Vue d’ensemble de la sécurité du réseau AzureAzure network security overview

La sécurité du réseau pourrait être définie comme le processus de protection des ressources contre les accès non autorisés ou les attaques en appliquant des contrôles au trafic réseau.Network security could be defined as the process of protecting resources from unauthorized access or attack by applying controls to network traffic. L’objectif est de vous assurer que seul le trafic légitime est autorisé.The goal is to ensure that only legitimate traffic is allowed. Azure inclut une infrastructure réseau solide pour prendre en charge les exigences de connectivité de vos applications et services.Azure includes a robust networking infrastructure to support your application and service connectivity requirements. La connectivité réseau est possible entre les ressources hébergées dans Azure, entre les ressources hébergées sur site et dans Azure, mais aussi vers et à partir d’Internet et d’Azure.Network connectivity is possible between resources located in Azure, between on-premises and Azure hosted resources, and to and from the internet and Azure.

Cet article explique quelques options que propose Azure dans le domaine de la sécurité du réseau.This article covers some of the options that Azure offers in the area of network security. Vous en apprendrez plus sur :You can learn about:

  • Mise en réseau AzureAzure networking
  • Contrôle d’accès réseauNetwork access control
  • Pare-feu AzureAzure Firewall
  • Accès à distance sécurisé et connectivité intersiteSecure remote access and cross-premises connectivity
  • DisponibilitéAvailability
  • Résolution de nomsName resolution
  • Architecture (DMZ) du réseau de périmètrePerimeter network (DMZ) architecture
  • Protection DDoS dans AzureAzure DDoS protection
  • Azure Front DoorAzure Front Door
  • Traffic ManagerTraffic manager
  • Surveillance et détection des menacesMonitoring and threat detection

Mise en réseau AzureAzure networking

Azure a besoin que les machines virtuelles soient connectées à un réseau virtuel Azure.Azure requires virtual machines to be connected to an Azure Virtual Network. Un réseau virtuel est une construction logique basée sur le réseau physique Azure.A virtual network is a logical construct built on top of the physical Azure network fabric. Chaque réseau privé est isolé de tous les autres réseaux virtuels.Each virtual network is isolated from all other virtual networks. Cela permet de s’assurer que le trafic réseau dans vos déploiements n’est pas accessible aux autres clients Azure.This helps ensure that network traffic in your deployments is not accessible to other Azure customers.

En savoir plus :Learn more:

Contrôle d’accès réseauNetwork access control

Le contrôle d’accès réseau consiste à limiter la connectivité vers et depuis certains appareils ou sous-réseaux au sein d’un réseau virtuel.Network access control is the act of limiting connectivity to and from specific devices or subnets within a virtual network. L’objectif du contrôle d’accès réseau est de limiter l’accès à vos machines virtuelles et services aux seuls utilisateurs et appareils approuvés.The goal of network access control is to limit access to your virtual machines and services to approved users and devices. Les contrôles d’accès sont basés sur la décision d’autoriser ou de refuser la connexion vers et depuis votre machine virtuelle ou votre service.Access controls are based on decisions to allow or deny connections to and from your virtual machine or service.

Azure prend en charge plusieurs types de contrôle d’accès réseau, tels que :Azure supports several types of network access control, such as:

  • Contrôle de la couche réseauNetwork layer control
  • Contrôle du routage et tunneling forcéRoute control and forced tunneling
  • Appliances de sécurité de réseau virtuelVirtual network security appliances

Contrôle de la couche réseauNetwork layer control

Tout déploiement sécurisé requiert certaines mesures de contrôle d’accès réseau.Any secure deployment requires some measure of network access control. L’objectif du contrôle d’accès réseau est de restreindre les communications des machines virtuelles aux systèmes nécessaires.The goal of network access control is to restrict virtual machine communication to the necessary systems. Les autres tentatives de communication sont bloquées.Other communication attempts are blocked.

Notes

Les pare-feux de stockage sont détaillés dans l’article Vue d’ensemble des fonctionnalités de sécurité du stockage AzureStorage Firewalls are covered in the Azure storage security overview article

Règles de sécurité réseau (NSG)Network security rules (NSGs)

Si vous avez besoin d’un contrôle d’accès au niveau du réseau de base (reposant sur l’adresse IP et les protocoles TCP ou UDP), vous pouvez utiliser des groupes de sécurité réseau (NSG).If you need basic network level access control (based on IP address and the TCP or UDP protocols), you can use Network Security Groups (NSGs). Un NSG est un pare-feu de filtrage des paquets avec état qui vous permet de contrôler l’accès sur la base d’un algorithme à 5 tuples.An NSG is a basic, stateful, packet filtering firewall, and it enables you to control access based on a 5-tuple. Les NSG incluent des fonctionnalités permettant de simplifier la gestion et réduire les risques d’erreurs de configuration :NSGs include functionality to simplify management and reduce the chances of configuration mistakes:

  • Les règles de sécurité augmentée simplifient la définition des règles de NSG et vous permettent de créer des règles complexes plutôt que de devoir créer plusieurs règles simples pour obtenir le même résultat.Augmented security rules simplify NSG rule definition and allow you to create complex rules rather than having to create multiple simple rules to achieve the same result.
  • Les balises de service sont des étiquettes créées par Microsoft qui représentent un groupe d’adresses IP.Service tags are Microsoft created labels that represent a group of IP addresses. Elles sont mises à jour de façon dynamique pour inclure des plages d’adresses IP qui remplissent les conditions définissant l’inclusion dans l’étiquette.They update dynamically to include IP ranges that meet the conditions that define inclusion in the label. Par exemple, si vous souhaitez créer une règle qui s’applique à tout le stockage Azure sur la région est des États-Unis, vous pouvez utiliser Storage.EastUSFor example, if you want to create a rule that applies to all Azure storage on the east region you can use Storage.EastUS
  • Les groupes de sécurité d’application vous permettent de déployer des ressources aux groupes d’application et de contrôler l’accès à ces ressources en créant des règles qui utilisent ces groupes d’applications.Application security groups allow you to deploy resources to application groups and control the access to those resources by creating rules that use those application groups. Par exemple, si vous disposez de serveurs web déployés sur le groupe d’applications « Webservers », vous pouvez créer une règle qui s’applique à un NSG, autorisant le trafic 443 d’Internet à tous les systèmes dans le groupe d’applications « Webservers ».For example, if you have webservers deployed to the 'Webservers' application group you can create a rule that applies a NSG allowing 443 traffic from the Internet to all systems in the 'Webservers' application group.

Les groupes de sécurité réseau n’effectuent pas d’inspection de la couche d’application ni de contrôles d’accès authentifiés.NSGs do not provide application layer inspection or authenticated access controls.

En savoir plus :Learn more:

Accès juste-à-temps aux machines virtuelles pour ASCASC just in time VM access

Le Centre de sécurité Azure gère les NSG sur les machines virtuelles et verrouillent l’accès à la machine virtuelle jusqu’à ce qu’un utilisateur avec les permissions de contrôle d’accès en fonction du rôle (RBAC) appropriées demande l’accès.Azure security center can manage the NSGs on VMs and lock access to the VM until a user with the appropriate role-based access control RBAC permissions requests access. Quand l’utilisateur est autorisé avec succès, ASC modifie les NSG pour autoriser l’accès aux ports sélectionnés pendant la durée spécifiée.When the user is successfully authorized ASC makes modifications to the NSGs to allow access to selected ports for the time specified. Passé ce délai, les NSG sont restaurés à leur état sécurisé précédent.When the time expires the NSGs are restored to their previous secured state.

En savoir plus :Learn more:

Points de terminaison de serviceService endpoints

Les points de terminaison de service sont un autre moyen d’appliquer un contrôle sur votre trafic.Service endpoints are another way to apply control over your traffic. Vous pouvez limiter la communication avec les services pris en charge à vos réseaux virtuels uniquement via une connexion directe.You can limit communication with supported services to just your VNets over a direct connection. Le trafic de votre réseau virtuel vers le service Azure spécifié reste sur le réseau principal Microsoft Azure.Traffic from your VNet to the specified Azure service remains on the Microsoft Azure backbone network.

En savoir plus :Learn more:

Contrôle du routage et tunneling forcéRoute control and forced tunneling

Il est essentiel de pouvoir contrôler le comportement du routage sur vos réseaux virtuels.The ability to control routing behavior on your virtual networks is critical. Si le routage n’est pas configuré correctement, les applications et les services hébergés sur votre machine virtuelle risquent de se connecter à des appareils non autorisés, y compris les systèmes détenus et utilisés par des personnes malveillantes potentielles.If routing is configured incorrectly, applications and services hosted on your virtual machine might connect to unauthorized devices, including systems owned and operated by potential attackers.

La mise en réseau Azure permet de personnaliser le comportement de routage du trafic réseau sur vos réseaux virtuels.Azure networking supports the ability to customize the routing behavior for network traffic on your virtual networks. Vous pouvez ainsi modifier les entrées de la table de routage par défaut dans votre réseau virtuel.This enables you to alter the default routing table entries in your virtual network. Le contrôle du comportement de routage vous permet de vous assurer que tout le trafic en provenance d’un appareil ou d’un groupe d’appareils donné entre ou quitte votre réseau virtuel par un point spécifique.Control of routing behavior helps you make sure that all traffic from a certain device or group of devices enters or leaves your virtual network through a specific location.

Par exemple, vous pouvez disposer d’une appliance de sécurité de réseau virtuel sur votre réseau virtuel.For example, you might have a virtual network security appliance on your virtual network. Vous voulez vous assurer que tout le trafic vers et depuis votre réseau virtuel passe par cette appliance de sécurité virtuelle.You want to make sure that all traffic to and from your virtual network goes through that virtual security appliance. Pour ce faire, vous pouvez configurer des itinéraires définis par l’utilisateur (UDR) dans Azure.You can do this by configuring User Defined Routes (UDRs) in Azure.

Le tunneling forcé est un mécanisme que vous pouvez utiliser pour empêcher vos services de se connecter aux appareils sur Internet.Forced tunneling is a mechanism you can use to ensure that your services are not allowed to initiate a connection to devices on the internet. Par contre, cela n’empêche pas les services d’accepter des connexions entrantes ni d’y répondre.Note that this is different from accepting incoming connections and then responding to them. Les serveurs web frontaux doivent pouvoir répondre aux demandes provenant d’hôtes Interne, ce qui explique pourquoi le trafic Internet est autorisé à entrer sur ces serveurs web et pourquoi les serveurs web sont autorisés à y répondre.Front-end web servers need to respond to requests from internet hosts, and so internet-sourced traffic is allowed inbound to these web servers and the web servers are allowed to respond.

Un serveur web frontal ne doit par contre pas pouvoir initier une requête sortante.What you don't want to allow is a front-end web server to initiate an outbound request. Une telle requête pourrait représenter un risque de sécurité car ces connexions peuvent être utilisées pour télécharger des programmes malveillants.Such requests might represent a security risk because these connections can be used to download malware. Même si vous voulez autoriser ces serveurs frontaux à initier des requêtes sortantes vers Internet, vous pourriez les obliger à passer par les serveurs proxy web locaux.Even if you do want these front-end servers to initiate outbound requests to the internet, you might want to force them to go through your on-premises web proxies. Ainsi, vous pouvez utiliser les fonctionnalités de journalisation et de filtrage des URL.This enables you to take advantage of URL filtering and logging.

Pour éviter ce problème, vous pouvez donc utiliser le tunneling forcé.Instead, you would want to use forced tunneling to prevent this. Lorsque vous activez le tunneling forcé, toutes les connexions à Internet passent obligatoirement par votre passerelle locale.When you enable forced tunneling, all connections to the internet are forced through your on-premises gateway. Vous pouvez configurer le tunneling forcé en utilisant les UDR.You can configure forced tunneling by taking advantage of UDRs.

En savoir plus :Learn more:

Appliances de sécurité de réseau virtuelVirtual network security appliances

Les NSG, les UDR et le tunneling forcé vous offrent une sécurité au niveau des couches réseau et transport du modèle OSI, mais vous pouvez aussi étendre la sécurité au-delà de la couche réseau.While NSGs, UDRs, and forced tunneling provide you a level of security at the network and transport layers of the OSI model, you might also want to enable security at levels higher than the network.

Vos besoins en matière de sécurité peuvent inclure :For example, your security requirements might include:

  • Des fonctionnalités d’authentification et d’autorisation régissant l’accès à votre applicationAuthentication and authorization before allowing access to your application
  • La détection et la gestion des intrusionsIntrusion detection and intrusion response
  • Une inspection de la couche d’application pour les protocoles de niveau supérieurApplication layer inspection for high-level protocols
  • Un filtrage des URLURL filtering
  • Un logiciel anti-programme malveillant et antivirus au niveau du réseauNetwork level antivirus and Antimalware
  • Une protection anti-robotAnti-bot protection
  • Un contrôle d’accès aux applicationsApplication access control
  • Une protection DDoS supplémentaire (en supplément de la protection DDoS assurée par la structure Azure)Additional DDoS protection (above the DDoS protection provided by the Azure fabric itself)

Ces fonctionnalités avancées de sécurité réseau peuvent être mises en œuvre via une solution de partenaire Azure.You can access these enhanced network security features by using an Azure partner solution. Pour connaître les dernières solutions de sécurité réseau des partenaires Azure, rendez-vous sur la Place de marché Azure et effectuez une recherche sur les mots clés « sécurité » et « sécurité réseau ».You can find the most current Azure partner network security solutions by visiting the Azure Marketplace, and searching for "security" and "network security."

Pare-feu AzureAzure Firewall

Pare-feu Azure est un service de sécurité réseau informatique géré qui protège vos ressources Réseau virtuel Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Il s’agit d’un service de pare-feu entièrement avec état, pourvu d’une haute disponibilité intégrée et de l’extensibilité du cloud sans limites.It is a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability. Cette API offre les fonctionnalités suivantes :Some features include:

  • Haute disponibilitéHigh availability
  • Extensibilité du cloudCloud scalability
  • Règles de filtrage des noms de domaine complets de l’applicationApplication FQDN filtering rules
  • Règles de filtrage du trafic réseauNetwork traffic filtering rules

En savoir plus :Learn more:

Accès à distance sécurisé et connectivité intersiteSecure remote access and cross-premises connectivity

Imaginons que vous deviez installer, configurer et gérer vos ressources Azure à distance.Setup, configuration, and management of your Azure resources needs to be done remotely. Vous pouvez également déployer des solutions informatiques hybrides avec des composants hébergés localement et dans le cloud public Azure.In addition, you might want to deploy hybrid IT solutions that have components on-premises and in the Azure public cloud. Ces scénarios nécessitent un accès à distance sécurisé.These scenarios require secure remote access.

La mise en réseau Azure prend en charge les scénarios d’accès à distance sécurisé suivants :Azure networking supports the following secure remote access scenarios:

  • Connecter des stations de travail à un réseau virtuelConnect individual workstations to a virtual network
  • Connecter votre réseau local à un réseau virtuel à l’aide d’un VPNConnect your on-premises network to a virtual network with a VPN
  • Connecter votre réseau local à un réseau virtuel à l’aide d’une liaison réseau étendu dédiéeConnect your on-premises network to a virtual network with a dedicated WAN link
  • Connecter des réseaux virtuels entre euxConnect virtual networks to each other

Connecter des stations de travail à un réseau virtuelConnect individual workstations to a virtual network

Vous pouvez permettre à des développeurs ou à des membres du personnel d’exploitation de gérer les machines virtuelles et les services dans Azure.You might want to enable individual developers or operations personnel to manage virtual machines and services in Azure. Par exemple, supposons que vous devez accéder à une machine virtuelle sur un réseau virtuel.For example, let's say you need access to a virtual machine on a virtual network. Mais votre stratégie de sécurité n’autorise pas l’accès RDP ou SSH à distance pour les machines virtuelles individuelles.But your security policy does not allow RDP or SSH remote access to individual virtual machines. Dans ce cas, vous pouvez utiliser une connexion VPN point à site.In this case, you can use a point-to-site VPN connection.

La connexion VPN point à site vous permet de configurer une connexion privée et sécurisée entre l’utilisateur et le réseau virtuel.The point-to-site VPN connection enables you to set up a private and secure connection between the user and the virtual network. Une fois la connexion VPN établie, l’utilisateur peut utiliser le protocole RDP ou SSH sur la liaison VPN pour se connecter à une machine virtuelle sur le réseau virtuel.When the VPN connection is established, the user can RDP or SSH over the VPN link into any virtual machine on the virtual network. (En supposant que l’utilisateur peut s’authentifier et qu’il est autorisé à se connecter.) La connexion VPN point à site assure les prises en charge suivantes :(This assumes that the user can authenticate and is authorized.) Point-to-site VPN supports:

  • Le Protocole SSTP (Secure Socket Tunneling Protocol) est un protocole propriétaire VPN basé sur le protocole SSL.Secure Socket Tunneling Protocol (SSTP), a proprietary SSL-based VPN protocol. Une solution VPN SSL peut pénétrer des pare-feux puisque la plupart des pare-feux ouvrent le port TCP 443 utilisé par le protocole SSL.An SSL VPN solution can penetrate firewalls, since most firewalls open TCP port 443, which SSL uses. SSTP est pris en charge sur les appareils Windows uniquement.SSTP is only supported on Windows devices. Azure prend en charge toutes les versions de Windows disposant de SSTP (Windows 7 et versions ultérieures).Azure supports all versions of Windows that have SSTP (Windows 7 and later).

  • Un VPN IKEv2 est une solution VPN IPsec basée sur des normes.IKEv2 VPN, a standards-based IPsec VPN solution. Un VPN IKEv2 peut être utilisé pour se connecter à partir d’appareils Mac (OSX 10.11 et versions ultérieures).IKEv2 VPN can be used to connect from Mac devices (OSX versions 10.11 and above).

  • OpenVPNOpenVPN

En savoir plus :Learn more:

Connecter votre réseau local à un réseau virtuel à l’aide d’un VPNConnect your on-premises network to a virtual network with a VPN

Imaginons que vous souhaitiez connecter l’ensemble ou une partie de votre réseau d’entreprise à un réseau virtuel.You might want to connect your entire corporate network, or portions of it, to a virtual network. Il s’agit d’un scénario d’informatique hybride courant dans lequel les organisations étendent leur centre de données local dans Azure.This is common in hybrid IT scenarios, where organizations extend their on-premises datacenter into Azure. Dans de nombreux cas, les organisations hébergent une partie du service dans Azure et une partie en local,In many cases, organizations host parts of a service in Azure, and parts on-premises. par exemple lorsque la solution comprend des serveurs web frontaux dans Azure et des bases de données principales locales.For example,they might do so when a solution includes front-end web servers in Azure and back-end databases on-premises. Ces types de connexions « intersite » offrent une gestion plus sécurisée des ressources hébergées dans Azure et prennent en charge des scénarios tels que l’extension des contrôleurs de domaine Active Directory dans Azure.These types of "cross-premises" connections also make management of Azure located resources more secure, and enable scenarios such as extending Active Directory domain controllers into Azure.

Pour ce faire, vous pouvez utiliser un VPN de site à site.One way to accomplish this is to use a site-to-site VPN. La différence entre un VPN de site à site et un VPN de point à site est que ce dernier connecte un seul appareil à un réseau virtuel.The difference between a site-to-site VPN and a point-to-site VPN is that the latter connects a single device to a virtual network. Un VPN de site à site connecte un réseau entier (par exemple, votre réseau local) à un réseau virtuel.A site-to-site VPN connects an entire network (such as your on-premises network) to a virtual network. Une connexion VPN de site à site vers un réseau virtuel utilise le protocole VPN hautement sécurisé en mode de tunneling IPsec.Site-to-site VPNs to a virtual network use the highly secure IPsec tunnel mode VPN protocol.

En savoir plus :Learn more:

Les connexions VPN de point à site et de site à site offrent une véritable connectivité intersite.Point-to-site and site-to-site VPN connections are effective for enabling cross-premises connectivity. Toutefois, certaines organisations leur reconnaissent les inconvénients suivants :However, some organizations consider them to have the following drawbacks:

  • Les connexions VPN déplacent les données sur Internet.VPN connections move data over the internet. Les connexions s’exposent ainsi à des risques de sécurité liés au déplacement de données sur un réseau public.This exposes these connections to potential security issues involved with moving data over a public network. En outre, il est impossible de garantir la fiabilité et la disponibilité des connexions Internet.In addition, reliability and availability for internet connections cannot be guaranteed.
  • La bande passante des connexions VPN aux réseaux virtuels, limitée à environ 200 Mbits/s, est parfois insuffisante pour certaines applications et utilisations.VPN connections to virtual networks might not have the bandwidth for some applications and purposes, as they max out at around 200 Mbps.

Les organisations qui ont besoin du plus haut niveau de disponibilité et de sécurité pour leurs connexions intersites utilisent généralement des liaisons réseau étendu dédiées pour se connecter à des sites distants.Organizations that need the highest level of security and availability for their cross-premises connections typically use dedicated WAN links to connect to remote sites. Azure vous permet d’utiliser une liaison réseau étendu dédiée pour connecter votre réseau local à un réseau virtuel.Azure provides you the ability to use a dedicated WAN link that you can use to connect your on-premises network to a virtual network. Azure ExpressRoute, ExpressRoute Direct et ExpressRoute Global Reach permettent d’utiliser cette fonctionnalité.Azure ExpressRoute, Express route direct, and Express route global reach enable this.

En savoir plus :Learn more:

Connecter des réseaux virtuels entre euxConnect virtual networks to each other

Il est possible d’utiliser plusieurs réseaux virtuels dans vos déploiements.It is possible to use many virtual networks for your deployments. Plusieurs raisons peuvent vous pousser à le faire,There are various reasons why you might do this. comme la volonté de simplifier la gestion ou de renforcer la sécurité.You might want to simplify management, or you might want increased security. Quelle que soit la raison pour laquelle vous placez des ressources sur différents réseaux virtuels, vous voudrez peut-être, à un moment donné, connecter entre elles les ressources hébergées sur les différents réseaux.Regardless of the motivation for putting resources on different virtual networks, there might be times when you want resources on each of the networks to connect with one another.

Une option est de connecter les services d’un réseau virtuel aux services d’un autre réseau virtuel en effectuant un « retour de boucle » via Internet.One option is for services on one virtual network to connect to services on another virtual network, by "looping back" through the internet. La connexion part d’un réseau virtuel, passe par Internet, puis revient au réseau virtuel de destination.The connection starts on one virtual network, goes through the internet, and then comes back to the destination virtual network. Cette option expose la connexion aux risques de sécurité inhérents à toute communication Internet.This option exposes the connection to the security issues inherent in any internet-based communication.

Une meilleure option consiste à créer un VPN de site à site qui se connecte entre deux réseaux virtuels.A better option might be to create a site-to-site VPN that connects between two virtual networks. Cette méthode utilise le même protocole de mode de tunneling IPsec que la connexion VPN de site à site mentionnée ci-dessus.This method uses the same IPSec tunnel mode protocol as the cross-premises site-to-site VPN connection mentioned above.

L’avantage d’utiliser cette approche est que la connexion VPN est établie via l’infrastructure réseau Azure et non via Internet.The advantage of this approach is that the VPN connection is established over the Azure network fabric, instead of connecting over the internet. Vous bénéficiez ainsi d’un meilleur niveau de sécurité par rapport à une connexion VPN de site à site basée sur Internet.This provides you an extra layer of security, compared to site-to-site VPNs that connect over the internet.

En savoir plus :Learn more:

Une autre façon de connecter vos réseaux virtuels est le peering VNET.Another way to connect your virtual networks is VNET peering. Cette fonctionnalité vous permet de connecter deux réseaux Azure afin que la communication entre eux s’effectue sur l’infrastructure principale Microsoft sans jamais passer par Internet.This feature allows you to connect two Azure networks so that communication between them happens over the Microsoft backbone infrastructure without it ever going over the Internet. Le peering VNET peut connecter deux réseaux virtuels au sein de la même région ou de régions Azure différentes.VNET peering can connect two VNETs within the same region or two VNETs across Azure regions. Les NSG peuvent servir à limiter la connectivité entre les différents sous-réseaux ou systèmes.NSGs can be used to limit connectivity between different subnets or systems.

DisponibilitéAvailability

La disponibilité est au cœur de tout programme de sécurité.Availability is a key component of any security program. Si vos utilisateurs et les systèmes ne peuvent pas accéder à ce dont ils ont besoin via le réseau, le service peut être considéré comme compromis.If your users and systems can't access what they need to access over the network, the service can be considered compromised. Azure propose des technologies de mise en réseau qui prennent en charge les mécanismes de haute disponibilité suivants :Azure has networking technologies that support the following high-availability mechanisms:

  • Équilibrage de charge basé sur HTTPHTTP-based load balancing
  • Équilibrage de charge au niveau du réseauNetwork level load balancing
  • Équilibrage de charge globalGlobal load balancing

L’équilibrage de charge est un mécanisme conçu pour répartir équitablement les connexions entre plusieurs appareils.Load balancing is a mechanism designed to equally distribute connections among multiple devices. Il a plusieurs objectifs :The goals of load balancing are:

  • Augmenter la disponibilité.To increase availability. Lorsque vous équilibrez la charge des connexions sur plusieurs appareils, l’indisponibilité d’un ou plusieurs appareils ne compromet pas le service.When you load balance connections across multiple devices, one or more of the devices can become unavailable without compromising the service. Les services exécutés sur les appareils toujours en ligne continuent à fournir le contenu du service.The services running on the remaining online devices can continue to serve the content from the service.
  • Améliorer les performances.To increase performance. Lorsque vous équilibrez la charge des connexions sur plusieurs appareils, l’ensemble des appareils prennent en charge le traitement.When you load balance connections across multiple devices, a single device doesn't have to handle all processing. Les requêtes de traitement et de mémoire pour distribuer le contenu sont ainsi réparties sur plusieurs appareils.Instead, the processing and memory demands for serving the content is spread across multiple devices.

Équilibrage de charge basé sur HTTPHTTP-based load balancing

Les organisations qui exécutent des services basés sur le web privilégient souvent un équilibreur de charge basé sur HTTP.Organizations that run web-based services often desire to have an HTTP-based load balancer in front of those web services. Cela permet de garantir des niveaux de haute disponibilité et de performance suffisants pour ces services.This helps ensure adequate levels of performance and high availability. Les équilibreurs de charge classiques basés sur le réseau s’appuient sur des protocoles de couche réseau et transport.Traditional, network-based load balancers rely on network and transport layer protocols. Les équilibreurs de charge basés sur HTTP, quant à eux, répartissent la charge en fonction des caractéristiques du protocole HTTP.HTTP-based load balancers, on the other hand, make decisions based on characteristics of the HTTP protocol.

La passerelle Azure Application Gateway vous permet de mettre en place un équilibrage de charge basé sur HTTP pour vos services basés sur le web.Azure Application Gateway provides HTTP-based load balancing for your web-based services. Application Gateway prend en charge :Application Gateway supports:

  • L’affinité de session basée sur les cookies.Cookie-based session affinity. Cette fonctionnalité permet de s’assurer que les connexions établies avec l’un des serveurs situé derrière l’équilibreur de charge restent opérationnelles entre le client et le serveur.This capability makes sure that connections established to one of the servers behind that load balancer stays intact between the client and server. La stabilité des transactions est ainsi garantie.This ensures stability of transactions.
  • Le déchargement SSL.SSL offload. Lorsqu’un client se connecte avec l’équilibreur de charge, cette session est chiffrée à l’aide du protocole HTTPS (SSL).When a client connects with the load balancer, that session is encrypted by using the HTTPS (SSL) protocol. Toutefois, afin d’améliorer les performances, vous pouvez utiliser le protocole HTTP (non chiffré) pour la connexion entre l’équilibreur de charge et le serveur web situé derrière l’équilibreur de charge.However, in order to increase performance, you can use the HTTP (unencrypted) protocol to connect between the load balancer and the web server behind the load balancer. C’est le principe du « déchargement SSL ». En effet, les serveurs web situés derrière l’équilibreur de charge ne sont pas affectés par la surcharge de traitement inhérente au chiffrement.This is referred to as "SSL offload," because the web servers behind the load balancer don't experience the processor overhead involved with encryption. Les serveurs web peuvent donc traiter les demandes plus rapidement.The web servers can therefore service requests more quickly.
  • Le routage du contenu basé sur l’URL.URL-based content routing. Cette fonctionnalité permet à l’équilibreur de charge de répartir les connexions en fonction de l’URL cible.This feature makes it possible for the load balancer to make decisions about where to forward connections based on the target URL. Cela offre une plus grande flexibilité que les solutions qui répartissent la charge en fonction des adresses IP.This provides a lot more flexibility than solutions that make load balancing decisions based on IP addresses.

En savoir plus :Learn more:

Équilibrage de charge au niveau du réseauNetwork level load balancing

Contrairement à l’équilibrage de charge basé sur HTTP, l’équilibrage de charge au niveau du réseau effectue la répartition en fonction des adresses IP et des numéros de port (TCP ou UDP).In contrast to HTTP-based load balancing, network level load balancing makes decisions based on IP address and port (TCP or UDP) numbers. Pour bénéficier des avantages de l’équilibrage de charge au niveau du réseau, vous pouvez utiliser l’équilibreur de charge Azure Load Balancer.You can gain the benefits of network level load balancing in Azure by using Azure Load Balancer. Voici ses principales caractéristiques :Some key characteristics of Load Balancer include:

  • Équilibrage de charge au niveau du réseau basé sur les adresses IP et les numéros de port.Network level load balancing based on IP address and port numbers.
  • Prise en charge de l’ensemble des protocoles de couche d’application.Support for any application layer protocol.
  • Répartition de la charge sur les instances de rôle de services cloud et de machines virtuelles Azure.Load balances to Azure virtual machines and cloud services role instances.
  • Peut être utilisé à la fois pour les applications et les machines virtuelles accessibles sur Internet (équilibrage de charge externe) et non accessibles sur Internet (équilibrage de charge interne).Can be used for both internet-facing (external load balancing) and non-internet facing (internal load balancing) applications and virtual machines.
  • Surveillance de point de terminaison, utilisée pour déterminer si l’un des services situés derrière l’équilibreur de charge n’est plus disponible.Endpoint monitoring, which is used to determine if any of the services behind the load balancer have become unavailable.

En savoir plus :Learn more:

Équilibrage de charge globalGlobal load balancing

Certaines organisations souhaitent bénéficier du plus haut niveau de disponibilité possible.Some organizations want the highest level of availability possible. Pour y parvenir, une option consiste à héberger les applications dans des centres de données répartis dans le monde entier.One way to reach this goal is to host applications in globally distributed datacenters. Lorsqu’une application est hébergée dans des centres de données répartis dans le monde entier, celle-ci reste opérationnelle même si une région géopolitique entière devient indisponible.When an application is hosted in datacenters located throughout the world, it's possible for an entire geopolitical region to become unavailable, and still have the application up and running.

Cette stratégie d’équilibrage de charge peut également contribuer à améliorer les performances.This load-balancing strategy can also yield performance benefits. Vous pouvez diriger les demandes du service vers le centre de données le plus proche de l’appareil effectuant la requête.You can direct requests for the service to the datacenter that is nearest to the device that is making the request.

Pour bénéficier des avantages de l’équilibrage de charge global, vous pouvez utiliser Azure Traffic Manager.In Azure, you can gain the benefits of global load balancing by using Azure Traffic Manager.

En savoir plus :Learn more:

Résolution de nomsName resolution

La résolution de noms est une fonctionnalité essentielle pour tous les services que vous hébergez dans Azure.Name resolution is a critical function for all services you host in Azure. En effet, une résolution de noms sécurisée permet d’éviter qu’un cybercriminel ne redirige les requêtes de vos sites vers un site malveillant.From a security perspective, compromise of the name resolution function can lead to an attacker redirecting requests from your sites to an attacker's site. Une résolution de noms sécurisée est donc requise pour tous vos services hébergés dans le cloud.Secure name resolution is a requirement for all your cloud hosted services.

Il existe deux types de résolution de noms :There are two types of name resolution you need to address:

  • Résolution de noms interne.Internal name resolution. Elle est utilisée par les services sur vos réseaux virtuels, vos réseaux locaux ou les deux.This is used by services on your virtual networks, your on-premises networks, or both. Les noms utilisés pour la résolution de noms interne ne sont pas accessibles sur Internet.Names used for internal name resolution are not accessible over the internet. Pour une sécurité optimale, votre schéma de résolution de noms interne ne doit pas être accessible aux utilisateurs externes.For optimal security, it's important that your internal name resolution scheme is not accessible to external users.
  • Résolution de noms externe.External name resolution. Elle est utilisée par les personnes et les appareils extérieurs à vos réseaux locaux et à vos réseaux virtuels.This is used by people and devices outside of your on-premises networks and virtual networks. Les noms sont visibles sur Internet et utilisés pour établir la connexion avec vos services basés dans le cloud.These are the names that are visible to the internet, and are used to direct connection to your cloud-based services.

Pour la résolution de noms interne, vous avez deux options :For internal name resolution, you have two options:

  • Serveur DNS du réseau virtuel.A virtual network DNS server. Lorsque vous créez un réseau virtuel, un serveur DNS est créé pour vous.When you create a new virtual network, a DNS server is created for you. Ce serveur DNS peut résoudre les noms des machines hébergées sur ce réseau virtuel.This DNS server can resolve the names of the machines located on that virtual network. Ce serveur DNS n’est pas configurable, est géré par le gestionnaire de structure Azure et peut donc protéger votre solution de résolution de noms.This DNS server is not configurable, is managed by the Azure fabric manager, and can therefore help you secure your name resolution solution.
  • Définissez votre propre serveur DNS.Bring your own DNS server. Vous avez la possibilité d’ajouter un serveur DNS de votre choix sur votre réseau virtuel.You have the option of putting a DNS server of your own choosing on your virtual network. Ce serveur DNS peut être un serveur DNS intégré à Active Directory, ou une solution de serveur DNS dédiée fournie par un partenaire Azure et que vous pouvez obtenir à partir de la Place de marché Microsoft Azure.This DNS server can be an Active Directory integrated DNS server, or a dedicated DNS server solution provided by an Azure partner, which you can obtain from the Azure Marketplace.

En savoir plus :Learn more:

Pour la résolution de noms externe, vous avez deux options :For external name resolution, you have two options:

  • Héberger votre propre serveur DNS externe en local.Host your own external DNS server on-premises.
  • Héberger votre propre serveur DNS externe via un fournisseur de services.Host your own external DNS server with a service provider.

Les grandes organisations préfèrent généralement héberger leurs serveurs DNS en local.Many large organizations host their own DNS servers on-premises. Elles peuvent le faire car elles disposent des connaissances en mise en réseau et de la présence mondiale requises.They can do this because they have the networking expertise and global presence to do so.

Dans la plupart des cas, il est préférable de faire appel à un fournisseur de services pour héberger vos services de résolution de noms DNS.In most cases, it's better to host your DNS name resolution services with a service provider. Ces fournisseurs de services possèdent les connaissances en mise en réseau et la présence mondiale pour garantir une très haute disponibilité à vos services de résolution de noms.These service providers have the network expertise and global presence to ensure very high availability for your name resolution services. La disponibilité est essentielle pour les services DNS, car si vos services de résolution de noms deviennent indisponibles, personne ne pourra se connecter à vos services accessibles sur Internet.Availability is essential for DNS services, because if your name resolution services fail, no one will be able to reach your internet facing services.

Azure vous propose une solution DNS externe à haute disponibilité et très performante, connue sous le nom d’Azure DNS.Azure provides you with a highly available and high-performing external DNS solution in the form of Azure DNS. Cette solution de résolution de noms externe repose sur l’infrastructure DNS Azure mondiale.This external name resolution solution takes advantage of the worldwide Azure DNS infrastructure. Elle vous permet d’héberger votre domaine dans Azure en utilisant les mêmes informations d’identification, API, outils et services de facturation que pour vos autres services Azure.It allows you to host your domain in Azure, using the same credentials, APIs, tools, and billing as your other Azure services. Elle intègre également les contrôles de sécurité performants de la plateforme.As part of Azure, it also inherits the strong security controls built into the platform.

En savoir plus :Learn more:

Architecture du réseau de périmètrePerimeter network architecture

De nombreuses organisations utilisent les réseaux de périmètre pour segmenter leurs réseaux et créer une zone de mémoire tampon entre Internet et leurs services.Many large organizations use perimeter networks to segment their networks, and create a buffer-zone between the internet and their services. La partie périmètre du réseau est considérée comme une zone de sécurité faible qui n’héberge aucune ressource de valeur.The perimeter portion of the network is considered a low-security zone, and no high-value assets are placed in that network segment. Généralement, les appareils de sécurité du réseau ayant une interface réseau sur le segment du réseau de périmètre sont visibles.You'll typically see network security devices that have a network interface on the perimeter network segment. Une autre interface réseau est connectée à un réseau comportant des machines virtuelles et des services qui acceptent les connexions entrantes à partir d’Internet.Another network interface is connected to a network that has virtual machines and services that accept inbound connections from the internet.

Vous pouvez concevoir des réseaux de périmètre de différentes manières.You can design perimeter networks in a number of different ways. En fonction de vos exigences de sécurité du réseau, vous pouvez décider ou non de déployer un réseau de périmètre et choisir le type de réseau de périmètre à utiliser le cas échéant.The decision to deploy a perimeter network, and then what type of perimeter network to use if you decide to use one, depends on your network security requirements.

En savoir plus :Learn more:

Protection DDoS dans AzureAzure DDoS protection

Les attaques par déni de service distribué (DDoS) représentent certains des problèmes de disponibilité et de sécurité majeurs auxquels sont confrontés les clients qui déplacent leurs applications vers le cloud.Distributed denial of service (DDoS) attacks are some of the largest availability and security concerns facing customers that are moving their applications to the cloud. Une attaque DDoS tente d’épuiser les ressources d’une application afin de la rendre indisponible aux utilisateurs légitimes.A DDoS attack attempts to exhaust an application's resources, making the application unavailable to legitimate users. Les attaques DDoS peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement accessible via Internet.DDoS attacks can be targeted at any endpoint that is publicly reachable through the internet. Microsoft offre une protection DDoS De base dans le cadre de la plateforme Azure.Microsoft provides DDoS protection known as Basic as part of the Azure Platform. Elle est gratuite et comprend la surveillance Always On et l’atténuation en temps réel des attaques courantes au niveau du réseau.This comes at no charge and includes always on monitoring and real-time mitigation of common network level attacks. Outre les protections incluses avec la protection DDoS De base, vous pouvez activer l’option Standard.In addition to the protections included with DDoS protection Basic you can enable the Standard option. Les fonctionnalités du service Protection DDos Standard sont les suivantes :DDoS Protection Standard features include:

  • Intégration de la plateforme native : Intégré en natif dans Azure.Native platform integration: Natively integrated into Azure. Inclut la configuration par le biais du portail Azure.Includes configuration through the Azure portal. Le service Protection DDos Standard comprend vos ressources et leur configuration.DDoS Protection Standard understands your resources and resource configuration.
  • Protection clés en main : La configuration simplifiée protège immédiatement toutes les ressources situées sur un réseau virtuel dès que DDoS Protection Standard est activé.Turn-key protection: Simplified configuration immediately protects all resources on a virtual network as soon as DDoS Protection Standard is enabled. Aucune définition ou intervention de l’utilisateur n’est nécessaire.No intervention or user definition is required. Le service Protection DDoS Standard atténue de façon instantanée et automatique l’attaque une fois que celle-ci est détectée.DDoS Protection Standard instantly and automatically mitigates the attack, once it is detected.
  • Surveillance permanente du trafic : Vos modèles de trafic d’application sont surveillés 24h/24 et 7j/7, à la recherche d’indicateurs d’attaques DDoS.Always-on traffic monitoring: Your application traffic patterns are monitored 24 hour a day, 7 days a week, looking for indicators of DDoS attacks. L’atténuation est effectuée en cas de dépassement des stratégies de protection.Mitigation is performed when protection policies are exceeded.
  • Rapports de prévention des attaques : utilisent des données de flux réseau agrégées pour fournir des informations détaillées sur les attaques ciblant vos ressources.Attack Mitigation Reports Attack Mitigation Reports use aggregated network flow data to provide detailed information about attacks targeted at your resources.
  • Journaux de flux de prévention des attaques : permettent de passer en revue le trafic abandonné, le trafic transféré et d’autres données d’attaque en temps quasi réel pendant une attaque DDoS active.Attack Mitigation Flow Logs Attack Mitigation Flow Logs allow you to review the dropped traffic, forwarded traffic and other attack data in near real-time during an active DDoS attack.
  • Optimisation adaptative : Le profilage intelligent du trafic étudie le trafic de votre application au fil du temps pour sélectionner et mettre à jour le profil le plus adapté pour votre service.Adaptive tuning: Intelligent traffic profiling learns your application's traffic over time, and selects and updates the profile that is the most suitable for your service. Le profil s’ajuste en fonction des modifications du trafic au fil du temps.The profile adjusts as traffic changes over time. Protection des couches 3 à 7 : Offre une protection DDoS de pile complète, quand elle est utilisée avec un pare-feu d’application web.Layer 3 to layer 7 protection: Provides full stack DDoS protection, when used with a web application firewall.
  • Échelle de prévention étendue : Plus de 60 types d’attaques différents peuvent être contrées, avec une protection globale contre les attaques DDoS les plus connues.Extensive mitigation scale: Over 60 different attack types can be mitigated, with global capacity, to protect against the largest known DDoS attacks.
  • Métriques des attaques : Des métriques récapitulatives de chaque attaque sont accessibles via Azure Monitor.Attack metrics: Summarized metrics from each attack are accessible through Azure Monitor.
  • Alerte d’attaque : Vous pouvez configurer des alertes pour le début et la fin d’une attaque, ainsi que pendant qu’elle se produit, avec des métriques d’attaque intégrées.Attack alerting: Alerts can be configured at the start and stop of an attack, and over the attack's duration, using built-in attack metrics. Les alertes s’intègrent à vos logiciels opérationnels, comme les journaux d’activité Microsoft Azure Monitor, Splunk, Stockage Azure, votre messagerie électronique et le portail Azure.Alerts integrate into your operational software like Microsoft Azure Monitor logs, Splunk, Azure Storage, Email, and the Azure portal.
  • Maîtrise des coûts : Si vous documentez les attaques DDoS, vous bénéficiez en retour de crédits pour les services de scale-out d’application et de transfert de données.Cost guarantee: Data-transfer and application scale-out service credits for documented DDoS attacks.
  • DDoS Rapid Response : les clients du service Protection DDoS standard peuvent désormais contacter l’équipe du service Rapid Response pendant une attaque active.DDoS Rapid responsive DDoS Protection Standard customers now have access to Rapid Response team during an active attack. Le service DRR peut aider en enquêtant sur l’attaque, en personnalisant les atténuations des risques pendant une attaque et en publiant une analyse de cette dernière.DRR can help with attack investigation, custom mitigations during an attack and post-attack analysis.

En savoir plus :Learn more:

Azure Front DoorAzure Front Door

Azure Front Door Service vous permet de définir, gérer et surveiller le routage global de votre trafic web.Azure Front Door Service enables you to define, manage, and monitor the global routing of your web traffic. Il optimise le routage de votre trafic pour des performances optimales et une haute disponibilité.It optimizes your traffic's routing for best performance and high availability. Azure Front Door vous permet de créer des règles de pare-feu d’applications web (WAF) personnalisées pour le contrôle d’accès afin de protéger votre charge de travail HTTP/HTTPS de l’exploitation basée sur les adresses IP des clients, les codes de pays et les paramètres HTTP.Azure Front Door allows you to author custom web application firewall (WAF) rules for access control to protect your HTTP/HTTPS workload from exploitation based on client IP addresses, country code, and http parameters. En outre, Front Door vous permet de créer des règles de limitation de vitesse de transmission pour affronter le trafic des bots malveillants ; il inclut les fonctionnalités de déchargement SSL et de traitement de la couche Application par requête HTTP/HTTPS.Additionally, Front Door also enables you to create rate limiting rules to battle malicious bot traffic, it includes SSL offloading and per-HTTP/HTTPS request, application-layer processing.

La plateforme Front Door elle-même est protégée par Azure DDoS Protection Basic.Front Door platform itself is protected by Azure DDoS Protection Basic. Pour renforcer la protection, vous pouvez activer Azure DDoS Protection Standard au niveau de vos réseaux virtuels et protéger les ressources contre les attaques de couche réseau (TCP/UDP) par le biais du réglage automatique et de l’atténuation.For further protection, Azure DDoS Protection Standard may be enabled at your VNETs and safeguard resources from network layer (TCP/UDP) attacks via auto tuning and mitigation. Front Door étant un proxy inverse de couche 7, il autorise uniquement l’acheminement du trafic web aux serveurs principaux et bloque les autres types de trafic par défaut.Front Door is a layer 7 reverse proxy, it only allows web traffic to pass through to back end servers and block other types of traffic by default.

En savoir plus :Learn more:

Azure Traffic ManagerAzure Traffic manager

Azure Traffic Manager est un équilibreur de charge du trafic DNS qui vous permet de distribuer le trafic de manière optimale aux services dans toutes les régions Azure globales, tout en offrant réactivité et haute disponibilité.Azure Traffic Manager is a DNS-based traffic load balancer that enables you to distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Traffic Manager utilise le système DNS pour diriger les requêtes des clients vers le point de terminaison de service le plus approprié, en fonction de la méthode de routage du trafic et de l’intégrité des points de terminaison.Traffic Manager uses DNS to direct client requests to the most appropriate service endpoint based on a traffic-routing method and the health of the endpoints. Un point de terminaison est tout service côté Internet hébergé à l’intérieur ou à l’extérieur d’Azure.An endpoint is any Internet-facing service hosted inside or outside of Azure. Traffic Manager surveille les points de terminaison et ne dirige pas le trafic vers les points de terminaison qui ne sont pas disponibles.Traffic manager monitors the end points and does not direct traffic to any endpoints that are unavailable.

En savoir plus :Learn more:

Surveillance et détection des menacesMonitoring and threat detection

Azure fournit des fonctions pour vous aider dans ce domaine clé avec la détection précoce, la surveillance, ainsi que la collecte et l’examen du trafic réseau.Azure provides capabilities to help you in this key area with early detection, monitoring, and collecting and reviewing network traffic.

Azure Network WatcherAzure Network Watcher

Azure Network Watcher vous aide à résoudre les problèmes et fournit un nouvel ensemble d’outils pour faciliter l’identification des problèmes de sécurité.Azure Network Watcher can help you troubleshoot, and provides a whole new set of tools to assist with the identification of security issues.

La Vue Groupes de sécurité contribue à l’audit et à la conformité de la sécurité des machines virtuelles.Security Group View helps with auditing and security compliance of Virtual Machines. Cette fonctionnalité vous permet d’effectuer des audits de programmation comparant les stratégies de lignes de base définies par votre organisation aux règles en vigueur pour chacune de vos machines virtuelles.Use this feature to perform programmatic audits, comparing the baseline policies defined by your organization to effective rules for each of your VMs. Cela peut vous aider à identifier les différences de configuration.This can help you identify any configuration drift.

La capture de paquets vous permet de capturer le trafic réseau vers et depuis la machine virtuelle.Packet capture allows you to capture network traffic to and from the virtual machine. Vous pouvez collecter les statistiques réseau et résoudre les problèmes d’application, ce qui peut être très utile lors des enquêtes sur les intrusions.You can collect network statistics and troubleshoot application issues, which can be invaluable in the investigation of network intrusions. Vous pouvez également utiliser cette fonctionnalité avec Azure Functions pour démarrer les captures réseau en réponse à des alertes Azure spécifiques.You can also use this feature together with Azure Functions to start network captures in response to specific Azure alerts.

Pour plus d’informations sur Network Watcher et pour savoir comment commencer à tester certaines fonctionnalités dans vos laboratoires, consultez la présentation de la surveillance Azure Network Watcher.For more information on Network Watcher and how to start testing some of the functionality in your labs, see Azure network watcher monitoring overview.

Notes

Pour les notifications les plus récentes sur la disponibilité et l’état de ce service, consultez la page relative aux mises à jour d’Azure.For the most up-to-date notifications on availability and status of this service, check the Azure updates page.

Azure Security CenterAzure Security Center

Azure Security Center vous aide à prévenir, détecter et résoudre les menaces, en vous apportant une visibilité et un contrôle accrus de la sécurité de vos ressources Azure.Azure Security Center helps you prevent, detect, and respond to threats, and provides you increased visibility into, and control over, the security of your Azure resources. Il fournit une surveillance de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste ensemble de solutions de sécurité.It provides integrated security monitoring and policy management across your Azure subscriptions, helps detect threats that might otherwise go unnoticed, and works with a large set of security solutions.

Security Center vous permet d’optimiser et de surveiller la sécurité réseau grâce aux opérations suivantes :Security Center helps you optimize and monitor network security by:

  • Mise à disposition de recommandations relatives à la sécurité réseau.Providing network security recommendations.
  • Surveillance de l’état de votre configuration de la sécurité réseau.Monitoring the state of your network security configuration.
  • Envoi d’alertes destinées à vous informer de toute menace touchant le réseau, au niveau des points de terminaison comme à celui du réseau.Alerting you to network based threats, both at the endpoint and network levels.

En savoir plus :Learn more:

TAP de réseau virtuelVirtual Network TAP

Le TAP (point d’accès terminal) de réseau virtuel Azure vous permet de diffuser en continu votre trafic réseau de machine virtuelle vers un collecteur de paquets réseau ou un outil analytique.Azure virtual network TAP (Terminal Access Point) allows you to continuously stream your virtual machine network traffic to a network packet collector or analytics tool. Le collecteur ou l’outil analytique est fourni par une appliance virtuelle réseau partenaire.The collector or analytics tool is provided by a network virtual appliance partner. Vous pouvez utiliser la même ressource TAP de réseau virtuel pour agréger le trafic de plusieurs interfaces réseau dans le même abonnement ou des abonnements différents.You can use the same virtual network TAP resource to aggregate traffic from multiple network interfaces in the same or different subscriptions.

En savoir plus :Learn more:

JournalisationLogging

La journalisation au niveau du réseau est un élément clé de tout scénario de sécurité réseau.Logging at a network level is a key function for any network security scenario. Dans Azure, vous pouvez consigner les informations obtenues pour les NSG afin de collecter les données de journalisation au niveau du réseau.In Azure, you can log information obtained for NSGs to get network level logging information. La journalisation des groupes de sécurité réseau vous permet de consigner les données des journaux suivants :With NSG logging, you get information from:

  • Journaux d’activité.Activity logs. Utilisez ces journaux d’activité pour consulter toutes les opérations envoyées à vos abonnements Azure.Use these logs to view all operations submitted to your Azure subscriptions. Ces journaux d’activité sont activés par défaut et peuvent être affichés dans le portail Azure.These logs are enabled by default, and can be used within the Azure portal. Ils étaient auparavant nommés « Journaux d’activité d’audit » ou « Journaux d’activité des opérations ».They were previously known as audit or operational logs.
  • Journaux d’événements.Event logs. Ces journaux d’activité permettent de savoir quelles règles de groupe de sécurité réseau (NSG) ont été appliquées.These logs provide information about what NSG rules were applied.
  • Journaux d’activité des compteurs.Counter logs. Ces journaux d’activité affichent le nombre de fois où chaque règle NSG a été appliquée pour refuser ou autoriser le trafic.These logs let you know how many times each NSG rule was applied to deny or allow traffic.

Vous pouvez également utiliser Microsoft Power BI, un puissant outil de visualisation de données, pour afficher et analyser ces journaux d’activité.You can also use Microsoft Power BI, a powerful data visualization tool, to view and analyze these logs. En savoir plus :Learn more: