Concevoir et implémenter le pare-feu Azure
Pare-feu Azure est un service de sécurité réseau informatique géré qui protège vos ressources Réseau virtuel Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud.
Fonctionnalités du Pare-feu Azure
Le Pare-feu Azure comprend ces fonctionnalités.
Haute disponibilité intégrée. Comme la haute disponibilité est intégrée, aucun équilibreur de charge supplémentaire n’est nécessaire, et vous n’avez rien à configurer.
Scalabilité illimitée du cloud. Vous pouvez effectuer un scale-out au niveau du service Pare-feu Azure en fonction de vos besoins pour prendre en charge des flux de trafic réseau changeants. Vous n’avez donc pas besoin de budgétiser votre trafic de pointe.
Règles de filtrage des noms de domaine complets des applications. Vous pouvez limiter le trafic HTTP/S sortant ou le trafic SQL Azure vers une liste spécifiée de noms de domaine complets (FQDN), y compris des caractères génériques. Cette fonctionnalité ne nécessite pas d’arrêt TLS.
Règles de filtrage du trafic réseau. Vous pouvez créer de façon centralisée des règles de filtrage réseau autoriser ou refuser par protocole, port et adresse IP source et de destination. Le service Pare-feu Azure étant entièrement avec état, il peut distinguer les paquets légitimes pour différents types de connexions. Les règles sont appliquées et consignées entre plusieurs abonnements et réseaux virtuels.
Étiquettes FQDN. Ces étiquettes vous aident à autoriser le trafic réseau du service Azure connu via votre pare-feu. Par exemple, supposons que vous souhaitez autoriser le trafic réseau Windows Update via votre pare-feu. Vous créez une règle d’application et incluez la balise Windows Update. Le trafic réseau provenant de Windows Update peut désormais passer par votre pare-feu.
Étiquettes de service. Une balise de service représente un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles de sécurité. Vous ne pouvez pas créer votre propre balise de service, ni spécifier les adresses IP incluses dans une balise. Microsoft gère les préfixes d’adresse englobés par la balise de service et met à jour automatiquement la balise de service quand les adresses changent.
Intelligence des menaces. Le filtrage basé sur la veille des menaces (IDPS) peut être activé pour votre pare-feu pour signaler et refuser le trafic depuis/vers des adresses IP et des domaines malveillants connus. Ces adresses IP et domaines proviennent du flux Microsoft Threat Intelligence.
Inspection TLS. Le pare-feu peut déchiffrer le trafic sortant, traiter les données, puis chiffrer les données et les envoyer à la destination.
Prise en charge du mode SNAT sortant. Toutes les adresses IP du trafic de réseau virtuel sortant sont traduites en adresse IP publique de Pare-feu Azure (SNAT, Source Network Address Translation). Vous pouvez identifier et autoriser le trafic entre votre réseau virtuel et des destinations Internet distantes.
Prise en charge du trafic DNAT entrant. Le trafic Internet entrant vers votre adresse IP publique de pare-feu est traduit (Destination Network Address Translation ou DNAT) et filtré selon les adresses IP privées sur vos réseaux virtuels.
Adresses IP publiques multiples. Vous pouvez associer plusieurs adresses IP publiques (jusqu’à 250) à votre pare-feu pour permettre des scénarios DNAT et SNAT spécifiques.
Journalisation Azure Monitor. Tous les événements sont intégrés à Azure Monitor, ce qui vous permet d’archiver les journaux dans un compte de stockage, d’envoyer en streaming des événements à vos Event Hubs ou de les envoyer aux journaux Azure Monitor.
Tunneling forcé. Vous pouvez configurer le pare-feu Azure pour router tout le trafic Internet vers un tronçon suivant désigné au lieu d’accéder directement à Internet. Par exemple, vous disposez d’un pare-feu de périphérie local ou d’une autre appliance virtuelle réseau (NVA) pour traiter le trafic réseau Internet.
Catégories web. Les catégories Web permettent aux administrateurs d’autoriser ou de refuser l’accès des utilisateurs à des catégories de sites Web, telles que les sites de jeux d’argent, les sites de réseaux sociaux et autres. Les catégories web sont incluses dans le Pare-feu Azure Standard, mais elles sont plus précises dans la préversion du Pare-feu Azure Premium. Contrairement à la fonctionnalité de catégories web de la référence SKU Standard qui correspond à la catégorie basée sur un nom de domaine complet, la référence SKU Premium correspond à la catégorie en fonction de l’URL complète pour le trafic HTTP et HTTPS.
Certifications. Le service Pare-feu Azure est conforme aux normes PCI (Payment Card Industry), SOC (Service Organization Controls), ISO (Organisation internationale de normalisation) et ICSA Labs.
Traitement des règles dans le pare-feu Azure
Dans le Pare-feu Azure, vous pouvez configurer des règles NAT, des règles de réseau et des règles d’application. Un pare-feu Azure refuse tout le trafic par défaut, jusqu’à ce que les règles soient configurées manuellement pour autoriser le trafic.
Traitement des règles avec les règles classiques
Avec les règles classiques, les collections de règles sont traitées en fonction du type de règle par ordre de priorité, des nombres inférieurs aux nombres supérieurs, compris entre 100 et 65 000. Un nom de règle de collection peut contenir uniquement des lettres, des chiffres, des traits de soulignement, des points ou des traits d’union. Elles doivent également commencer par une lettre ou un chiffre et se terminer par une lettre, un chiffre ou un trait de soulignement. La longueur maximale du nom est limitée à 80 caractères. Il est recommandé d’espacer au départ les numéros de priorité de votre collection de règles par incrément de 100. Les incréments donnent de l’espace pour ajouter d’autres collections de règles si nécessaire.
Traitement des règles avec la stratégie de pare-feu
Avec la stratégie de pare-feu, les règles sont organisées dans des regroupements de règles qui sont contenus dans des groupes de regroupement de règles. Les collections de règles peuvent appartenir aux types suivants :
- DNAT (traduction d’adresses réseau de destination)
- Réseau
- Application
Vous pouvez définir plusieurs types de collection de règles au sein d’un même groupe de collections de règles. Vous pouvez définir zéro ou plusieurs règles dans une collection de règles, mais les règles d’une collection de règles doivent être du même type.
Avec la stratégie de pare-feu, les règles sont traitées en fonction de la priorité du groupe de regroupement de règles et de la priorité du regroupement de règles. La priorité peut être n’importe quel nombre compris entre 100 (priorité la plus élevée) et 65 000 (priorité la plus basse). Les groupes de collections de règles avec la priorité la plus élevée sont traités en premier, et au sein d’un groupe de collections de règles, les collections de règles avec la priorité la plus élevée sont traités en premier.
Les règles d’application sont toujours traitées après les règles réseau, qui sont elles-mêmes toujours traitées après les règles de DNAT, indépendamment du groupe de regroupement de règles ou de la priorité de regroupement de règles et de l’héritage de stratégie.
Déploiement et configuration du pare-feu Azure
Tenez compte de ces facteurs lors du déploiement du Pare-feu Azure.
- Le pare-feu peut centraliser la création, la mise en application et la journalisation des stratégies de connectivité de réseau et d’application des abonnements et réseaux virtuels.
- Le pare-feu utilise une adresse IP publique statique pour vos ressources de réseau virtuel.
- Le pare-feu est totalement intégré à Azure Monitor pour la journalisation et l’analyse.
Les principales étapes du déploiement et de la configuration du Pare-feu Azure sont les suivantes :
- Créez un groupe de ressources.
- Créer un réseau virtuel et des sous-réseaux.
- Créer une machine virtuelle de charge de travail dans un sous-réseau.
- Déployer le pare-feu et la stratégie sur le réseau virtuel.
- Créer un itinéraire de trafic sortant par défaut.
- Configurer une règle d’application.
- Configurer une règle de réseau.
- Configurer une règle NAT de destination (DNAT).
- Tester le pare-feu.