Planification du déploiement du Pare-feu Azure

Effectué

Avant de pouvoir déployer le Pare-feu Azure, vous devez planifier la topologie de votre réseau, identifier les règles de pare-feu dont vous aurez besoin et comprendre les étapes de déploiement.

Rappel : l’idéal pour déployer le Pare-feu Azure est d’utiliser une topologie de réseau hub-and-spoke présentant les caractéristiques suivantes :

  • Un réseau virtuel jouant le rôle de point de connectivité central. Ce réseau est le réseau virtuel Hub.
  • Un ou plusieurs réseaux virtuels appairés au Hub. Ces pairs sont les réseaux virtuels Spoke et sont utilisés pour provisionner les serveurs de charge de travail.

Vous pouvez déployer l’instance de pare-feu sur un sous-réseau du réseau virtuel hub, puis configurer l’ensemble des trafics entrant et sortant pour qu’ils traversent le pare-feu. Vous utiliserez cette configuration lors du déploiement du Pare-feu Azure pour protéger le pool d’hôtes pour Azure Virtual Desktop.

Règles de Pare-feu Azure

Rappel : par défaut, le pare-feu refuse l’accès à tout. Votre tâche consiste à configurer le pare-feu avec les conditions sous lesquelles le trafic est autorisé via le pare-feu. Chaque condition est appelée une règle. Chaque règle contrôle une ou plusieurs fois les données. Seul le trafic qui passe avec succès chaque contrôle de chaque règle du pare-feu est autorisé à traverser.

Le tableau suivant décrit les trois types de règles que vous pouvez créer pour un pare-feu Azure. Pour autoriser le trafic réseau approprié pour Azure Virtual Desktop, vous utiliserez les règles d’application et de réseau.

Type de règle Description
Traduction d'adresses réseau (NAT) Traduisez et filtrez le trafic Internet entrant en fonction de l’adresse IP publique de votre pare-feu et d’un numéro de port spécifié. Par exemple, pour activer une connexion Bureau à distance à une machine virtuelle (VM), vous pouvez utiliser une règle NAT pour translater l’adresse IP publique de votre pare-feu et le port 3389 en adresse IP privée de la VM.
Application Filtrez le trafic en fonction d’un nom de domaine complet (FQDN) ou d’une balise FQDN. Une balise FQDN représente un groupe de FQDN associés à des services Microsoft bien connus, comme Azure Virtual Desktop. Par exemple, vous allez utiliser une règle d’application pour autoriser le trafic sortant pour les VM Azure Virtual Desktop à l’aide de la balise FQDN WindowsVirtualDesktop.
Réseau Filtrez le trafic en fonction d’un ou plusieurs des trois paramètres réseau suivants : Adresse IP, port et protocole. Par exemple, utilisez une règle de réseau pour autoriser le trafic à partir d’une adresse IP privée de serveur de domaine Active Directory local vers Azure pour le port TCP et UDP 53. Si vous utilisez le serveur de domaine Microsoft Entra, vous n’avez pas besoin de créer une règle de réseau. Les requêtes DNS sont transférées vers Azure DNS sur 168.63.129.16.

Le Pare-feu Azure applique les règles par ordre de priorité. Les règles basées sur le renseignement sur les menaces reçoivent toujours la priorité la plus élevée et sont traitées en premier. Ensuite, les règles sont appliquées par type : Règles NAT, puis règles de réseau, puis règles d’application. Dans chaque type, les règles sont traitées en fonction des valeurs de priorité que vous attribuez quand vous créez la règle, de la valeur la plus basse à la valeur plus haute.

Options de déploiement

Rappel : le Pare-feu Azure offre de nombreuses fonctionnalités conçues pour faciliter la création et la gestion des règles. Le tableau suivant récapitule ces fonctionnalités. Pour autoriser le trafic réseau pour Azure Virtual Desktop, vous utiliserez des balises FQDN, mais vous pourriez également utiliser ces autres solutions dans votre environnement.

Fonctionnalité Description
FQDN Nom de domaine d’un hôte ou d’une ou plusieurs adresses IP. L’ajout d’un FQDN à une règle d’application autorise l’accès à ce domaine. Lorsque vous utilisez un FQDN dans une règle d’application, vous pouvez utiliser des caractères génériques comme *.google.com.
Étiquette de FQDN Groupe de FQDN Microsoft très connus. L’ajout d’une étiquette de FQDN à une règle d’application autorise l’accès sortant aux FQDN de l’étiquette. Par exemple, il existe des balises FQDN pour Windows Update, Azure Virtual Desktop, les diagnostics Windows et la sauvegarde Azure. Microsoft gère les balises FQDN et vous ne pouvez pas les modifier ni les créer.
Étiquette de service Groupe de préfixes d’adresses IP associés à un service Azure spécifique. L’ajout d’une étiquette de service à une règle de réseau autorise l’accès au service représenté par l’étiquette. Il existe des balises de service pour des dizaines de services Azure, notamment la sauvegarde Azure, Azure Cosmos DB et Azure Logic Apps. Microsoft gère les balises de service et vous ne pouvez pas les modifier ni les créer.
Groupes IP Groupe d’adresses IP, par exemple 10.2.0.0/16 ou 10.1.0.0-10.1.0.31. Vous pouvez utiliser un groupe d’adresses IP comme adresse source dans une règle NAT ou d’application, ou comme adresse source ou de destination dans une règle de réseau.
Système DNS personnalisé Serveur DNS personnalisé qui résout les noms de domaine en adresses IP. Si vous utilisez un serveur DNS personnalisé plutôt qu’Azure DNS, vous devez également configurer le Pare-feu Azure en tant que proxy DNS.
Proxy DNS Vous pouvez configurer le Pare-feu Azure pour qu’il fasse office de proxy DNS, ce qui signifie que toutes les demandes DNS clientes passent par le pare-feu avant d’aller au serveur DNS.

Étapes de déploiement pour le Pare-feu Azure

Dans l’exercice précédent, vous avez créé un pool d’hôtes et un réseau virtuel avec un sous-réseau. Vous avez déployé une VM hôte de session dans ce sous-réseau et l’avez inscrite auprès du pool d’hôtes. Dans les exercices qui suivent, vous allez effectuer les étapes suivantes pour déployer le Pare-feu Azure afin de protéger le pool d’hôtes.

  1. Configurez le réseau :

    • Créer un réseau virtuel Hub qui comprend un sous-réseau pour le déploiement du pare-feu.
    • Appairer les réseaux Hub-and-Spoke. Dans l’exercice suivant, vous allez homologuer le réseau virtuel hub avec le réseau virtuel utilisé par le pool d’hôtes d’Azure Virtual Desktop.
  2. Déployez le Pare-feu Azure :

    • Déployez le Pare-feu Azure sur un sous-réseau dans le réseau virtuel hub.
    • Pour le trafic sortant, créer une route par défaut qui envoie le trafic de tous les sous-réseaux à l’adresse IP privée du pare-feu.
  3. Créez des règles de Pare-feu Azure :

    • Configurer le pare-feu avec des règles pour filtrer le trafic entrant et sortant.