Le trafic ne doit circuler que du sousrseau SecNet au parefeu puis, le cas
chant, vers les sousrseaux frontaux ou principaux. En outre, avec les rgles UDR en
place, tout trafic ayant atteint les sousrseaux principal ou frontal est dirig vers le pare
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
22/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
23/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
+ Options
Remarque
Selon lappliance virtuelle rseau utilise, les ports de gestion peuvent varier. Dans cet exemple, il
est fait rfrence un parefeu Barracuda NextGen Firewall utilisant les ports 22, 801 et 807.
Consultez la documentation du fournisseur dappliance pour rechercher les ports exacts utiliss
pour la gestion de lappareil utilis.
24/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
25/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Conseil
Sur la deuxime rgle de trafic d'application, pour simplifier cet exemple, n'importe quel port est
autoris. Dans un scnario rel, le port et les plages d'adresses les plus spcifiques doivent tre
utiliss afin+
deOptions
rduire la surface d'attaque de cette rgle.
Une fois toutes les rgles prcdentes cres, il est important de revoir la priorit de
chaque rgle pour sassurer que le trafic sera autoris ou rejet de faon pertinente. Pour
cet exemple, les rgles sont classes par ordre de priorit.
Conclusion
Il s'agit d'une faon plus complexe mais plus complte de protger et d'isoler le rseau
par rapport aux exemples prcdents. Lexemple 2 protge uniquement lapplication et
lexemple 1 isole simplement les sousrseaux. Cette conception permet de surveiller le
trafic dans les deux sens ; elle protge non seulement le serveur dapplications entrantes
mais applique galement la stratgie de scurit rseau tous les serveurs sur ce rseau.
En outre, selon lappliance utilise, une connaissance et un audit complets du trafic sont
possibles. Pour plus dinformations, consultez les instructions de gnration dtailles.
Vous trouverez les instructions suivantes :
Comment crer cet exemple de rseau de primtre avec des scripts PowerShell.
Comment crer cet exemple avec un modle Azure Resource Manager.
Des descriptions dtailles de chaque UDR, commande NSG et rgle de parefeu.
Des scnarios de flux de trafic dtaills, montrant comment le trafic est autoris ou
refus dans chaque couche.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
26/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
+ Options
Description de lenvironnement
La mise en rseau hybride laide dune appliance virtuelle rseau NVA peut tre
ajoute lun des types de rseaux de primtre dcrits dans les exemples 1, 2 ou 3.
Comme lindique la figure prcdente, une connexion VPN sur Internet de site site
permet de connecter un rseau local un rseau virtuel Azure au moyen dune appliance
virtuelle rseau.
Remarque
Si vous utilisez ExpressRoute avec l'option d'homologation publique Azure active, un itinraire
statique doit tre cr. Il doit acheminer vers l'adresse IP du VPN de lappliance virtuelle rseau
hors de votre Internet dentreprise et non avec le WAN ExpressRoute. La traduction dadresses
rseau requise avec l'option d'homologation publique dAzure ExpressRoute peut arrter la
session VPN.
Une fois la connexion VPN en place, la NVA devient le hub central pour tous les
rseaux et sousrseaux. Les rgles de transfert de parefeu dterminent quels flux de
trafic sont autoriss, se voient appliquer la traduction dadresses rseau, sont redirigs ou
sont refuss mme pour les flux de trafic entre le rseau local et Azure.
Les flux de trafic doivent tre envisags avec prcaution car ils peuvent tre optimiss ou
dtriors par ce modle de conception, en fonction du cas dutilisation.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
27/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Le routeur local ou tout autre appareil rseau compatible avec votre appliance virtuelle
rseau pour VPN serait le client VPN. Cet appareil physique est responsable de
linitialisation et de la maintenance de la connexion VPN avec votre appliance virtuelle
rseau.
Logiquement pour la NVA, le rseau ressemble quatre zones de scurit distinctes,
les rgles sur la NVA dirigeant principalement le trafic entre ces zones :
Conclusion
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
28/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Lajout dune connexion rseau hybride VPN de site site un rseau virtuel Azure peut
tendre le rseau local dans Azure de manire scurise. laide dune connexion VPN,
votre trafic est chiffr et achemin par Internet. La NVA, dans cet exemple, fournit un
emplacement
+ central
Optionspour appliquer et grer la stratgie de scurit. Pour plus
d'informations, consultez les instructions de gnration dtailles bientt disponibles.
Vous trouverez les instructions suivantes :
Comment crer cet exemple de rseau de primtre avec des scripts PowerShell.
Comment crer cet exemple avec un modle Azure Resource Manager.
Des scnarios de flux de trafic dtaills, montrant comment le trafic circule dans cette
conception.
Description de lenvironnement
La mise en rseau hybride laide dune passerelle VPN Azure peut tre ajoute lun des
types de rseaux de primtre dcrits dans les exemples 1 ou 2.
Comme lindique la figure prcdente, une connexion VPN sur Internet de site site
permet de connecter un rseau local un rseau virtuel Azure au moyen dune passerelle
VPN Azure.
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
29/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Remarque
Si vous utilisez ExpressRoute avec l'option d'homologation publique Azure active, un itinraire
statique doit tre cr. Il doit acheminer vers l'adresse IP du VPN de lappliance virtuelle rseau
+ Options
hors de votre
Internet dentreprise et non avec le WAN ExpressRoute. La traduction dadresses
rseau requise avec l'option d'homologation publique dAzure ExpressRoute peut arrter la
session VPN.
La figure suivante montre les deux priphries de rseau dans cette option. Sur la
premire priphrie, les appliances virtuelles rseau et les groupes de scurit rseau
contrlent les flux de trafic pour les rseaux intraAzure et entre Azure et Internet. La
deuxime priphrie est la passerelle VPN Azure, priphrie de rseau totalement
distincte et isole entre le rseau local et Azure.
Les flux de trafic doivent tre envisags avec prcaution car ils peuvent tre optimiss ou
dtriors par ce modle de conception, en fonction du cas dutilisation.
Lutilisation de lenvironnement cr dans lexemple 1 et lajout dune connexion rseau
hybride VPN de site site produisent la conception suivante :
Conclusion
Lajout dune connexion rseau hybride VPN de site site un rseau virtuel Azure peut
tendre le rseau local dans Azure de manire scurise. laide de la passerelle VPN
Azure native, votre trafic est chiffr IPSec et achemin par Internet. En outre, la passerelle
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
30/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
VPN Azure peut fournir une option moindre cot aucun cot de licence supplmentaire
linstar des appliances virtuelles rseau tierces. Cette solution est plus conomique
dans lexemple 1 o aucune appliance virtuelle rseau nest utilise. Pour plus
d'informations,
consultez les instructions de gnration dtailles bientt disponibles.
+ Options
Vous trouverez les instructions suivantes :
Comment crer cet exemple de rseau de primtre avec des scripts PowerShell.
Comment crer cet exemple avec un modle Azure Resource Manager.
Des scnarios de flux de trafic dtaills, montrant comment le trafic circule dans cette
conception.
Description de lenvironnement
La mise en rseau hybride laide dune connexion dhomologation prive ExpressRoute
peut tre ajoute lun des types de rseaux de primtre dcrits dans les exemples 1 ou
2.
Comme lindique la figure prcdente, lhomologation prive ExpressRoute fournit une
connexion directe entre votre rseau local et le rseau virtuel Azure. Le trafic passe
uniquement dans le rseau du prestataire de services et le rseau Microsoft Azure, sans
jamais atteindre Internet.
Remarque
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
31/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Il existe certaines limites lutilisation du routage dfini par utilisateur avec ExpressRoute en
raison de la complexit du routage dynamique utilis dans la passerelle virtuelle Azure. Les voici :
Le routage UDR ne doit pas tre appliqu au sousrseau de passerelle auquel la passerelle
virtuelle Azure lie ExpressRoute est connecte.
+ Options
La passerelle virtuelle Azure lie ExpressRoute ne doit pas tre lappareil de tronon suivant
des sousrseaux UDR associs.
Conseil
Lutilisation dExpressRoute tient le trafic du rseau dentreprise loign dInternet pour une
meilleure scurit et une amlioration significative des performances. Il prend galement en
charge les accords de niveau de service de votre fournisseur ExpressRoute. La passerelle Azure
peut transfrer jusqu 2 Gbits/s avec ExpressRoute, tandis quavec les VPN de site site, le dbit
maximal de la passerelle Azure est de 200 Mbits/s.
Comme nous voyons sur le diagramme suivant, avec cette option, lenvironnement
dispose maintenant de deux priphries de rseau. La NVA et le NSG contrlent les flux
de trafic pour les rseaux intraAzure et entre Azure et Internet, tandis que la passerelle
est une priphrie de rseau totalement distincte et isole entre le rseau local et Azure.
Les flux de trafic doivent tre envisags avec prcaution car ils peuvent tre optimiss ou
dtriors par ce modle de conception, en fonction du cas dutilisation.
Lutilisation de lenvironnement cr dans lexemple 1 et lajout dune connexion rseau
hybride ExpressRoute produisent la conception suivante :
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
32/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
+ Options
Conclusion
Lajout dune connexion rseau dhomologation prive ExpressRoute peut tendre le
rseau local dans Azure dune manire scurise, avec moins de latence et de meilleures
performances. En outre, lutilisation de la passerelle Azure native, comme dans cet
exemple, fournit une option moindre cot aucune licence supplmentaire linstar des
appliances virtuelles rseau tierces. Pour plus d'informations, consultez les instructions de
gnration dtailles bientt disponibles. Vous trouverez les instructions suivantes :
Comment crer cet exemple de rseau de primtre avec des scripts PowerShell.
Comment crer cet exemple avec un modle Azure Resource Manager.
Des scnarios de flux de trafic dtaills, montrant comment le trafic circule dans cette
conception.
Rfrences
Sites web et documentation utiles
Accs Azure avec Azure Resource Manager :
Accder Azure avec PowerShell :
https://azure.microsoft.com/documentation/articles/powershellinstallconfigure/
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
33/34
25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
Franais
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
34/34