Partager via

Planifier la connectivité Internet entrante et sortante

  • Article

Cet article répertorie les considérations et recommandations relatives à la connectivité entrante et sortante entre Azure et l’Internet public.

Considérations relatives à la conception

  • Les services de sécurité réseau natifs Azure tels que Pare-feu Azure, Pare-feu d’applications web Azure (WAF) sur Azure Application Gatewayet Azure Front Door sont entièrement gérés. Vous n'assumez pas les coûts opérationnels et de gestion, ni la complexité des déploiements d’infrastructures complexes à grande échelle.

  • Si votre organisation préfère utiliser des appliances virtuelles réseau non-Azure ou pour des situations où les services natifs ne répondent pas à des exigences spécifiques, l’architecture de zone d’atterrissage Azure est entièrement compatible avec les appliances virtuelles réseau partenaires.

  • Azure fournit plusieurs méthodes de connectivité sortante Internet directe, telles que des passerelles nat (Network Address Translation) ou des équilibreurs de charge, pour les machines virtuelles ou les instances de calcul sur un réseau virtuel. Azure NAT Gateway est recommandée par défaut pour activer la connectivité sortante, car c'est la méthode la plus simple à mettre en place et l'option la plus évolutive et efficace parmi toutes les méthodes de connectivité sortantes disponibles dans Azure. Pour plus d’informations, consultez les méthodes de connectivité sortante Azure.

Remarque

À compter de novembre 2024, tous les déploiements de Pare-feu Azure doivent inclure une carte réseau de gestion pour séparer la gestion et le trafic de données. Auparavant nécessaire uniquement pour le tunneling forcé, la carte réseau de gestion est désormais obligatoire pour les fonctionnalités de pare-feu à venir. Pour éviter toute interruption de service, assurez-vous que votre pare-feu est déployé ou mis à jour avec cette fonctionnalité activée. Pour les pare-feu existants, consultez Activer la carte réseau de gestion sur les pare-feu existants.

Recommandations en matière de conception

  • Utilisez la passerelle NAT Azure pour la connectivité sortante directe vers Internet. Une passerelle NAT est un service NAT entièrement géré et hautement résilient qui fournit un SNAT à la demande et évolutif .

    • Utilisez une passerelle NAT pour :

      • Charges de travail dynamiques ou volumineuses envoyant du trafic vers Internet.
      • Adresses IP publiques statiques et prévisibles pour la connectivité sortante. La passerelle NAT peut être associée à jusqu’à 16 adresses IP publiques ou à un préfixe d’adresse IP publique /28.
      • Atténuation des problèmes d’épuisement des ports SNAT couramment rencontrés avec les règles de trafic sortant de l’équilibreur de charge, le Pare-feu Azure ou les services Azure App Service.
      • Sécurité et confidentialité des ressources au sein de votre réseau. Seul le trafic sortant et de retour peut passer via la passerelle NAT.

  • Utilisez le Pare-feu Azure pour régir :

    • trafic sortant Azure vers Internet ;
    • Connexions entrantes non HTTP/S.
    • Filtrage du trafic est-ouest, si votre organisation en a besoin.

  • Déployer le Pare-feu Azure avec la carte réseau Managament activée

    • Vérifiez que AzureFirewallManagementSubnet est créé à l’avance pour éviter les problèmes de déploiement lors de l’utilisation d’un réseau virtuel existant, avec une taille de sous-réseau minimale de /26
    • Affectez une adresse IP publique à la carte réseau de gestion. Cette adresse IP facilite les tâches opérationnelles du pare-feu, notamment les mises à jour et les communications de gestion.
    • Par défaut, Azure associe une table de routage fournie par le système à AzureFirewallManagementSubnet. Cette table inclut un itinéraire par défaut vers Internet et l’option Propager des itinéraires de passerelle doit être désactivée.

  • Utilisez Azure Firewall Premium,, pour des fonctionnalités de pare-feu avancées, telles que :

    • Inspection du protocole TLS (Transport Layer Security).
    • Un système de détection et de prévention des intrusions réseau (IDPS).
    • Filtrage d’URL.
    • Catégories web.

Remarque

Pour les versions de pare-feu Standard et Premium, la carte réseau de gestion du pare-feu doit être activée manuellement pendant le processus de création. Toutes les versions de pare-feu de base et tous les pare-feu Hub sécurisé ont toujours une carte réseau de gestion activée.

  • Azure Firewall Manager prend en charge à la fois Azure Virtual WAN et les réseaux virtuels classiques. Utilisez Firewall Manager avec Virtual WAN pour déployer et gérer des pare-feu Azure sur des hubs Virtual WAN ou dans des réseaux virtuels hub.

  • Si vous utilisez plusieurs adresses IP et plages de manière cohérente dans les règles de pare-feu Azure, configurez groupes IP dans le Pare-feu Azure. Les groupes IP peuvent être réutilisés dans les règles DNAT, de réseau et d’application de Pare-feu Azure pour plusieurs pare-feu dans différentes régions et différents abonnements dans Azure.

  • Si vous utilisez un itinéraire personnalisé défini par l’utilisateur (UDR) pour gérer la connectivité sortante aux services PaaS (Platform as a Service), spécifiez une étiquette de service comme préfixe d’adresse. Les balises de service mettent automatiquement à jour les adresses IP sous-jacentes pour inclure des modifications et réduire la surcharge de gestion des préfixes Azure dans une table de routage.

Remarque

Évitez d’associer des tables de routage client à AzureFirewallManagementSubnet. L’association de tables de routage personnalisées au sous-réseau de gestion peut entraîner des erreurs de configuration et des interruptions de service potentielles. Si vous associez une table de routage, assurez-vous qu’elle dispose d’un itinéraire par défaut vers Internet pour éviter les interruptions de service.

  • Créez une stratégie de pare-feu Azure globale pour régir la posture de sécurité dans l’environnement réseau global. Affectez la stratégie à toutes les instances de Pare-feu Azure.

  • Autorisez les stratégies granulaires à répondre aux exigences spécifiques de la région en utilisant le contrôle d’accès en fonction du rôle Azure pour déléguer des stratégies incrémentielles aux équipes de sécurité locales.

  • Utilisez WAF dans un réseau virtuel de zone d’atterrissage pour protéger le trafic HTTP/S entrant à partir d’Internet.

  • Utilisez les stratégies Azure Front Door et WAF pour fournir une protection globale entre les régions Azure pour les connexions HTTP/S entrantes à une zone d’atterrissage.

  • Pour utiliser Azure Front Door et Azure Application Gateway pour protéger les applications HTTP/S, utilisez des stratégies WAF dans Azure Front Door. Verrouiller Azure Application Gateway pour recevoir le trafic uniquement à partir d’Azure Front Door.

  • Si des appliances virtuelles réseau de partenaires sont requises pour les connexions HTTP/S entrantes, déployez-les à l’intérieur d’un réseau virtuel de zone d’atterrissage et avec les applications qu’elles protègent et exposent à Internet.

  • Pour l’accès sortant, n’utilisez pas l’accès sortant Internet par défaut d’Azure pour n’importe quel scénario. Les problèmes rencontrés avec l’accès sortant par défaut sont les suivants :

    • Risque accru d’épuisement des ports SNAT.
    • Non sécurisé par défaut.
    • Impossible de dépendre des adresses IP d’accès par défaut. Elles ne sont pas détenues par le client et soumises à modification.

  • Utilisez une passerelle NAT pour les zones d’atterrissage en ligne ou les zones d’atterrissage non connectées au réseau virtuel hub. Les ressources de calcul qui ont besoin d’un accès Internet sortant et qui n’ont pas besoin de la sécurité du Pare-feu Azure standard ou Premium, ou d’une appliance virtuelle réseau tierce, peuvent utiliser des zones d’atterrissage en ligne.

  • Si votre organisation souhaite utiliser des fournisseurs de sécurité SaaS (software-as-a-service) pour protéger les connexions sortantes, configurez les partenaires pris en charge dans Firewall Manager.

  • Si vous utilisez des appliances virtuelles réseau partenaires pour la protection et le filtrage du trafic Est-Ouest ou Nord-Sud :

    • Pour les topologies de réseau Virtual WAN, déployez les appliances virtuelles réseau sur un réseau virtuel de NVA distinct. Connectez le réseau virtuel au hub Virtual WAN régional et aux zones d’atterrissage qui ont besoin d’accéder aux Appliances Virtuelles de Réseau (NVA). Pour plus d’informations, consultez Scénario : Router le trafic via une NVA.
    • Pour les topologies de réseau autres que Virtual WAN, déployez les appliances virtuelles réseau de partenaires dans le réseau virtuel hub central.

  • N’exposez pas les ports de gestion des machines virtuelles à Internet. Pour les tâches de gestion :

    • Utilisez Azure Policy pour empêcher la création de machines virtuelles avec des adresses IP publiques.
    • Utilisez Azure Bastion pour accéder aux machines virtuelles jumpbox.

  • Utilisez les plans de protection Azure pour DDoS afin de protéger les points de terminaison publics que vous hébergez au sein de vos réseaux virtuels.

  • N’essayez pas de répliquer les concepts et architectures du réseau de périmètre local dans Azure. Bien qu’Azure dispose de fonctionnalités de sécurité similaires, l’implémentation et l’architecture sont adaptées au cloud.