Partage via

Planifier la connectivité Internet entrante et sortante

  • Article

Cet article répertorie les considérations et recommandations relatives à la connectivité entrante et sortante entre Azure et l’Internet public.

Remarques relatives à la conception

  • Les services de sécurité réseau natifs d’Azure, comme Pare-feu Azure, Web Application Firewall (WAF) sur Azure Application Gateway et Azure Front Door sont des services entièrement managés. Vous n’entraînez pas les coûts opérationnels et de gestion et la complexité des déploiements d’infrastructure à grande échelle.

  • Si votre organisation préfère utiliser des appliances virtuelles réseau non Azure ou pour les situations où les services natifs ne répondent pas à des exigences spécifiques, l’architecture de la zone d’atterrissage Azure est entièrement compatible avec les appliances réseau partenaires.

  • Azure fournit plusieurs méthodes de connectivité sortante Internet directe, comme les passerelles NAT (Network Address Translation) ou les équilibreurs de charge, pour les machines virtuelles ou les instances de calcul sur un réseau virtuel. Azure NAT Gateway est recommandée par défaut pour activer la connectivité sortante, car elle est opérationnellement plus simple à configurer et constitue l’option la plus évolutive et la plus efficace parmi toutes les méthodes de connectivité sortantes disponibles dans Azure. Pour plus d’informations, consultez les méthodes de connectivité sortante Azure.

Recommandations de conception

  • Utilisez Azure NAT Gateway pour la connectivité sortante directe vers Internet. La passerelle NAT est un service NAT complètement managé et hautement résilient qui fournit un SNAT évolutif et à la demande.

    • Utilisez une passerelle NAT pour :

      • Charges de travail dynamiques ou grandes qui envoient du trafic vers Internet.
      • Adresses IP publiques statiques et prévisibles pour la connectivité sortante. La passerelle NAT peut être associée à 16 adresses IP publiques maximum ou un préfixe IP public /28.
      • Atténuation des problèmes d’épuisement des ports SNAT couramment rencontrés avec les règles de trafic sortant de l’équilibreur de charge, le Pare-feu Azure ou les services Azure App Service.
      • Sécurité et confidentialité des ressources dans votre réseau. Seul le trafic sortant et de retour peut passer par la passerelle NAT.

  • Utilisez le Pare-feu Azure pour gérer les aspects suivants :

    • trafic sortant Azure vers Internet ;
    • connexions entrantes non-HTTP/S ;
    • Filtrage du trafic est-ouest si votre organisation le requiert.

  • Utilisez le Pare-feu Azure Premium pour les fonctionnalités de pare-feu avancées, comme :

    • Inspection TLS (Transport Layer Security).
    • Un système de détection et de prévention des intrusions réseau (IDPS).
    • Filtrage des URL.
    • Catégories web.

  • Azure Firewall Manager prend en charge Azure Virtual WAN et les réseaux virtuels standard. Utilisez Firewall Manager avec le service Virtual WAN pour déployer et gérer des pare-feu Azure dans des hubs Virtual WAN ou dans des réseaux virtuels hubs.

  • Si vous utilisez plusieurs adresses IP et plages de manière cohérente dans les règles du Pare-feu Azure, configurez des groupes d’IP dans le Pare-feu Azure. Les groupes IP peuvent être réutilisés dans les règles DNAT, de réseau et d’application de Pare-feu Azure pour plusieurs pare-feu dans différentes régions et différents abonnements dans Azure.

  • Si vous utilisez un itinéraire défini par l’utilisateur (UDR) personnalisé pour gérer la connectivité sortante aux services PaaS (Platform as a Service), spécifiez une étiquette de service comme préfixe d’adresse. Les étiquettes de service mettent à jour automatiquement les adresses IP sous-jacentes pour inclure les modifications et réduire la surcharge de gestion des préfixes Azure dans une table de routage.

  • Créez une stratégie de pare-feu Azure globale pour gouverner la posture de sécurité dans l’environnement réseau global. Affectez la stratégie à toutes les instances de Pare-feu Azure.

  • Permettez aux stratégies granulaires de répondre aux exigences spécifiques de la région à l’aide du contrôle d’accès en fonction du rôle Azure pour déléguer les stratégies incrémentielles aux équipes de sécurité locales.

  • Utilisez WAF à l’intérieur d’un réseau virtuel de zone d’atterrissage pour protéger le trafic HTTP/S entrant en provenance d’Internet.

  • Utilisez des stratégies Azure Front Door et WAF pour fournir une protection globale dans les régions Azure pour les connexions HTTP/S entrantes à une zone d’atterrissage.

  • Pour utiliser Azure Front Door et Azure Application Gateway pour protéger les applications HTTP/S, utilisez des stratégies WAF dans Azure Front Door. Verrouillez Azure Application Gateway pour recevoir le trafic uniquement d’Azure Application Gateway.

  • Si des appliances virtuelles réseau de partenaires sont requises pour les connexions HTTP/S entrantes, déployez-les à l’intérieur d’un réseau virtuel de zone d’atterrissage et avec les applications qu’elles protègent et exposent à Internet.

  • Pour l’accès sortant, n’utilisez pas l’accès sortant Internet par défaut d’Azure pour n’importe quel scénario. Les problèmes rencontrés avec l’accès sortant par défaut sont les suivants :

    • Risque accru d’épuisement des ports SNAT.
    • Non sécurisé par défaut.
    • Ne peut pas dépendre des IP d’accès par défaut. Elles ne sont pas détenues par le client et sont susceptibles de changer.

  • Utilisez une passerelle NAT pour les zones d’atterrissage en ligne ou les zones d’atterrissage non connectées au réseau virtuel hub. Les ressources de calcul qui ont besoin d’un accès Internet sortant et qui n’ont pas besoin de la sécurité du Pare-feu Azure standard ou Premium, ou d’une appliance virtuelle réseau tierce, peuvent utiliser des zones d’atterrissage en ligne.

  • Configurez des fournisseurs de sécurité SaaS de partenaire pris en charge dans Firewall Manager si votre organisation souhaite utiliser de telles solutions pour protéger les connexions sortantes.

  • Si vous utilisez des appliances virtuelles réseau partenaires pour la protection et le filtrage du trafic est-ouest ou nord-sud :

    • Pour les topologies de réseau Virtual WAN, déployez les appliances virtuelles réseau sur un réseau virtuel distinct. Connectez le réseau virtuel au hub Virtual WAN régional et aux zones d’atterrissage qui doivent accéder aux appliances virtuelles réseau. Pour plus d’informations, consultez Scénario : Acheminer le trafic via une appliance virtuelle réseau.
    • Pour les topologies de réseau autres que Virtual WAN, déployez les appliances virtuelles réseau de partenaires dans le réseau virtuel hub central.

  • N’exposez pas les ports de gestion des machines virtuelles sur Internet. Pour les tâches de gestion :

    • Utilisez Azure Policy pour empêcher la création de machines virtuelles avec des IP publiques.
    • Utilisez Azure Bastion pour accéder aux machines virtuelles de rebond (jumpbox).

  • Utilisez des plans de protection Azure DDoS Protection pour protéger les points de terminaison publics que vous hébergez à l’intérieur de vos réseaux virtuels.

  • N’essayez pas de répliquer les architectures et les concepts du réseau de périmètre local dans Azure. Bien qu’Azure dispose de fonctionnalités de sécurité similaires, l’implémentation et l’architecture sont adaptées au cloud.