Décrire les groupes de sécurité réseau Azure
Les groupes de sécurité réseau (NSG) vous permettent de filtrer le trafic réseau vers et à partir des ressources Azure dans votre réseau virtuel Azure. Par exemple, une machine virtuelle. Un groupe de sécurité réseau se compose de règles qui définissent la façon dont le trafic est filtré. Vous pouvez associer un seul groupe de sécurité réseau à chaque sous-réseau de réseau virtuel et interface réseau dans une machine virtuelle. Cependant, le même groupe de sécurité réseau peut être associé à autant d’interfaces réseau et de sous-réseaux différents que vous le souhaitez.
Dans le diagramme suivant, très simplifié, vous pouvez voir un réseau virtuel Azure avec deux sous-réseaux connectés à Internet, et chaque sous-réseau dispose d’une machine virtuelle. Un groupe de sécurité réseau est affecté au sous-réseau 1, qui filtre les accès entrants et sortants de la VM1, ce qui nécessite un niveau d’accès plus élevé. En revanche, VM2 pourrait représenter un ordinateur public qui ne nécessite pas de groupe de sécurité réseau.
Règles de sécurité entrantes et sortantes
Un groupe de sécurité réseau est constitué de règles de sécurité entrantes et sortantes. Les règles de sécurité des groupes de sécurité réseau sont évaluées par priorité, selon cinq éléments (source, port source, destination, port de destination et protocole), pour autoriser ou refuser le trafic. Par défaut, Azure crée une série de règles, trois règles entrantes et trois règles de trafic sortant, pour fournir un niveau de sécurité de base. Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer en créant de nouvelles règles avec des priorités plus élevées.
Chaque règle spécifie une ou plusieurs des propriétés suivantes :
- Nom: chaque règle NSG doit avoir un nom unique qui décrit son objectif. Par exemple, AdminAccessOnlyFilter.
- Priorité : Les règles sont traitées par ordre de priorité, les nombres inférieurs étant traités avant les nombres plus élevés. Lorsqu’un trafic correspond à une règle, le traitement s’arrête. Cela signifie que toutes les autres règles avec une priorité plus faible (nombres plus élevés) ne seront pas traitées.
- Source ou destination : spécifiez une adresse IP individuelle ou une plage d’adresses IP, une balise de service (groupe de préfixes d’adresses IP d’un service Azure donné) ou un groupe de sécurité d’application. En spécifiant une plage, une balise de service ou un groupe de sécurité d’application, vous pouvez créer moins des règles de sécurité.
- Protocole : quel protocole réseau la règle vérifiera-t-elle ? Le protocole peut être l’un des protocoles suivants : TCP, UDP, ICMP ou Any.
- Direction: indique si la règle doit être appliquée au trafic entrant ou sortant.
- Plage de ports : vous pouvez spécifier un port individuel ou une plage de ports. Spécifier des plages permet d’être plus efficace pour créer des règles de sécurité.
- Action : enfin, vous devez déterminer ce qui se produit lorsque cette règle est déclenchée.
La capture d’écran suivante montre les règles de trafic entrant et sortant par défaut qui sont incluses dans tous les groupes de sécurité réseau.
Les descriptions des règles de trafic entrant par défaut sont les suivantes :
AllowVNetInBound : La règle AllowVNetInBound est traitée en premier, car elle a la valeur à basse priorité. Rappelez-vous que les règles dont la valeur de priorité est la plus basse sont traitées en premier. Cette règle autorise le trafic d’une source avec l’étiquette de service VirtualNetwork vers une destination avec l’étiquette de service VirtualNetwork, sur n’importe quel port et au moyen de n’importe quel protocole. Si une correspondance est trouvée pour cette règle, aucune autre règle n’est traitée. Si aucune correspondance n’est trouvée, la règle suivante est traitée.
AllowAzureLoadBalancerInBound : La règle AllowAzureLoadBalancerInBound est traitée en second, car sa valeur de priorité est supérieure à celle de la règle AllowVNetInBound. Cette règle autorise le trafic d’une source avec l’étiquette de service AzureLoadBalancer vers une destination avec l’étiquette de service AzureLoadBalancer, sur n’importe quel port vers n’importe quelle adresse IP et au moyen de n’importe quel protocole. Si une correspondance est trouvée pour cette règle, aucune autre règle n’est traitée. Si aucune correspondance n’est trouvée, la règle suivante est traitée.
DenyAllInBound : La dernière règle de ce groupe de sécurité réseau est la règle DenyAllInBound. Cette règle refuse tout trafic provenant de n’importe quelle adresse IP source sur n’importe quel port vers n’importe quelle autre adresse IP sur n’importe quel port, à l’aide de n’importe quel protocole.
En résumé, tout sous-réseau de réseau virtuel ou toute carte d’interface réseau, auquel ce groupe de sécurité réseau est affecté, autorise uniquement le trafic entrant à partir d’un réseau virtuel Azure ou d’un équilibreur de charge Azure (tel que défini par leurs étiquettes de service respectives). Tout autre trafic réseau entrant est refusé. Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer en créant de nouvelles règles avec des priorités plus élevées (valeur basse priorité).
Quelle est la différence entre les groupes de sécurité réseau (NSG) et Pare-feu Azure ?
Maintenant que vous avez découvert les groupes de sécurité réseau et le Pare-feu Azure, vous vous demandez peut-être comment ils diffèrent, car ils protègent tous les deux les ressources du réseau virtuel. Le service Pare-feu Azure complète les fonctionnalités de groupe de sécurité réseau. Ensemble, ils fournissent une meilleure sécurité réseau grâce à une défense approfondie. Les groupes de sécurité des réseaux fournissent un filtrage distribué du trafic de la couche réseau afin de limiter le trafic aux ressources des réseaux virtuels dans chaque abonnement. Le pare-feu Azure est un pare-feu réseau centralisé, avec état intégral, sous la forme d’un service, qui fournit une protection au niveau du réseau et des applications sur différents abonnements et réseaux virtuels.