Gérer le contrôle d’accès réseau

Azure Web PubSub vous permet de sécuriser et de gérer l’accès à votre point de terminaison de service en fonction des types de requête et des sous-ensembles de réseaux. Lorsque vous configurez des règles de contrôle d’accès au réseau, seules les applications effectuant des requêtes à partir des réseaux spécifiés peuvent accéder à votre instance d’Azure Web PubSub.

Vous pouvez configurer Azure Web PubSub pour sécuriser et contrôler le niveau d’accès à votre point de terminaison de service, en fonction du type de requête et du sous-ensemble de réseaux utilisés. Quand des règles de réseau sont configurées, seules les applications qui demandent des données sur l’ensemble de réseaux spécifié peuvent accéder à votre ressource Web PubSub.

Accès au réseau public

Nous offrons un basculement unique et unifié pour simplifier la configuration de l’accès au réseau public. Le basculement a les options suivantes :

• Désactivé : bloque complètement l’accès au réseau public. Toutes les autres règles de contrôle d’accès au réseau sont ignorées pour les réseaux publics.
• Activé : autorise l’accès au réseau public qui est davantage réglementé par des règles de contrôle d’accès au réseau supplémentaires.

Configurer l’accès au réseau public via le portail

1. Accédez à l’instance Azure Web PubSub que vous souhaitez sécuriser.
2. Sélectionnez Mise en réseau dans le menu de gauche. Sélectionnez l’onglet Accès public :

1. Sélectionnez Désactivé ou Activé.

2. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer l’accès au réseau public via Bicep

Le modèle suivant désactive l’accès au réseau public :

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    publicNetworkAccess: 'Disabled'
  }
}

Action par défaut

L’action par défaut est appliquée lorsqu’aucune autre règle ne correspond.

Configurer l’action par défaut via le portail

1. Accédez à l’instance Azure Web PubSub que vous souhaitez sécuriser.
2. Sélectionnez Contrôle d’accès au réseau dans le menu de gauche.

1. Pour modifier l’action par défaut, faites basculer le bouton Autoriser/Refuser.
2. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer l’action par défaut via Bicep

Le modèle suivant définit l’action par défaut sur Deny.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
    }
}

Règles de type de requête

Vous pouvez configurer les règles pour autoriser ou refuser les types de requête spécifiées pour le réseau public et chaque point de terminaison privé.

Par exemple, les appels d’API REST disposent généralement de privilèges élevés. Pour améliorer la sécurité, vous voudrez peut-être limiter leur origine. Vous pouvez configurer des règles pour bloquer tous les appels d’API REST provenant d’un réseau public et uniquement autoriser celles provenant d’un réseau public spécifié.

Si aucune règle ne correspond, l’action par défaut est appliquée.

Configurer des règles de type de requête via le portail

1. Accédez à l’instance Azure Web PubSub que vous souhaitez sécuriser.
2. Sélectionnez Contrôle d’accès au réseau dans le menu de gauche.

1. Pour modifier une règle de réseau public, sélectionnez les types de requêtes autorisés sous Réseau public.

1. Pour modifier des règles de réseau des points de terminaison privés, sélectionnez les types de requêtes autorisés dans chaque ligne sous Connexions de points de terminaison privés.

1. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer des règles de type de requête via Bicep

Le modèle suivant refuse toutes les requêtes du réseau public, sauf les connexions de clients. En outre, il autorise uniquement les appels d’API REST, et les appels Trace provenant d’un point de terminaison privé spécifique.

Le nom de la connexion de point de terminaison privé peut être examiné dans la sous-ressource privateEndpointConnections. Il est automatiquement généré par le système.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
        defaultAction: 'Deny'
        publicNetwork: {
            allow: ['ClientConnection']
        }
        privateEndpoints: [
            {
                name: 'foo.0000aaaa-11bb-cccc-dd22-eeeeee333333'
                allow: ['RESTAPI', 'Trace']
            }
        ]
    }
}

Règles IP

Les règles d’adresse IP vous permettent d’octroyer ou de refuser l’accès à des plages d’adresses IP Internet publiques spécifiques. Vous pouvez utiliser ces règles pour autoriser l’accès à certains services Internet et réseaux locaux ou bloquer le trafic Internet général.

Les restrictions suivantes s’appliquent :

• Vous pouvez configurer jusqu’à 30 règles.
• Les plages d’adresses doivent être spécifiées en utilisant une notation CIDR, telle que 16.17.18.0/24. Les adresses IPv4 et IPv6 sont prises en charge.
• Les règles d’adresse IP sont évaluées dans l’ordre de leur définition. Si aucune règle ne correspond, l’action par défaut est appliquée.
• Les règles d’adresse IP s’appliquent uniquement au trafic public et ne peuvent pas bloquer le trafic à partir de points de terminaison privés.

Configurer des règles d’adresse IP via le portail

1. Accédez à l’instance Azure Web PubSub que vous souhaitez sécuriser.

2. Sélectionnez Mise en réseau dans le menu de gauche. Sélectionnez l’onglet Règles de contrôle d’accès :

   

3. Modifiez la liste sous la section Règles d’adresse IP.

4. Sélectionnez Enregistrer pour enregistrer vos modifications.

Configurer des règles d’adresse IP via Bicep

Le modèle suivant a ces effets :

• Les requêtes de 123.0.0.0/8 et 2603::/8 sont autorisées.
• Les requêtes de toutes les autres plages d’adresses IP sont refusées.

resource webpubsub 'Microsoft.SignalRService/WebPubSub@2024-08-01-preview' = {
  name: 'foobar'
  location: 'eastus'
  properties: {
    networkACLs: {
      defaultAction: 'Deny'
      ipRules: [
        {
          value: '123.0.0.0/8'
          action: 'Allow'
        }
        {
          value: '2603::/8'
          action: 'Allow'
        }
        {
          value: '0.0.0.0/0'
          action: 'Deny'
        }
        {
          value: '::/0'
          action: 'Deny'
        }
      ]
    }
  }
}

Étapes suivantes

En savoir plus sur Azure Private Link.