Qu’est-ce qu’un périmètre de sécurité réseau ?
Un périmètre de sécurité réseau permet aux organisations de définir une limite d’isolation réseau logique pour des ressources PaaS (par exemple, le compte Stockage Azure et le serveur SQL Database) qui sont déployées en dehors de leurs réseaux virtuels. Il limite l’accès du réseau public aux ressources PaaS en dehors du périmètre ; l’accès peut être exempté en utilisant des règles d’accès explicites pour le trafic entrant et sortant public.
Pour connaître les modèles d’accès impliquant le trafic des réseaux virtuels vers des ressources PaaS, consultez Qu’est-ce qu’Azure Private Link ?.
Les fonctionnalités du périmètre de sécurité réseau sont les suivantes :
- Communication entre les ressources parmi les membres du périmètre, empêchant l’exfiltration de données vers des destinations non autorisées.
- Gestion de l’accès public externe avec des règles explicites pour les ressources PaaS associées au périmètre.
- Journaux d’accès pour l’audit et la conformité.
- Expérience unifiée entre les ressources PaaS.
Important
Le périmètre de sécurité réseau est en préversion publique et disponible dans toutes les régions du cloud public Azure. Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.
Composants du périmètre de sécurité réseau
Un périmètre de sécurité réseau comprend les composants suivants :
| Composant | Description |
|---|---|
| Périmètre de sécurité réseau | Ressource de niveau supérieur définissant la limite de réseau logique pour sécuriser les ressources PaaS. |
| Profile | Collection de règles d’accès qui s’appliquent aux ressources associées au profil. |
| Règle d’accès | Règles de trafic entrant et sortant pour les ressources d’un périmètre afin d’autoriser l’accès en dehors du périmètre. |
| Association de ressource | Appartenance à un périmètre pour une ressource PaaS. |
| Paramètres de diagnostic | Ressource d’extension hébergée par Microsoft Insights afin de collecter des journaux et des métriques pour toutes les ressources du périmètre. |
Remarque
Pour des raisons de sécurité organisationnelle et informationnelle, il est conseillé de ne pas inclure de données personnelles identifiables ou sensibles dans les règles de périmètre de sécurité réseau ou dans toute autre configuration du périmètre de sécurité réseau.
Propriétés d’un périmètre de sécurité réseau
Lors de la création d’un périmètre de sécurité réseau, vous pouvez spécifier les propriétés suivantes :
| Propriété | Description |
|---|---|
| Nom | Nom unique dans le groupe de ressources. |
| Emplacement | Une région Azure prise en charge où se trouve la ressource. |
| Nom du groupe de ressources | Nom du groupe de ressources où le périmètre de sécurité réseau doit être présent. |
Modes d’accès dans le périmètre de sécurité réseau
Les administrateurs ajoutent des ressources PaaS à un périmètre en créant des associations de ressources. Ces associations peuvent être effectuées dans deux modes d’accès. Les modes d’accès sont les suivants :
| Mode | Description |
|---|---|
| Mode apprentissage | - Mode d’accès par défaut. - Aide les administrateurs réseau à comprendre les modèles d’accès existants de leurs ressources PaaS. - Mode d’utilisation conseillé avant de passer au mode Appliqué. |
| Mode Appliqué | - Doit être défini par l’administrateur. - Par défaut, tout le trafic à l’exception du trafic intra-périmètre est refusé dans ce mode, sauf si une règle d’accès Autoriser existe. |
Apprenez-en davantage sur la transition du mode Apprentissage vers le mode Appliqué dans l’article Transition vers un périmètre de sécurité réseau.
Pourquoi utiliser le périmètre de sécurité réseau ?
Le périmètre de sécurité réseau fournit un périmètre sécurisé pour la communication des services PaaS déployés en dehors du réseau virtuel. Il vous permet de contrôler l’accès réseau aux ressources PaaS Azure. Voici quelques cas d’utilisation courants :
- Créer une limite sécurisée autour des ressources PaaS.
- Prévenir l’exfiltration de données en associant des ressources PaaS au périmètre.
- Activer des règles d’accès pour accorder l’accès en dehors du périmètre sécurisé.
- Gérer les règles d’accès pour toutes les ressources PaaS au sein du périmètre de sécurité réseau à partir d’un emplacement unique.
- Activer les paramètres de diagnostic pour générer des journaux d’accès des ressources PaaS au sein du périmètre à des fins d’audit et de conformité.
- Autoriser le trafic de point de terminaison privé sans autres règles d’accès.
Comment fonctionne le périmètre de sécurité réseau ?
Lorsqu’un périmètre de sécurité réseau est créé et que les ressources PaaS sont associées au périmètre en mode Appliqué, tout le trafic public est refusé par défaut, ce qui empêche l’exfiltration de données en dehors du périmètre.
Les règles d’accès peuvent être utilisées pour approuver le trafic entrant et sortant public en dehors du périmètre. L’accès entrant public peut être approuvé à l’aide des attributs Réseau et Identité du client, tels que les adresses IP sources et les abonnements. L’accès sortant public peut être approuvé à l’aide des noms de domaine complets des destinations externes.
Par exemple, lors de la création d’un périmètre de sécurité réseau et de l’association d’un ensemble de ressources PaaS telles qu’Azure Key Vault et SQL DB en mode Appliqué, avec le périmètre, tout le trafic public entrant et sortant vers ces ressources PaaS est refusé par défaut. Pour autoriser tout accès en dehors du périmètre, les règles d’accès nécessaires peuvent être créées. Au sein du même périmètre, vous pouvez également créer des profils afin de regrouper les ressources PaaS ayant un ensemble similaire d’exigences d’accès entrant et sortant.
Ressources de liaison privée intégrées
Une ressource de liaison privée prenant en charge le périmètre de sécurité réseau est une ressource PaaS qui peut être associée à un périmètre de sécurité réseau. Actuellement, la liste des ressources de liaison privée intégrées est la suivante :
| Nom de la ressource Private Link | Type de ressource | Ressources |
|---|---|---|
| Azure Monitor | Microsoft.Insights/dataCollectionEndpoints Microsoft.Insights/ScheduledQueryRules Microsoft.Insights/actionGroups Microsoft.OperationalInsights/workspaces |
Espace de travail Log Analytics, Application Insights, Alertes, Service de notification |
| Azure AI Search | Microsoft.Search/searchServices | - |
| Cosmos DB | Microsoft.DocumentDB/databaseAccounts | - |
| Event Hubs | Microsoft.EventHub/namespaces | - |
| Key Vault | Microsoft.KeyVault/vaults | - |
| SQL DB | Microsoft.Sql/servers | - |
| Stockage | Microsoft.Storage/storageAccounts | - |
Remarque
Limitations du périmètre de sécurité réseau
Limitations régionales
Le périmètre de sécurité réseau est actuellement disponible dans toutes les régions du cloud public Azure. Toutefois, lors de l’activation des journaux d’accès pour le périmètre de sécurité réseau, l’espace de travail Log Analytics à associer au périmètre de sécurité réseau doit se trouver dans l’une des régions prises en charge par Azure Monitor. Actuellement, ces régions sont USA Est, USA Est 2, USA Centre Nord, USA Centre Sud, USA Ouest et USA Ouest 2.
Remarque
Pour les journaux de ressources PaaS, utilisez Stockage et Event Hub comme destination de journal pour toute région associée au même périmètre.
Limitations relatives à la mise à l’échelle
Les fonctionnalités de périmètre de sécurité réseau peuvent être utilisées pour prendre en charge les déploiements de ressources PaaS avec des contrôles réseau publics courants, avec les limitations de mise à l’échelle suivantes :
| Limite | Description |
|---|---|
| Nombre de périmètres de sécurité réseau | La limite de prise en charge recommandée est de 100 par abonnement. |
| Profils par périmètre de sécurité réseau | La limite de prise en charge recommandée est de 200. |
| Nombre d’éléments de règle par profil | La limite de prise en charge est fixée à 200. |
| Nombre de ressources PaaS parmi les abonnements associés au même périmètre de sécurité réseau | La limite de prise en charge recommandée est de 1000. |
Autres limitations
Le périmètre de sécurité réseau présente les autres limitations suivantes :
| Limitation/problème | Description |
|---|---|
| L’opération de déplacement d’un groupe de ressources ne peut pas être effectuée si plusieurs périmètres de sécurité réseau sont présents | Si plusieurs périmètres de sécurité réseau sont présents dans le même groupe de ressources, le périmètre de sécurité réseau ne peut pas être déplacé d’un groupe de ressources à l’autre ou d’un abonnement à l’autre. |
| Les associations doivent être supprimées avant de supprimer le périmètre de sécurité réseau | L’option de suppression forcée n’est pas disponible actuellement. Vous devez donc supprimer toutes les associations avant de supprimer un périmètre de sécurité réseau. Assurez-vous de prendre les précautions nécessaires pour autoriser l’accès précédemment contrôlé par le périmètre de sécurité du réseau avant de supprimer les associations. |
| Les noms de ressources ne peuvent pas comporter plus de 44 caractères afin de respecter le périmètre de sécurité réseau | L’association de ressources du périmètre de sécurité réseau créée à partir du Portail Azure a le format {resourceName}-{perimeter-guid}. Pour vous conformer à l’exigence selon laquelle le champ « nom » ne peut pas comporter plus de 80 caractères, les noms des ressources devront être limités à 44 caractères. |
| Le trafic des points de terminaison des services n’est pas pris en charge. | Nous vous recommandons d’utiliser des points de terminaison privés pour les communications entre IaaS et PaaS. Actuellement, le trafic des points de terminaison des services peut être refusé même si une règle de trafic entrant autorise 0.0.0.0/0. |
Remarque
Consultez la documentation PaaS spécifique pour connaître les limitations respectives de chaque service.