Services de Cloud Computing Et Sécurité Réseau Microsoft - Microsoft Docs

25/01/2017
ServicesdecloudcomputingetscuritrseauMicrosoft|MicrosoftDocs
En utilisant ce site, vous autorisez les cookies des fins danalyse, de pertinence et de publicit.
En savoir plus
MicrosoftAzure
Service cloud et scurit rseau
Services de cloud computing et

scurit rseau Microsoft
14/03/2016 42 minutes de lecture Contributeurs
tous
Dans cet article

Dmarrage rapide
Conformit et protection des infrastructures Microsoft
Architectures de scurit traditionnelles et rseaux de primtre
Vue densemble des rseaux virtuels Azure
Caractristiques et conditions requises dun rseau de primtre
Exemples : Cration de limites de scurit avec les rseaux virtuels Azure
Rfrences
Les services de cloud computing Microsoft offrent une grande volutivit des services et
de linfrastructure, des capacits de niveau entreprise et de nombreuses options pour la
connectivit hybride. Les clients peuvent choisir daccder ces services avec Internet ou
grce Azure ExpressRoute, qui fournit une connectivit rseau prive. La plateforme
Microsoft Azure permet aux clients dtendre leur infrastructure dans le cloud et de
gnrer des architectures plusieurs niveaux en toute transparence. Par ailleurs, des tiers
peuvent activer des fonctionnalits amliores en offrant des services de scurit et des
appliances virtuelles. Ce livre blanc fournit une vue densemble des problmes de scurit
et darchitecture dont les clients doivent tenir compte lorsquils utilisent des services de
cloud computing Microsoft auxquels ils accdent avec ExpressRoute. Il dcrit galement
la cration de services plus scuriss dans les rseaux virtuels Azure.
Dmarrage rapide
Le schma logique suivant peut vous orienter vers un exemple spcifique des diffrentes
techniques de scurit disponibles avec la plateforme Azure. Pour une consultation
https://docs.microsoft.com/frfr/azure/bestpracticesnetworksecurity?toc=%2fazure%2fvirtualnetwork%2ftoc.json
1/34
25/01/2017
rapide, recherchez l'exemple le plus adapt votre cas. Pour des explications plus
compltes, lisez entirement le document.
+ Options
Exemple 1 : Crer un rseau de primtre galement appel DMZ, zone dmilitarise et

sousrseau filtr pour protger les applications avec des groupes de scurit rseau
NSG.
Exemple 2 : Crer un rseau de primtre pour protger les applications avec un parefeu
et des groupes de scurit rseau.
Exemple 3 : Crer un rseau de primtre pour protger les rseaux avec un parefeu, un
routage dfini par lutilisateur UDR et un groupe de scurit rseau.
Exemple 4 : Ajouter une connexion hybride avec un rseau priv virtuel VPN dappliance
virtuelle de site site.
Exemple 5 : Ajouter une connexion hybride avec un rseau VPN de passerelle Azure de
site site.
Exemple 6 : Ajouter une connexion hybride avec ExpressRoute.
Des exemples d'ajout de connexions entre rseaux virtuels, de haute disponibilit et de
chanage de service seront ajouts ce document dans les prochains mois.
Conformit et protection des infrastructures

Microsoft
Microsoft joue un rle de premier plan dans le soutien des initiatives de conformit
requises par les clients dentreprise. Voici quelquesunes des certifications de conformit
pour Azure :
badges de conformit Azure
Pour plus d'informations, consultez les informations de conformit du Centre de gestion

de la confidentialit Microsoft.
2/34
25/01/2017
Microsoft a adopt une approche complte de protection de linfrastructure cloud

ncessaire lexcution de services mondiaux trs volutifs. Linfrastructure cloud de
Microsoft inclut les matriels, logiciels, rseaux et personnels dadministration et
dexploitation,
en complment des centres de donnes physiques.
+ Options
Cette approche fournit une base plus solide permettant aux clients de dployer leurs
services dans le cloud de Microsoft. Ltape suivante explique aux clients comment
concevoir et crer une architecture de scurit afin de protger ces services.
Architectures de scurit traditionnelles et rseaux

de primtre
Bien que Microsoft investisse fortement dans la protection de linfrastructure cloud, les
clients doivent galement protger leurs services cloud et leurs groupes de ressources.
Une approche multicouche de la scurit constitue la meilleure dfense. Une zone de
scurit de type rseau de primtre protge les ressources rseau internes dun rseau
non approuv. Un rseau de primtre concerne la priphrie ou les parties du rseau qui
se trouvent entre Internet et l'infrastructure informatique protge de lentreprise.
Dans les rseaux dentreprise classiques, linfrastructure centrale est puissamment fortifie
sur les primtres, avec plusieurs couches dappareils de scurit. La limite de chaque
couche se compose dappareils et de points dapplication de stratgies. Les appareils
peuvent inclure les lments suivants : des parefeu, la prvention DDoS Distributed
Denial of Service, des systmes IDS dtection dintrusion / IPS protection contre les
intrusions et des priphriques VPN. Lapplication de stratgies peut prendre la forme de
stratgies de parefeu, de listes de contrle daccs ACL ou de routage spcifique. La
premire ligne de dfense du rseau, acceptant directement le trafic entrant partir
dInternet, est une combinaison de ces mcanismes visant bloquer les attaques et le
trafic dangereux, tout en autorisant la transmission des demandes lgitimes plus loin
dans le rseau. Ce trafic conduit directement aux ressources dans le rseau de primtre.
3/34
25/01/2017
Cette ressource peut ensuite communiquer avec les ressources plus loin dans le
rseau, en transitant par la limite suivante en vue dune validation pralable. La couche la
plus lextrieur est appele rseau de primtre, car cette partie du rseau est expose
Internet, gnralement
+ Options avec une certaine forme de protection des deux cts. La figure
suivante montre un exemple de rseau de primtre sousrseau unique dans un rseau
dentreprise, avec deux limites de scurit.
Il existe plusieurs architectures permettant dimplmenter un rseau de primtre, allant

dun simple quilibreur de charge devant une batterie de serveurs web un rseau de
primtre sousrseaux multiples, avec divers mcanismes chaque limite visant
bloquer le trafic et protger les couches les plus profondes du rseau dentreprise. La
conception du rseau de primtre dpend des besoins spcifiques de lorganisation et
de sa tolrance au risque globale.
Tandis que les clients dplacent leurs charges de travail vers des clouds publics, il est
essentiel de prendre en charge des fonctionnalits similaires pour larchitecture de rseau
de primtre dans Azure pour rpondre aux exigences de conformit et de scurit. Ce
document fournit aux clients des instructions pour crer un environnement rseau
scuris dans Azure. Il se concentre sur le rseau de primtre, mais inclut galement une
discussion complte sur de nombreux aspects de la scurit rseau. Cette discussion
sarticule autour des questions suivantes :
Comment crer un rseau de primtre dans Azure ?
Quelles sont les fonctionnalits Azure disponibles pour crer le rseau de primtre ?
Comment les charges de travail principales peuventelles tre protges ?
Comment les communications Internet sontelles contrles pour les charges de travail
dans Azure ?
Comment les rseaux locaux peuventils tre protgs des dploiements dans Azure ?
4/34
25/01/2017
Dans quels cas les fonctionnalits de scurit Azure natives doiventelles tre utilises
par rapport aux appliances ou services tiers ?
Le diagramme suivant montre les diffrentes couches de scurit fournies aux clients par
+ Options
Azure. Ces couches sont natives la fois sur la plateforme Azure ellemme et dans les
fonctionnalits dfinies par le client :
Issue dInternet, la protection DDoS Azure protge contre les attaques grande chelle
menes contre Azure. Les points de terminaison publics dfinis par les clients constituent
la couche suivante ; ils servent dterminer quel trafic peut traverser le service cloud pour
atteindre le rseau virtuel. Lisolement du rseau virtuel Azure natif garantit lisolement
complet de tous les autres rseaux et la circulation du trafic uniquement au moyen des
mthodes et des chemins daccs configurs par lutilisateur. Ces chemins daccs et
mthodes constituent la couche suivante, o les groupes de scurit rseau, le routage
dfini par lutilisateur et les appliances virtuelles rseau peuvent servir crer des limites
de scurit afin de protger les dploiements dapplications dans le rseau protg.
La section suivante fournit une vue densemble des rseaux virtuels Azure. Ces rseaux
virtuels sont crs par les clients et leurs charges de travail dployes y sont connectes.
Les rseaux virtuels constituent la base de toutes les fonctionnalits de scurit rseau
requises pour tablir un rseau de primtre afin de protger les dploiements des clients
dans Azure.
Vue densemble des rseaux virtuels Azure

Avant que le trafic Internet puisse atteindre les rseaux virtuels Azure, il existe deux
couches de scurit inhrentes la plateforme Azure :
1. Protection DDoS: la protection DDoS est une couche du rseau physique Azure qui
protge la plateforme Azure ellemme contre les attaques Internet grande chelle.
5/34
25/01/2017
Ces attaques utilisent plusieurs nuds robot pour tenter de surcharger un service
Internet. Azure est dot dun maillage de protection DDoS robuste sur toutes les
connexions Internet entrantes. Cette couche de protection DDoS ne comporte aucun
attribut configurable
+ Options par lutilisateur et nest pas accessible au client. Elle protge Azure
en tant que plateforme contre les attaques grande chelle, mais ne protge pas
directement les applications client individuelles. Des couches de rsilience
supplmentaires peuvent tre configures par le client contre une attaque localise.
Par exemple : si le client A a t attaqu avec une attaque DDoS grande chelle sur
un point de terminaison public, Azure bloque les connexions ce service. Le client A a
pu basculer vers un autre rseau virtuel ou point de terminaison de service non
impliqu dans lattaque afin de restaurer le service. Il convient de noter que, bien que
le client A puisse tre affect sur ce point de terminaison, aucun autre service en
dehors de ce point de terminaison ne serait affect. En outre, les autres clients et
services ne verraient aucun impact de cette attaque.
2. Points de terminaison: les points de terminaison permettent aux services cloud ou aux
groupes de ressources dexposer des adresses IP Internet publiques et des ports. Le
point de terminaison utilise la traduction d'adresses rseau NAT pour acheminer le
trafic vers l'adresse et le port internes sur le rseau virtuel Azure. Il sagit du principal
chemin daccs pour que le trafic externe passe dans le rseau virtuel. Les points de
terminaison de service sont configurables par les utilisateurs pour dterminer quel
trafic est transfr et comment et o il est traduit sur le rseau virtuel.
Une fois que le trafic a atteint le rseau virtuel, de nombreuses fonctionnalits entrent en
jeu. Les rseaux virtuels Azure constituent la base laquelle les clients joignent leurs
charges de travail et laquelle sapplique la scurit de base au niveau du rseau. Il sagit
dun rseau priv une superposition du rseau virtuel dans Azure pour les clients dots
des caractristiques et fonctionnalits suivantes :
Isolement de trafic: un rseau virtuel est une limite disolement du trafic sur la
plateforme Azure. Les machines virtuelles dans un rseau virtuel ne peuvent pas
communiquer directement avec les machines virtuelles dans un autre rseau virtuel,
mme si les deux rseaux virtuels sont crs par le mme client. Il sagit dune
proprit critique qui garantit que les machines virtuelles et les communications du
client restent prives dans un rseau virtuel.
Topologie multiniveau: les rseaux virtuels permettent aux clients de dfinir une
topologie multiniveau en allouant des sousrseaux et en spcifiant des espaces
dadressage distincts pour diffrents lments ou niveaux de leurs charges de
travail. Ces regroupements et topologies logiques permettent aux clients de dfinir
diffrentes stratgies daccs selon les types de charges de travail et galement de
contrler les flux de trafic entre les niveaux.
Connexions entre diffrents locaux: les clients peuvent tablir des connexions entre
locaux entre un rseau virtuel et plusieurs sites locaux ou dautres rseaux virtuels dans
6/34
25/01/2017
Azure. Pour ce faire, les clients peuvent utiliser des passerelles VPN Azure ou des
appliances virtuelles rseau tierces. Azure prend en charge les VPN de site site S2S
laide des protocoles IPsec/IKE standards et de la connectivit prive ExpressRoute.
Optionsrseau : permet aux clients de crer des rgles listes de contrle
Groupe de+scurit
daccs avec le niveau de granularit souhait : interfaces rseau, machines virtuelles
individuelles ou sousrseaux virtuels. Les clients peuvent contrler laccs en
autorisant ou en refusant la communication entre les charges de travail au sein dun
rseau virtuel, partir des systmes sur les rseaux du client au moyen des connexions
entre diffrents locaux ou de la communication Internet directe.
Routage dfini par lutilisateur et transfert IP : permettent de dfinir les chemins daccs
de communication entre les diffrents niveaux dun rseau virtuel. Les clients peuvent
dployer un parefeu, les services IDS/IPS et dautres appliances virtuelles et acheminer
le trafic rseau travers ces appliances de scurit pour lapplication de stratgies de
limites de scurit, laudit et linspection.
Appliances virtuelles rseau dans Azure Marketplace : les appliances de scurit telles
que les parefeu, les quilibreurs de charge, les systmes de dtection/prvention des
intrusions sont disponibles dans Azure Marketplace et la galerie dimages de machines
virtuelles. Pour finaliser un environnement rseau scuris multiniveau, les clients
peuvent dployer ces appliances dans leurs rseaux virtuels et, en particulier, sur leurs
limites de scurit y compris les sousrseaux du rseau de primtre.
Avec ces fonctionnalits et capacits, voici un exemple de conception darchitecture de
rseau de primtre dans Azure :
Caractristiques et conditions requises dun rseau

de primtre
7/34
25/01/2017
Le rseau de primtre est conu pour tre la partie frontale du rseau, crant une
interface directe avec les communications dInternet. Les paquets entrants doivent
traverser les appliances de scurit, notamment le parefeu et les systmes de dtection
et de prvention
dintrusion, avant datteindre les serveurs principaux. Les paquets
+ Options
Internet des charges de travail peuvent galement traverser les appliances de scurit
dans le rseau de primtre pour lapplication des stratgies, linspection et les fins
daudit, avant de quitter le rseau. En outre, le rseau de primtre peut hberger les
passerelles VPN entre diffrents locaux entre les rseaux virtuels client et les rseaux
locaux.
Caractristiques dun rseau de primtre

En rfrence la figure prcdente, voici certaines caractristiques d'un bon rseau de
primtre :
Accs sur Internet :
Le sousrseau du rseau de primtre luimme est accessible sur Internet et
communique directement avec Internet.
Les adresses IP publiques, adresses IP virtuelles et/ou points de terminaison de
service transfrent le trafic Internet vers le rseau frontal et les appareils.
Le trafic entrant provenant dInternet passe par les appareils de scurit avant
dautres ressources sur le rseau frontal.
Si la scurit sortante est active, le trafic passe par les appareils de scurit,
dernire tape avant dtre transfr vers Internet.
Rseau protg :
Il ny a aucun chemin daccs direct partir dInternet vers linfrastructure
centrale.
Les canaux vers linfrastructure centrale doivent traverser les appareils de scurit
comme les NSG, parefeu ou priphriques VPN.
Les autres appareils ne doivent pas crer de pont avec Internet et linfrastructure
centrale.
Les appareils de scurit sur les limites du rseau de primtre accessibles sur
Internet ou avec le rseau protg par exemple, les deux icnes parefeu de
l'illustration prcdente peuvent correspondre en ralit une seule appliance
virtuelle avec des rgles ou des interfaces diffrencies pour chaque limite.
Autrement dit, un seul appareil, avec sparation logique, pour grer la charge
des deux limites du rseau de primtre.
Autres pratiques courantes et contraintes :
Les charges de travail ne doivent pas stocker dinformations professionnelles
stratgiques.
8/34
25/01/2017
Laccs et les mises jour des configurations et dploiements de rseau de

primtre sont limits aux seuls administrateurs autoriss.
Options pour le rseau de primtre
Conditions+ requises
Afin dactiver ces caractristiques, suivez ces instructions sur les conditions requises du
rseau virtuel pour implmenter un rseau de primtre russi :
Architecture de sousrseau : spcifiez le rseau virtuel, tel quun sousrseau entier
ddi en tant que rseau de primtre, spar par dautres sousrseaux dans le mme
rseau virtuel. Cela garantit que le trafic entre le rseau de primtre et dautres
niveaux de sousrseaux internes ou privs circule travers un parefeu ou une
appliance virtuelle IDS/IPS sur les limites de sousrseau avec les routages dfinis par
lutilisateur.
Groupe de scurit rseau : le sousrseau du rseau de primtre luimme doit tre
ouvert pour permettre la communication avec Internet, mais cela ne signifie pas que les
clients doivent contourner les NSG. Suivez les pratiques de scurit courantes afin de
rduire les surfaces du rseau exposes Internet. Verrouillez les plages d'adresses
distance autorises accder aux dploiements ou aux ports et aux protocoles
d'application spcifiques ouverts. Ce nest cependant pas toujours possible. Par
exemple, si les clients ont un site web externe dans Azure, le rseau de primtre doit
autoriser les demandes web entrantes partir de toutes les adresses IP publiques, mais
doit uniquement ouvrir les ports dapplication web : TCP:80 et TCP:443.
Table de routage : le sousrseau du rseau de primtre luimme doit tre en
mesure de communiquer directement avec Internet, mais ne doit pas permettre une
communication directe vers et partir des rseaux principaux ou locaux sans passer
par un parefeu ou une appliance de scurit.
Configuration des appliances de scurit : afin dacheminer et dinspecter les paquets
entre le rseau de primtre et le reste des rseaux protgs, les appliances de scurit
comme le parefeu et les appareils de dtection et de prvention dintrusion peuvent
tre multirsidents. Ils peuvent avoir des cartes rseau distinctes pour le rseau de
primtre et les sousrseaux principaux. Les cartes rseau du rseau de primtre
communiquent directement vers et partir dInternet, avec les NSG correspondants et
la table de routage du rseau de primtre. Les cartes rseau se connectant aux sous
rseaux principaux disposent de NSG et de tables de routage plus restreints des sous
rseaux principaux correspondants.
Fonctionnalits des appliances de scurit : les appliances de scurit dployes du
rseau de primtre excutent gnralement les fonctionnalits suivantes :
Parefeu : application de rgles de parefeu ou de stratgies de contrle daccs
pour les demandes entrantes.
9/34
25/01/2017
Dtection et prvention des menaces : dtection et attnuation des attaques

malveillantes dInternet.
Audit et journalisation : gestion de journaux daudit et danalyse dtaills.
+ Options
Proxy invers
: redirection des demandes entrantes vers les serveurs principaux
correspondants. Cela implique le mappage et la traduction des adresses de
destination sur les appareils frontaux, gnralement le parefeu, vers les adresses
des serveurs principaux.
Proxy de transfert : indication de NAT et excution daudits pour la
communication initie partir du rseau virtuel vers Internet.
Routeur : transfert du trafic entrant et entre sousrseaux au sein du rseau
virtuel.
Priphrique VPN : action en tant que passerelles VPN entre diffrents locaux,
pour la connectivit VPN entre diffrents locaux, entre les rseaux locaux client et
les rseaux virtuels Azure.
Serveur VPN : acceptation des clients VPN se connectant aux rseaux virtuels
Azure.
Conseil
Maintenez les deux groupes suivants spars : les personnes autorises accder au matriel de
scurit du rseau de primtre et les personnes autorises en tant quadministrateurs de
dveloppement dapplications, de dploiement ou doprations. Conserver une distinction entre
ces groupes permet une rpartition des tches et empche quune seule personne contourne les
contrles de scurit des applications et de scurit rseau.
Questions envisager lors de la cration des limites du rseau

Dans cette section, sauf mention contraire, le terme rseaux fait rfrence des
rseaux virtuels privs Azure crs par un administrateur dabonnement. Le terme ne fait
pas rfrence aux rseaux physiques sousjacents dans Azure.
En outre, les rseaux virtuels Azure sont souvent utiliss pour tendre les rseaux locaux
traditionnels. Il est possible dincorporer des solutions de mise en rseau hybrides de site
site ou ExpressRoute avec les architectures de rseau de primtre. Il s'agit d'un aspect
important de la cration de limites de scurit rseau.
Les trois questions suivantes sont essentielles lorsque vous crez un rseau avec un
rseau de primtre et plusieurs limites de scurit.
1) Combien de limites sont ncessaires ?
10/34
25/01/2017
En premier lieu, il faut dcider le nombre de limites de scurit ncessaires dans un

scnario donn :
Une seule limite : une sur le rseau de primtre frontal entre le rseau virtuel et
+ Options
Internet.
Deux limites : une du ct Internet du rseau de primtre, lautre entre le sousrseau
du rseau de primtre et les sousrseaux principaux dans les rseaux virtuels Azure.
Trois limites : une du ct Internet du rseau de primtre, une autre entre le rseau de
primtre et les sousrseaux principaux et la dernire entre les sousrseaux
principaux et le rseau local.
N limites : nombre variable. Selon les besoins de scurit, nimporte quel nombre de
limites de scurit peut tre appliqu dans un rseau donn.
Le nombre et le type des limites ncessaires varient en fonction de la tolrance au risque
dune socit et du scnario spcifique qui est implment. Cest souvent une dcision
conjointe prise par plusieurs groupes au sein dune entreprise, parmi lesquels figurent
souvent une quipe spcialiste des risques et de la conformit, une quipe charge du
rseau et de la plateforme et une quipe de dveloppement des applications. Les
personnes ayant des connaissances en matire de scurit, des donnes impliques et
des technologies utilises doivent avoir leur mot dire dans cette dcision, afin de
garantir une position de scurit approprie pour chaque implmentation.
Conseil
Utilisez le plus petit nombre de limites afin de rpondre aux exigences de scurit pour une
situation donne. Plus le nombre de limites est lev, plus les oprations et le dpannage
peuvent tre complexes, de mme que les frais gnraux impliqus dans la gestion de plusieurs
stratgies de limites au fil du temps. Toutefois, des limites insuffisantes augmentent les risques. Il
est essentiel de trouver le juste quilibre.
11/34
25/01/2017
La figure prcdente montre une vue d'ensemble d'un rseau trois limites de scurit.
Ces limites se trouvent entre le rseau de primtre et Internet, entre les sousrseaux
privs Azure frontaux et principaux et entre le sousrseau Azure principal et le rseau
d'entreprise +
local.
Options
2) O se trouvent les limites ?
Une fois que le nombre de limites est dcid, la question de lemplacement de leur
implmentation constitue le point de dcision suivant. Il existe gnralement trois
possibilits :
l'aide d'un service Internet intermdiaire par exemple, un parefeu d'applications
web cloud, non abord dans ce document
l'aide des fonctionnalits natives et/ou des appliances de rseau virtuel dans Azure
l'aide dappareils physiques sur le rseau local
Sur les rseaux exclusivement Azure, les options sont les fonctionnalits Azure natives
par exemple, les quilibreurs de charge Azure ou les appliances virtuelles rseau partir
dun riche cosystme de partenaires Azure par exemple, les parefeu Check Point.
Si une limite est ncessaire entre Azure et un rseau local, les appareils de scurit
peuvent rsider sur nimporte quel ct de la connexion ou sur les deux cts. Par
consquent une dcision doit tre prise concernant lemplacement du matriel de
scurit.
Dans la figure prcdente, les limites Internetrseau de primtre et frontalprincipal
sont entirement contenues dans Azure et doivent tre des fonctionnalits Azure natives
ou des appliances virtuelles rseau. Les appareils de scurit sur la limite entre Azure
sousrseau principal et le rseau dentreprise peuvent tre du ct Azure ou du ct
local ; une combinaison dappareils des deux cts est galement possible. Ces options
prsentent des avantages et des inconvnients importants qui doivent tre srieusement
envisags.
Par exemple, lutilisation dun matriel de scurit physique existant sur le rseau local
prsente l'avantage de ne pas ncessiter de nouveau matriel. Une reconfiguration suffit.
Linconvnient, cependant, est que tout le trafic doit revenir dAzure vers le rseau local
pour tre vu par le matriel de scurit. Ainsi, le trafic Azure Azure pourrait subir une
latence importante et affecter les performances des applications et lexprience utilisateur
sil a t forc vers le rseau local pour lapplication de stratgies de scurit.
3) Comment les limites sont-elles implmentes ?
12/34
25/01/2017
Chaque limite de scurit aura probablement des exigences de fonctionnalits diffrentes

par exemple, des rgles IDS et de parefeu du ct Internet du rseau de primtre, mais
des listes de contrle daccs uniquement entre le rseau de primtre et le sousrseau
principal. Le+choix
des appareils utiliser dpend du scnario et des exigences de
Options
scurit. Dans la section suivante, les exemples 1, 2 et 3 abordent certaines des options
qui peuvent tre utilises. Lexamen des fonctionnalits rseau natives Azure et des
appareils disponibles dans Azure partir de lcosystme de partenaires montre les
nombreuses options disponibles pour rsoudre la quasitotalit des scnarios.
Autre point de dcision dimplmentation important : comment connecter le rseau local
avec Azure ? Fautil utiliser la passerelle virtuelle Azure ou une appliance virtuelle rseau ?
Ces options sont voques plus en dtail dans la section suivante exemples 4, 5 et 6.
En outre, le trafic entre les rseaux virtuels dans Azure peut tre ncessaire. Ces scnarios
seront ajouts une date ultrieure.
Une fois que vous avez rpondu aux questions prcdentes, la section Dmarrage rapide
peut faciliter lidentification des exemples les plus appropris pour un scnario donn.
Exemples : Cration de limites de scurit avec les

rseaux virtuels Azure
Exemple 1 : Crer un rseau de primtre pour protger les applications
avec des groupes de scurit rseau
Revenir Dmarrage rapide | Instructions de gnration dtailles pour cet exemple
13/34
25/01/2017
+ Options
Description de lenvironnement
Dans cet exemple, il existe un abonnement qui contient les lments suivants :
deux services cloud : FrontEnd001 , BackEnd001 ,
Un rseau virtuel CorpNetwork avec deux sousrseaux : FrontEnd et BackEnd
,
un groupe de scurit rseau est appliqu aux deux sousrseaux,
un serveur Windows Server reprsentant un serveur web dapplication IIS01 ,
deux serveurs Windows Server qui reprsentent les serveurs principaux dapplications
AppVM01 , AppVM02 ,
Un serveur Windows Server qui reprsente un serveur DNS DNS01 ,
14/34
25/01/2017
Pour accder aux scripts et un modle Azure Resource Manager, consultez les
instructions de gnration dtailles.
Description +
duOptions
groupe de scurit rseau
Dans cet exemple, un groupe NSG est cr, puis charg avec six rgles.
Conseil
En rgle gnrale, vous devez dabord crer les rgles d autorisation spcifiques, suivies des
rgles de refus plus gnrales. La priorit donne indique quelles sont les rgles values en
premier. Une fois quil a t dtermin que le trafic rpond une rgle spcifique, aucune autre
rgle nest value. Les rgles du groupe de scurit rseau peuvent sappliquer dans le sens
entrant ou sortant du point de vue du sousrseau.
Les rgles qui suivent sont gnres de faon dclarative pour le trafic entrant :
1. Le trafic DNS interne port 53 est autoris.
2. Le trafic RDP port 3389 partir dInternet vers nimporte quelle machine virtuelle est
autoris.
3. Le trafic HTTP port 80 partir dInternet vers le serveur web IIS01 est autoris.
4. Tout trafic tous les ports IIS01 vers AppVM1 est autoris.
5. Tout trafic tous les ports en provenance dInternet vers lensemble du rseau virtuel
les deux sousrseaux est refus.
6. Tout trafic tous les ports en provenance du sousrseau frontal vers le sousrseau
principal est refus.
Avec ces rgles associes chaque sousrseau, si une requte HTTP est entrante partir
d'Internet vers le serveur web, les rgles 3 autoriser et 5 refuser s'appliquent. Mais,
tant donn que la rgle 3 a une priorit plus leve, elle est la seule sappliquer et la
rgle 5 nentre pas en jeu. La requte HTTP est donc autorise accder au serveur web.
Si le mme trafic tentait datteindre le serveur DNS01, la rgle 5 refus serait la premire
sappliquer et le trafic ne serait pas autoris accder au serveur. La rgle 6 refuser
bloque la communication du sousrseau frontal vers le sousrseau principal
l'exception du trafic autoris dans les rgles 1 et 4. Cela protge le rseau principal au
cas o un attaquant compromettrait l'application web sur le serveur frontal. Lattaquant
aurait un accs limit au rseau principal protg uniquement aux ressources
exposes sur le serveur AppVM01.
Il existe une rgle par dfaut qui autorise le trafic sortant vers Internet. Pour cet exemple,
nous allons autoriser le trafic sortant sans modifier les rgles de trafic sortant. Pour
verrouiller le trafic dans les deux sens, le routage dfini par lutilisateur est requis voir
lexemple 3.
Conclusion
15/34
25/01/2017
Conclusion
Il sagit dun moyen relativement simple et direct disoler le sousrseau principal du trafic
entrant. Pour plus dinformations, consultez les instructions de gnration dtailles. Vous
+ Options
trouverez les instructions suivantes :
Comment crer ce rseau de primtre avec des scripts PowerShell.
Comment crer ce rseau de primtre avec un modle Azure Resource Manager.
Des descriptions dtailles de chaque commande NSG.
Des scnarios de flux de trafic dtaills, montrant comment le trafic est autoris ou
refus dans chaque couche.
Exemple 2 : Crer un rseau de primtre pour protger les applications

avec un pare-feu et des groupes de scurit rseau
16/34
25/01/2017
+ Options
deux services cloud : FrontEnd001 , BackEnd001 ,
Un rseau virtuel CorpNetwork avec deux sousrseaux : FrontEnd et BackEnd
,
un groupe de scurit rseau est appliqu aux deux sousrseaux,
une appliance virtuelle rseau, dans ce cas un parefeu, connecte au sousrseau
principal
AppVM01 , AppVM02 ,
17/34
25/01/2017

+ Options
Description du groupe de scurit rseau
Dans cet exemple, un groupe NSG est cr, puis charg avec six rgles.
Conseil
En rgle gnrale, vous devez dabord crer les rgles d autorisation spcifiques, suivies des
rgles de refus plus gnrales. La priorit donne indique quelles sont les rgles values en
premier. Une fois quil a t dtermin que le trafic rpond une rgle spcifique, aucune autre
rgle nest value. Les rgles du groupe de scurit rseau peuvent sappliquer dans le sens
entrant ou sortant du point de vue du sousrseau.
Les rgles qui suivent sont gnres de faon dclarative pour le trafic entrant :
1. Le trafic DNS interne port 53 est autoris.
2. Le trafic RDP port 3389 partir dInternet vers nimporte quelle machine virtuelle est
autoris.
3. Tout trafic Internet tous les ports vers lappliance virtuelle rseau parefeu est
autoris.
4. Tout trafic tous les ports IIS01 vers AppVM1 est autoris.
5. Tout trafic tous les ports en provenance dInternet vers lensemble du rseau virtuel
les deux sousrseaux est refus.
6. Tout trafic tous les ports en provenance du sousrseau frontal vers le sousrseau
principal est refus.
Avec ces rgles associes chaque sousrseau, si une requte HTTP est entrante partir
d'Internet vers le parefeu, les rgles 3 autoriser et 5 refuser s'appliquent. Mais, tant
donn que la rgle 3 a une priorit plus leve, elle est la seule sappliquer et la rgle 5
nentre pas en jeu. La requte HTTP est donc autorise accder au parefeu. Si le mme
trafic tentait datteindre le serveur IIS01, mme sil se trouvait sur le sousrseau frontal, la
rgle 5 refus sappliquerait et le trafic ne serait pas autoris franchir le serveur. La rgle
6 refuser bloque la communication du sousrseau frontal vers le sousrseau principal
l'exception du trafic autoris dans les rgles 1 et 4. Cela protge le rseau principal au
cas o un attaquant compromettrait l'application web sur le serveur frontal. Lattaquant
aurait un accs limit au rseau principal protg uniquement aux ressources
exposes sur le serveur AppVM01.
Il existe une rgle par dfaut qui autorise le trafic sortant vers Internet. Pour cet exemple,
nous allons autoriser le trafic sortant sans modifier les rgles de trafic sortant. Pour
18/34
25/01/2017
verrouiller le trafic dans les deux sens, le routage dfini par lutilisateur est requis voir
lexemple 3.
Description +
deOptions
la rgle de pare-feu
Sur le parefeu, vous devez crer des rgles de transfert. tant donn que cet exemple
achemine uniquement le trafic Internet entrant vers le parefeu, puis vers le serveur web,
seule une rgle de traduction dadresses rseau NAT de transfert est requise.
La rgle de transfert accepte n'importe quelle adresse source entrante qui atteint le pare
feu, en essayant d'atteindre HTTP port 80 ou 443 pour HTTPS. Elle est envoye hors de
l'interface locale du parefeu et redirige vers le serveur web avec l'adresse IP 10.0.1.5.
Conclusion
Il sagit dun moyen relativement simple de protger votre application avec un parefeu et
disoler le sousrseau principal du trafic entrant. Pour plus dinformations, consultez les
instructions de gnration dtailles. Vous trouverez les instructions suivantes :
Comment crer ce rseau de primtre avec des scripts PowerShell.
Comment crer cet exemple avec un modle Azure Resource Manager.
Descriptions dtailles de chaque commande NSG et rgle de parefeu.
Exemple 3 : Crer un rseau de primtre pour protger les rseaux avec un

pare-feu, un routage dfini par lutilisateur et un groupe de scurit rseau
19/34
25/01/2017
+ Options
Trois services cloud : SecSvc001 , FrontEnd001 et BackEnd001
Un rseau virtuel CorpNetwork , avec trois sousrseaux : SecNet , FrontEnd et
BackEnd
Une appliance virtuelle du rseau, dans ce cas un parefeu, connect au sousrseau
SecNet
AppVM01 , AppVM02 ,
Description du routage dfini par lutilisateur
Par dfaut, les itinraires systme suivants sont dfinis en tant que :
Copy
20/34
25/01/2017
Effectiveroutes:
AddressPrefixNexthoptypeNexthopIPaddressStatusSource
{10.0.0.0/16}VNETLocalActiveDefault
+ Options
{0.0.0.0/0}InternetActiveDefault
{10.0.0.0/8}NullActiveDefault
Le VNETLocal est toujours le ou les prfixes dadresse dfinis du rseau virtuel de ce

rseau spcifique autrement dit, il change de rseau virtuel en rseau virtuel, en fonction
de la dfinition spcifique de chaque rseau virtuel. Les itinraires systme restants sont
statiques et, par dfaut, ils prennent la valeur indique dans le tableau.
Dans cet exemple, deux tables de routage sont cres, une pour chacun des sousrseaux
principal et frontal. Chaque table est charge ditinraires statiques appropris au sous
rseau donn. Dans cet exemple, chaque table possde trois itinraires qui dirigent tout
le trafic 0.0.0.0/0 travers le parefeu tronon suivant = adresse IP de lappliance
virtuelle :
1. Trafic du sousrseau local sans tronon suivant dfini pour autoriser le trafic du sous
rseau local contourner le parefeu.
2. Trafic du rseau virtuel avec un tronon suivant dfini comme parefeu ; cela remplace
la rgle par dfaut qui autorise un acheminement direct du trafic du rseau virtuel.
3. Ensemble du trafic restant 0/0 avec un tronon suivant dfini comme parefeu.
Conseil
Labsence dentre de sousrseau local dans litinraire dfini par lutilisateur interrompt les
communications du sousrseau local.
Dans notre exemple, 10.0.1.0/24 pointant vers VNETLocal est essentiel, car dans dautres
circonstances, un paquet quittant le serveur web 10.0.1.4 et destin un autre serveur local
par exemple 10.0.1.25 chouera, car il sera envoy vers le NVA, qui lenverra vers le sous
rseau, puis le sousrseau le renverra vers le NVA, etc.
Les probabilits de boucle de routage sont gnralement plus leves sur des appliances
multiNIC directement connectes chaque sousrseau avec lequel elles communiquent, ce
qui est souvent le cas des appliances traditionnelles locales.
Une fois les tables de routage cres, elles sont lies leurs sousrseaux. La table de
routage du sousrseau frontal, une fois cre et lie au sousrseau, doit ressembler ce
qui suit :
Copy
21/34
25/01/2017
Effectiveroutes:
AddressPrefixNexthoptypeNexthopIPaddressStatusSource
{10.0.1.0/24}VNETLocalActive
+ Options
{10.0.0.0/16}VirtualAppliance10.0.0.4Active
{0.0.0.0/0}VirtualAppliance10.0.0.4Active
Remarque
UDR peut dsormais tre appliqu ce sousrseau de passerelle sur lequel le circuit
ExpressRoute est connect.
Des exemples d'activation de votre rseau de primtre avec ExpressRoute ou la mise en rseau
de site site sont prsents dans les exemples 3 et 4.
Description du transfert IP
Le transfert IP est une fonctionnalit associe au routage dfini par lutilisateur. Il sagit
dun paramtre dappliance virtuelle qui permet de recevoir du trafic qui nest pas
spcialement adress lappliance, puis de transfrer ce trafic vers sa destination finale.
Par exemple, si le trafic partir dAppVM01 fait une demande au serveur DNS01, lUDR
lachemine vers le parefeu. Lorsque le transfert IP est activ, le trafic de la destination de
DNS01 10.0.2.4 est accept par lappliance 10.0.0.4, puis transfr vers sa destination
finale 10.0.2.4. Si le transfert IP nest pas activ sur le parefeu, le trafic ne sera pas
accept par lquipement, mme si le tronon suivant de la table ditinraires est le pare
feu. Pour utiliser une appliance virtuelle, il est essentiel de ne pas oublier dactiver le
transfert IP en conjonction avec le routage dfini par lutilisateur.
Description du groupe de scurit rseau
Dans cet exemple, un groupe NSG est cr, puis charg avec une seule rgle. Ce groupe
est ensuite li uniquement aux sousrseaux frontaux et principaux et pas au SecNet. La
rgle suivante est gnre de manire dclarative :
Tout trafic tous les ports en provenance dInternet vers lensemble du rseau virtuel
tous les sousrseaux est refus.
Bien que dans cet exemple, on utilise des NSG, son principal objectif est celui dune
couche secondaire de dfense contre les erreurs de configuration manuelle. L'objectif est
de bloquer tout le trafic entrant partir d'Internet vers les sousrseaux frontaux ou
principaux. Le trafic ne doit circuler que du sousrseau SecNet au parefeu puis, le cas
chant, vers les sousrseaux frontaux ou principaux. En outre, avec les rgles UDR en
place, tout trafic ayant atteint les sousrseaux principal ou frontal est dirig vers le pare
22/34
25/01/2017
feu grce lUDR. Le parefeu serait considr comme un flux asymtrique et

abandonnerait le trafic sortant. Il existe par consquent trois couches de scurit
protgeant les sousrseaux :
+ Options
Aucun point de terminaison ouvert sur les services cloud FrontEnd001 BackEnd001.
Des groupes de scurit rseau qui bloquent le trafic provenant d'Internet.
Le parefeu qui supprime le trafic asymtrique.
Point intressant concernant le groupe de scurit rseau dans cet exemple : il contient
une seule rgle qui consiste refuser le trafic Internet de lensemble du rseau virtuel, y
compris le sousrseau de scurit. Toutefois, tant donn que le NSG est associ
uniquement aux sousrseaux frontaux et principaux, la rgle nest pas excute sur le
trafic entrant du sousrseau de scurit. Par consquent, le trafic circule vers le sous
rseau de scurit.
Rgles de pare-feu
Sur le parefeu, vous devez crer des rgles de transfert. tant donn que le parefeu
bloque ou transfre le trafic entrant, sortant ou intrarseau virtuel, de nombreuses rgles
de parefeu sont requises. Tout trafic entrant atteindra ladresse IP publique de service de
scurit sur diffrents ports, pour tre trait par le parefeu. Lune des meilleures
pratiques consiste faire un schma des flux logiques avant de configurer les rgles de
sousrseau et de parefeu afin dviter la reprise du travail par la suite. La figure qui suit
est une vue logique des rgles de parefeu de cet exemple :
23/34
25/01/2017
+ Options
Remarque
Selon lappliance virtuelle rseau utilise, les ports de gestion peuvent varier. Dans cet exemple, il
est fait rfrence un parefeu Barracuda NextGen Firewall utilisant les ports 22, 801 et 807.
Consultez la documentation du fournisseur dappliance pour rechercher les ports exacts utiliss
pour la gestion de lappareil utilis.
Description des rgles de pare-feu

Dans le diagramme logique prcdent, le sousrseau de scurit n'apparat pas. En effet,
le parefeu est la seule ressource de ce sousrseau, et ce diagramme prsente les rgles
de parefeu et la faon dont elles autorisent ou refusent les flux et non litinraire rel. En
outre, les ports externes slectionns pour le trafic RDP appartiennent la plage
suprieure de ports 8014 8026 et ont t slectionns pour saligner peu prs sur les
deux derniers octets de ladresse IP locale, pour faciliter la lecture par exemple, ladresse
du serveur local 10.0.1.4 est associe un port externe 8014. Cependant, tous les ports
suprieurs non conflictuels peuvent tre utiliss.
Pour cet exemple, nous avons besoin de sept types de rgles :
Rgles externes pour le trafic entrant :
24/34
25/01/2017
1. Rgle de gestion de parefeu : cette rgle de redirection de lapplication autorise

le trafic traverser les ports de gestion de lappliance virtuelle rseau.
2. Rgles de RDP pour chaque serveur Windows : ces quatre rgles une pour
Optionspermettent la gestion des serveurs individuels avec RDP. Ces
chaque+serveur
lments pourraient tre regroups en une rgle, en fonction de la capacit de
lappliance virtuelle rseau utilise.
3. Rgles de trafic dapplication : elles sont au nombre de deux, la premire
correspondant au trafic web frontal, et la seconde au trafic de lordinateur
principal par exemple, serveur web vers couche de donnes. La configuration
de ces rgles dpend de larchitecture rseau sur lequel sont placs vos
serveurs et des flux de trafic direction du flux de trafic et ports utiliss.
La premire rgle permet au trafic dapplication rel de parvenir au serveur
dapplications. Les autres rgles concernant la scurit et la gestion, les
rgles dapplication sont celles qui permettent aux utilisateurs externes ou
aux services daccder aux applications. Pour cet exemple, il ny a quun
serveur web sur le port 80. Par consquent, une seule rgle dapplication
redirige le trafic entrant vers ladresse IP externe, vers ladresse IP interne
des serveurs web. Ladresse rseau de la session de trafic redirige sera
traduite avec la traduction dadresses rseau vers le serveur interne.
La seconde rgle est la rgle du serveur principal qui permet au serveur
web de communiquer avec le serveur AppVM01 et non AppVM02 avec
nimporte quel port.
Rgles internes pour le trafic intrarseau virtuel
1. Rgle sortant vers Internet : cette rgle autorise le transfert du trafic en
provenance de nimporte quel rseau vers les rseaux slectionns. Cette rgle
est gnralement une rgle par dfaut dj prsente sur le parefeu, mais ltat
dsactiv. Pour cet exemple, cette rgle doit tre active.
2. Rgle DNS : cette rgle autorise uniquement le trafic DNS port 53 vers le
serveur DNS. Pour cet environnement, la majeure partie du frontal vers le
principal est bloque. Cette rgle autorise spcifiquement le DNS partir de
n'importe quel sousrseau local.
3. Rgle sousrseau sousrseau : cette rgle permet nimporte quel serveur du
sousrseau principal de se connecter nimporte quel serveur du sousrseau
frontal mais pas linverse.
Rgle de prvention de dfaillance pour le trafic ne rpondant aucun des lments
prcdents :
1. Rgle Refuser tout le trafic : il doit toujours sagir de la dernire rgle en termes
de priorit et, par consquent, si un trafic ne correspond aucune des rgles qui
prcdent, il sera refus par cette rgle. Cette rgle est la rgle par dfaut,
gnralement active. En gnral, aucune modification n'est ncessaire.
25/34
25/01/2017
Conseil
Sur la deuxime rgle de trafic d'application, pour simplifier cet exemple, n'importe quel port est
autoris. Dans un scnario rel, le port et les plages d'adresses les plus spcifiques doivent tre
utiliss afin+
deOptions
rduire la surface d'attaque de cette rgle.
Une fois toutes les rgles prcdentes cres, il est important de revoir la priorit de
chaque rgle pour sassurer que le trafic sera autoris ou rejet de faon pertinente. Pour
cet exemple, les rgles sont classes par ordre de priorit.
Conclusion
Il s'agit d'une faon plus complexe mais plus complte de protger et d'isoler le rseau
par rapport aux exemples prcdents. Lexemple 2 protge uniquement lapplication et
lexemple 1 isole simplement les sousrseaux. Cette conception permet de surveiller le
trafic dans les deux sens ; elle protge non seulement le serveur dapplications entrantes
mais applique galement la stratgie de scurit rseau tous les serveurs sur ce rseau.
En outre, selon lappliance utilise, une connaissance et un audit complets du trafic sont
possibles. Pour plus dinformations, consultez les instructions de gnration dtailles.
Vous trouverez les instructions suivantes :
Comment crer cet exemple de rseau de primtre avec des scripts PowerShell.
Des descriptions dtailles de chaque UDR, commande NSG et rgle de parefeu.
Exemple 4 : Ajouter une connexion hybride avec un rseau priv virtuel

(VPN) dappliance virtuelle de site site
Revenir Dmarrage rapide | Instructions de gnration dtailles bientt disponibles
26/34
25/01/2017
+ Options
La mise en rseau hybride laide dune appliance virtuelle rseau NVA peut tre
ajoute lun des types de rseaux de primtre dcrits dans les exemples 1, 2 ou 3.
Comme lindique la figure prcdente, une connexion VPN sur Internet de site site
permet de connecter un rseau local un rseau virtuel Azure au moyen dune appliance
virtuelle rseau.
Remarque
Si vous utilisez ExpressRoute avec l'option d'homologation publique Azure active, un itinraire
statique doit tre cr. Il doit acheminer vers l'adresse IP du VPN de lappliance virtuelle rseau
hors de votre Internet dentreprise et non avec le WAN ExpressRoute. La traduction dadresses
rseau requise avec l'option d'homologation publique dAzure ExpressRoute peut arrter la
session VPN.
Une fois la connexion VPN en place, la NVA devient le hub central pour tous les
rseaux et sousrseaux. Les rgles de transfert de parefeu dterminent quels flux de
trafic sont autoriss, se voient appliquer la traduction dadresses rseau, sont redirigs ou
sont refuss mme pour les flux de trafic entre le rseau local et Azure.
Les flux de trafic doivent tre envisags avec prcaution car ils peuvent tre optimiss ou
dtriors par ce modle de conception, en fonction du cas dutilisation.
27/34
25/01/2017
Lutilisation de lenvironnement cr dans lexemple 3 et lajout dune connexion rseau

hybride VPN de site site produisent la conception suivante :
+ Options
Le routeur local ou tout autre appareil rseau compatible avec votre appliance virtuelle
rseau pour VPN serait le client VPN. Cet appareil physique est responsable de
linitialisation et de la maintenance de la connexion VPN avec votre appliance virtuelle
rseau.
Logiquement pour la NVA, le rseau ressemble quatre zones de scurit distinctes,
les rgles sur la NVA dirigeant principalement le trafic entre ces zones :
Conclusion
28/34
25/01/2017
Lajout dune connexion rseau hybride VPN de site site un rseau virtuel Azure peut
tendre le rseau local dans Azure de manire scurise. laide dune connexion VPN,
votre trafic est chiffr et achemin par Internet. La NVA, dans cet exemple, fournit un
emplacement
+ central
Optionspour appliquer et grer la stratgie de scurit. Pour plus
d'informations, consultez les instructions de gnration dtailles bientt disponibles.
Des scnarios de flux de trafic dtaills, montrant comment le trafic circule dans cette
conception.
Exemple 5 : Ajouter une connexion hybride avec un rseau VPN de

passerelle Azure de site site
La mise en rseau hybride laide dune passerelle VPN Azure peut tre ajoute lun des
types de rseaux de primtre dcrits dans les exemples 1 ou 2.
Comme lindique la figure prcdente, une connexion VPN sur Internet de site site
permet de connecter un rseau local un rseau virtuel Azure au moyen dune passerelle
VPN Azure.
29/34
25/01/2017
Remarque
Si vous utilisez ExpressRoute avec l'option d'homologation publique Azure active, un itinraire
statique doit tre cr. Il doit acheminer vers l'adresse IP du VPN de lappliance virtuelle rseau
+ Options
hors de votre
Internet dentreprise et non avec le WAN ExpressRoute. La traduction dadresses
rseau requise avec l'option d'homologation publique dAzure ExpressRoute peut arrter la
session VPN.
La figure suivante montre les deux priphries de rseau dans cette option. Sur la
premire priphrie, les appliances virtuelles rseau et les groupes de scurit rseau
contrlent les flux de trafic pour les rseaux intraAzure et entre Azure et Internet. La
deuxime priphrie est la passerelle VPN Azure, priphrie de rseau totalement
distincte et isole entre le rseau local et Azure.
hybride VPN de site site produisent la conception suivante :
Conclusion
Lajout dune connexion rseau hybride VPN de site site un rseau virtuel Azure peut
tendre le rseau local dans Azure de manire scurise. laide de la passerelle VPN
Azure native, votre trafic est chiffr IPSec et achemin par Internet. En outre, la passerelle
30/34
25/01/2017
VPN Azure peut fournir une option moindre cot aucun cot de licence supplmentaire
linstar des appliances virtuelles rseau tierces. Cette solution est plus conomique
dans lexemple 1 o aucune appliance virtuelle rseau nest utilise. Pour plus
d'informations,
consultez les instructions de gnration dtailles bientt disponibles.
+ Options
conception.
Exemple 6 : Ajouter une connexion hybride avec ExpressRoute

La mise en rseau hybride laide dune connexion dhomologation prive ExpressRoute
peut tre ajoute lun des types de rseaux de primtre dcrits dans les exemples 1 ou
2.
Comme lindique la figure prcdente, lhomologation prive ExpressRoute fournit une
connexion directe entre votre rseau local et le rseau virtuel Azure. Le trafic passe
uniquement dans le rseau du prestataire de services et le rseau Microsoft Azure, sans
jamais atteindre Internet.
Remarque
31/34
25/01/2017
Il existe certaines limites lutilisation du routage dfini par utilisateur avec ExpressRoute en
raison de la complexit du routage dynamique utilis dans la passerelle virtuelle Azure. Les voici :
Le routage UDR ne doit pas tre appliqu au sousrseau de passerelle auquel la passerelle
virtuelle Azure lie ExpressRoute est connecte.
+ Options
La passerelle virtuelle Azure lie ExpressRoute ne doit pas tre lappareil de tronon suivant
des sousrseaux UDR associs.
Conseil
Lutilisation dExpressRoute tient le trafic du rseau dentreprise loign dInternet pour une
meilleure scurit et une amlioration significative des performances. Il prend galement en
charge les accords de niveau de service de votre fournisseur ExpressRoute. La passerelle Azure
peut transfrer jusqu 2 Gbits/s avec ExpressRoute, tandis quavec les VPN de site site, le dbit
maximal de la passerelle Azure est de 200 Mbits/s.
Comme nous voyons sur le diagramme suivant, avec cette option, lenvironnement
dispose maintenant de deux priphries de rseau. La NVA et le NSG contrlent les flux
de trafic pour les rseaux intraAzure et entre Azure et Internet, tandis que la passerelle
est une priphrie de rseau totalement distincte et isole entre le rseau local et Azure.
hybride ExpressRoute produisent la conception suivante :
32/34
25/01/2017
+ Options
Conclusion
Lajout dune connexion rseau dhomologation prive ExpressRoute peut tendre le
rseau local dans Azure dune manire scurise, avec moins de latence et de meilleures
performances. En outre, lutilisation de la passerelle Azure native, comme dans cet
exemple, fournit une option moindre cot aucune licence supplmentaire linstar des
appliances virtuelles rseau tierces. Pour plus d'informations, consultez les instructions de
gnration dtailles bientt disponibles. Vous trouverez les instructions suivantes :
conception.
Rfrences
Sites web et documentation utiles
Accs Azure avec Azure Resource Manager :
Accder Azure avec PowerShell :
https://azure.microsoft.com/documentation/articles/powershellinstallconfigure/
33/34
25/01/2017
Documentation relative la mise en rseau virtuelle :

https://azure.microsoft.com/documentation/services/virtualnetwork/
Documentation relative aux groupes de scurit rseau :
+ Options
https://azure.microsoft.com/documentation/articles/virtualnetworksnsg/
Documentation relative au routage dfini par lutilisateur :
https://azure.microsoft.com/documentation/articles/virtualnetworksudroverview/
Passerelles virtuelles Azure : https://azure.microsoft.com/documentation/services/vpn
gateway/
VPN de site site : https://azure.microsoft.com/documentation/articles/vpngateway
createsitetositermpowershell
Documentation relative ExpressRoute veillez consulter les sections Mise en route
et Procdure :
https://azure.microsoft.com/documentation/services/expressroute/
Franais
Blog Confidentialit & cookies Conditions d"utilisation Commentaires Marques
34/34

Services de Cloud Computing Et Sécurité Réseau Microsoft - Microsoft Docs

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Services de Cloud Computing Et Sécurité Réseau Microsoft - Microsoft Docs

Загружено:

Авторское право:

Доступные форматы

25/01/2017

Service cloud et scurit rseau

Services de cloud computing et

Dans cet article

Exemple 1 : Crer un rseau de primtre galement appel DMZ, zone dmilitarise et

Conformit et protection des infrastructures

badges de conformit Azure

Pour plus d'informations, consultez les informations de conformit du Centre de gestion

Microsoft a adopt une approche complte de protection de linfrastructure cloud

Architectures de scurit traditionnelles et rseaux

Il existe plusieurs architectures permettant dimplmenter un rseau de primtre, allant

Vue densemble des rseaux virtuels Azure

Caractristiques et conditions requises dun rseau

Caractristiques dun rseau de primtre

Laccs et les mises jour des configurations et dploiements de rseau de

Dtection et prvention des menaces : dtection et attnuation des attaques

Questions envisager lors de la cration des limites du rseau

En premier lieu, il faut dcider le nombre de limites de scurit ncessaires dans un

Chaque limite de scurit aura probablement des exigences de fonctionnalits diffrentes

Exemples : Cration de limites de scurit avec les

Exemple 2 : Crer un rseau de primtre pour protger les applications

Un serveur Windows Server qui reprsente un serveur DNS DNS01 ,

Exemple 3 : Crer un rseau de primtre pour protger les rseaux avec un

Le VNETLocal est toujours le ou les prfixes dadresse dfinis du rseau virtuel de ce

feu grce lUDR. Le parefeu serait considr comme un flux asymtrique et

Description des rgles de pare-feu

1. Rgle de gestion de parefeu : cette rgle de redirection de lapplication autorise

Exemple 4 : Ajouter une connexion hybride avec un rseau priv virtuel

Lutilisation de lenvironnement cr dans lexemple 3 et lajout dune connexion rseau

Exemple 5 : Ajouter une connexion hybride avec un rseau VPN de

Exemple 6 : Ajouter une connexion hybride avec ExpressRoute

Documentation relative la mise en rseau virtuelle :

Blog Confidentialit & cookies Conditions d"utilisation Commentaires Marques

Вам также может понравиться