Qu’est-ce qu’une appliance virtuelle réseau ?
Une appliance virtuelle réseau est une appliance virtuelle constituée de différentes couches, telles que :
- Un pare-feu
- Optimiseur WAN
- Contrôleurs de livraison d’applications
- Routeurs
- Équilibreurs de charge
- IDS/IPS
- Proxies
Vous pouvez déployer des appliances virtuelles réseau choisies auprès de fournisseurs de la Place de marché Azure. Parmi ces fournisseurs figurent Cisco, Check Point, Barracuda, Sophos, WatchGuard et SonicWall. Vous pouvez utiliser une appliance virtuelle réseau pour filtrer le trafic entrant sur un réseau virtuel, pour bloquer les demandes malveillantes ou pour bloquer les demandes émanant de ressources inattendues.
Dans l’exemple de scénario d’organisation de vente au détail, vous devez collaborer avec l’équipe de sécurité et l’équipe réseau. Vous souhaitez implémenter un environnement sécurisé qui inspecte tout le trafic entrant et empêche le trafic non autorisé de pénétrer dans le réseau interne. Vous souhaitez aussi sécuriser à la fois le réseau de machines virtuelles et le réseau de services Azure dans le cadre de la stratégie de sécurité réseau de votre entreprise.
Votre objectif consiste à empêcher tout trafic réseau indésirable ou non sécurisé d’atteindre les systèmes clés.
Dans le cadre de la stratégie de sécurité réseau, vous devez contrôler le flux de trafic au sein de votre réseau virtuel. Vous devez également connaître le rôle d’une appliance virtuelle réseau et l’avantage d’utiliser une appliance virtuelle réseau pour contrôler le flux du trafic via un réseau Azure.
Appliance virtuelle réseau
Les appliances virtuelles réseau sont des machines virtuelles qui contrôlent le flux de trafic réseau en pilotant le routage. En général, elles servent à gérer le trafic qui transite d’un environnement réseau de périmètre vers d’autres réseaux ou sous-réseaux.
Vous pouvez déployer des appliances de pare-feu dans un réseau virtuel dans différentes configurations. Vous pouvez placer une appliance de pare-feu dans un sous-réseau de réseau de périmètre dans le réseau virtuel ou, pour mieux contrôler la sécurité, implémenter une approche par microsegmentation.
Avec cette approche, vous pouvez créer des sous-réseaux dédiés pour le pare-feu, puis déployer des applications web et d’autres services dans d’autres sous-réseaux. L’ensemble du trafic est routé via le pare-feu et inspecté par les appliances virtuelles réseau. Vous allez activer le transfert sur les interfaces réseau des appliances virtuelles de façon à transmettre le trafic accepté par le sous-réseau approprié.
La micro-segmentation permet au pare-feu d’inspecter tous les paquets au niveau de la couche 4 du modèle OSI et, pour les appliances prenant en charge les applications, au niveau de la couche 7. Quand vous déployez une appliance virtuelle réseau dans Azure, elle agit comme un routeur qui transfère les demandes entre les sous-réseaux du réseau virtuel.
Certaines appliances virtuelles réseau nécessitent plusieurs interfaces réseau. Une interface réseau est dédiée au réseau de gestion de l’appliance. Des interfaces réseau supplémentaires gèrent et contrôlent le traitement du trafic. Une fois que vous avez déployé l’appliance virtuelle réseau, vous pouvez la configurer de façon à router le trafic via l’interface appropriée.
Routes définies par l’utilisateur
Pour la plupart des environnements, les routes système par défaut déjà définies par Azure suffisent à rendre opérationnels les environnements. Il est utile dans certains cas de créer une table de routage et d’y ajouter des routes personnalisées. Voici quelques exemples :
- Accès à Internet par le biais d’un réseau local à l’aide du tunneling forcé
- Utilisation d’appliances virtuelles pour contrôler le flux de trafic
Vous pouvez créer plusieurs tables de route dans Azure. Chaque table de route est associée à un ou plusieurs sous-réseaux. Un sous-réseau ne peut être associé qu’à une seule table de route.
Appliances virtuelles réseau dans une architecture à haute disponibilité
Si le trafic est routé via une appliance virtuelle réseau, celle-ci devient un élément essentiel de votre infrastructure. Les défaillances de l’appliance virtuelle réseau affectent directement la capacité de vos services à communiquer. Il est important d’inclure une architecture à haute disponibilité dans votre déploiement d’appliance virtuelle réseau.
Il existe plusieurs façons d’accéder à la haute disponibilité avec des appliances virtuelles réseau. À la fin de ce module, vous trouverez un complément d’informations sur l’utilisation d’appliances virtuelles réseau dans des scénarios à haute disponibilité.