Groupes de sécurité réseauNetwork security groups

Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau à destination et en provenance des ressources Azure dans un réseau virtuel Azure.You can use an Azure network security group to filter network traffic to and from Azure resources in an Azure virtual network. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant vers différents types de ressources Azure.A network security group contains security rules that allow or deny inbound network traffic to, or outbound network traffic from, several types of Azure resources. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.For each rule, you can specify source and destination, port, and protocol.

Cet article décrit les propriétés d’une règle de groupe de sécurité réseau, les règles de sécurité par défaut appliquées et les propriétés de règle que vous pouvez modifier pour créer une règle de sécurité augmentée.This article describes properties of a network security group rule, the default security rules that are applied, and the rule properties that you can modify to create an augmented security rule.

Règles de sécuritéSecurity rules

Un groupe de sécurité réseau contient le nombre des règles souhaité (ou aucune), dans les limites de l’abonnement Azure.A network security group contains zero, or as many rules as desired, within Azure subscription limits. Chaque règle spécifie les propriétés suivantes :Each rule specifies the following properties:

PropriétéProperty ExplicationExplanation
NomName Nom unique au sein du groupe de sécurité réseau.A unique name within the network security group.
PrioritéPriority Nombre compris entre 100 et 4096.A number between 100 and 4096. Les règles sont traitées dans l’ordre croissant, car les nombres les plus faibles sont prioritaires.Rules are processed in priority order, with lower numbers processed before higher numbers, because lower numbers have higher priority. Une fois que le trafic correspond à une règle, le traitement s’arrête.Once traffic matches a rule, processing stops. Par conséquent, les règles avec des priorités plus faibles (des nombres plus élevés) et ayant les mêmes attributs que les règles de priorité supérieure ne sont pas traitées.As a result, any rules that exist with lower priorities (higher numbers) that have the same attributes as rules with higher priorities are not processed.
Source ou destinationSource or destination Une adresse IP, un bloc de routage CIDR (par exemple, 10.0.0.0/24), une balise de service ou un groupe de sécurité d’application.Any, or an individual IP address, classless inter-domain routing (CIDR) block (10.0.0.0/24, for example), service tag, or application security group. Si vous spécifiez une adresse pour une ressource Azure, spécifiez l’adresse IP privée assignée à la ressource.If you specify an address for an Azure resource, specify the private IP address assigned to the resource. Les groupes de sécurité réseau sont traités une fois qu’Azure a converti une adresse IP publique en adresse IP privée pour le trafic entrant, et avant qu’Azure ne convertisse une adresse IP privée en une adresse IP publique pour le trafic sortant.Network security groups are processed after Azure translates a public IP address to a private IP address for inbound traffic, and before Azure translates a private IP address to a public IP address for outbound traffic. .. En spécifiant une plage, une balise de service ou un groupe de sécurité d’application, vous pouvez créer moins des règles de sécurité.Specifying a range, a service tag, or application security group, enables you to create fewer security rules. La possibilité de spécifier plusieurs adresses IP individuelles et plages (vous ne pouvez pas spécifier plusieurs balises de service ou groupes d’applications) dans une règle est désignée sous le nom de règles de sécurité augmentée.The ability to specify multiple individual IP addresses and ranges (you cannot specify multiple service tags or application groups) in a rule is referred to as augmented security rules. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Vous ne pouvez pas spécifier plusieurs adresses IP et plages d’adresses IP dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.You cannot specify multiple IP addresses and IP address ranges in network security groups created through the classic deployment model.
ProtocolProtocol TCP, UDP, ICMP ou n’importe lequel.TCP, UDP, ICMP or Any.
SensDirection Indique si la règle s’applique au trafic entrant ou sortant.Whether the rule applies to inbound, or outbound traffic.
Plage de portsPort range Vous pouvez spécifier un port individuel ou une plage de ports.You can specify an individual or range of ports. Par exemple, indiquez 80 ou 10000-10005.For example, you could specify 80 or 10000-10005. La spécification de plages vous permet de créer moins de règles de sécurité.Specifying ranges enables you to create fewer security rules. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources.Augmented security rules can only be created in network security groups created through the Resource Manager deployment model. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.You cannot specify multiple ports or port ranges in the same security rule in network security groups created through the classic deployment model.
ActionAction Autoriser ou refuserAllow or deny

Les règles de sécurité des groupes de sécurité réseau sont évaluées par priorité selon un tuple à 5 éléments (source, port source, destination, port de destination et protocole) pour autoriser ou refuser le trafic.Network security group security rules are evaluated by priority using the 5-tuple information (source, source port, destination, destination port, and protocol) to allow or deny the traffic. Vous ne pouvez pas créer deux règles de sécurité avec les mêmes priorité et direction.You may not create two security rules with the same priority and direction. Un enregistrement de flux est créé pour les connexions existantes.A flow record is created for existing connections. La communication est autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux.Communication is allowed or denied based on the connection state of the flow record. L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état.The flow record allows a network security group to be stateful. Si vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante pour la réponse au trafic sortant.If you specify an outbound security rule to any address over port 80, for example, it's not necessary to specify an inbound security rule for the response to the outbound traffic. Vous devez uniquement spécifier une règle de sécurité entrante si la communication est établie en externe.You only need to specify an inbound security rule if communication is initiated externally. Le contraire est également vrai.The opposite is also true. Si le trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur ce port.If inbound traffic is allowed over a port, it's not necessary to specify an outbound security rule to respond to traffic over the port.

Les connexions existantes ne peuvent pas être interrompues quand vous supprimez une règle de sécurité ayant activé le flux.Existing connections may not be interrupted when you remove a security rule that enabled the flow. Les flux de trafic sont interrompus quand les connexions sont arrêtées et qu’aucun trafic ne transite dans un sens ou dans l’autre pendant au moins quelques minutes.Traffic flows are interrupted when connections are stopped and no traffic is flowing in either direction, for at least a few minutes.

Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité.There are limits to the number of security rules you can create in a network security group. Pour plus d’informations, consultez limites Azure.For details, see Azure limits.

Règles de sécurité par défautDefault security rules

Azure crée les règles par défaut suivantes dans chaque groupe de sécurité réseau que vous créez :Azure creates the following default rules in each network security group that you create:

Trafic entrantInbound

AllowVNetInBoundAllowVNetInBound
PriorityPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocolProtocol AccèsAccess
65 00065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QuelconqueAny AllowAllow
AllowAzureLoadBalancerInBoundAllowAzureLoadBalancerInBound
PriorityPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocolProtocol AccèsAccess
65 00165001 AzureLoadBalancerAzureLoadBalancer 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QuelconqueAny AllowAllow
DenyAllInboundDenyAllInbound
PriorityPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocolProtocol AccèsAccess
65 50065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QuelconqueAny DenyDeny

Règle de trafic sortantOutbound

AllowVnetOutBoundAllowVnetOutBound
PriorityPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocolProtocol AccèsAccess
65 00065000 VirtualNetworkVirtualNetwork 0-655350-65535 VirtualNetworkVirtualNetwork 0-655350-65535 QuelconqueAny AllowAllow
AllowInternetOutBoundAllowInternetOutBound
PriorityPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocolProtocol AccèsAccess
65 00165001 0.0.0.0/00.0.0.0/0 0-655350-65535 InternetInternet 0-655350-65535 QuelconqueAny AllowAllow
DenyAllOutBoundDenyAllOutBound
PriorityPriority SourceSource Ports sourceSource ports DestinationDestination Ports de destinationDestination ports ProtocolProtocol AccèsAccess
65 50065500 0.0.0.0/00.0.0.0/0 0-655350-65535 0.0.0.0/00.0.0.0/0 0-655350-65535 QuelconqueAny DenyDeny

Dans les colonnes Source et Destination, VirtualNetwork, AzureLoadBalancer et Internet sont des balises de service, non des adresses IP.In the Source and Destination columns, VirtualNetwork, AzureLoadBalancer, and Internet are service tags, rather than IP addresses. Dans la colonne de protocole, Any (N’importe lequel) englobe TCP, UDP et ICMP.In the protocol column, Any encompasses TCP, UDP, and ICMP. Lorsque vous créez une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any (N’importe lequel).When creating a rule, you can specify TCP, UDP, ICMP or Any. 0.0.0.0/0 dans les colonnes Source et Destination représente toutes les adresses.0.0.0.0/0 in the Source and Destination columns represents all addresses. Les clients comme le portail Azure, Azure CLI ou PowerShell peuvent utiliser « * » ou « any » pour cette expression.Clients like Azure portal, Azure CLI, or PowerShell can use * or any for this expression.

Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par des règles de priorité plus élevée.You cannot remove the default rules, but you can override them by creating rules with higher priorities.

Règles de sécurité augmentéeAugmented security rules

Les règles de sécurité augmentée simplifient la définition de la sécurité pour les réseaux virtuels, ce qui vous permet de définir des stratégies de sécurité réseau plus vastes et plus complexes, avec moins de règles.Augmented security rules simplify security definition for virtual networks, allowing you to define larger and complex network security policies, with fewer rules. Vous pouvez combiner plusieurs ports ainsi que des adresses ou plages d’adresses IP explicites dans une seule règle de sécurité facilement compréhensible.You can combine multiple ports and multiple explicit IP addresses and ranges into a single, easily understood security rule. Utiliser des règles de sécurité augmentée dans les champs de la source, de la destination et du port d’une règle.Use augmented rules in the source, destination, and port fields of a rule. Pour simplifier la maintenance de votre définition de règle de sécurité, combinez des règles de sécurité augmentée avec des balises de service ou des groupes de sécurité d’application.To simplify maintenance of your security rule definition, combine augmented security rules with service tags or application security groups. Le nombre d’adresses, les plages et les ports que vous pouvez spécifier dans une règle sont limités.There are limits to the number of addresses, ranges, and ports that you can specify in a rule. Pour plus d’informations, consultez limites Azure.For details, see Azure limits.

Balises de serviceService tags

Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné.A service tag represents a group of IP address prefixes from a given Azure service. Elle permet de minimiser la complexité des mises à jour fréquentes des règles de sécurité réseau.It helps to minimize the complexity of frequent updates on network security rules.

Pour plus d’informations, consultez Balises de Service Azure.For more information, see Azure service tags. Pour obtenir un exemple d’utilisation de la balise de service de stockage pour limiter l’accès réseau, consultez Limiter l’accès réseau aux ressources PaaS.For an example on how to use the Storage service tag to restrict network access, see Restrict network access to PaaS resources.

Groupes de sécurité d’applicationApplication security groups

Les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l’application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes.Application security groups enable you to configure network security as a natural extension of an application's structure, allowing you to group virtual machines and define network security policies based on those groups. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites.You can reuse your security policy at scale without manual maintenance of explicit IP addresses. Pour en savoir plus, consultez Groupes de sécurité d’application.To learn more, see Application security groups.

Considérations relatives à la plateforme AzureAzure platform considerations

  • Adresse IP virtuelle du nœud hôte : Des services d’infrastructure de base tels que DHCP, DNS, IMDS et l’analyse de l’intégrité sont fournis par le biais des adresses IP d’hôte virtualisées 168.63.129.16 et 169.254.169.254.Virtual IP of the host node: Basic infrastructure services like DHCP, DNS, IMDS, and health monitoring are provided through the virtualized host IP addresses 168.63.129.16 and 169.254.169.254. Ces adresses IP appartiennent à Microsoft et sont les seules adresses IP virtualisées utilisées à cet effet dans toutes les régions.These IP addresses belong to Microsoft and are the only virtualized IP addresses used in all regions for this purpose. Les règles de sécurité en vigueur et les itinéraires effectifs n’incluent pas ces règles de plateforme.Effective security rules and effective routes will not include these platform rules. Pour remplacer cette communication d’infrastructure de base, vous pouvez créer une règle de sécurité pour refuser le trafic en utilisant les balises de service suivantes sur vos règles de groupe de sécurité réseau : AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM.To override this basic infrastructure communication, you can create a security rule to deny traffic by using the following service tags on your Network Security Group rules: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Découvrez comment diagnostiquer le filtrage de trafic réseau et diagnostiquer le routage réseau.Learn how to diagnose network traffic filtering and diagnose network routing.

  • Gestion des licences (Service de gestion des clés) : Les images Windows en cours d’exécution sur les machines virtuelles doivent être acquises sous licence.Licensing (Key Management Service): Windows images running in virtual machines must be licensed. Pour assurer la gestion des licences, une requête est envoyée aux serveurs hôtes du Service de gestion de clés qui gèrent les requêtes de ce type.To ensure licensing, a request is sent to the Key Management Service host servers that handle such queries. La requête est effectuée en sortie par le biais du port 1688.The request is made outbound through port 1688. Cette règle de plateforme est désactivée pour les déploiements utilisant la configuration itinéraire par défaut 0.0.0.0/0.For deployments using default route 0.0.0.0/0 configuration, this platform rule will be disabled.

  • Machines virtuelles dans des pools d’équilibrage de charge : Le port source et la plage d’adresses appliquées proviennent de l’ordinateur d’origine, pas de l’équilibreur de charge.Virtual machines in load-balanced pools: The source port and address range applied are from the originating computer, not the load balancer. La plage de ports et d’adresses de destination sont ceux de l’ordinateur de destination, et non de l’équilibreur de charge.The destination port and address range are for the destination computer, not the load balancer.

  • Instances de service Azure : Les instances de plusieurs services Azure, tels que HDInsight, les environnements de service d’application et Virtual Machine Scale Sets, sont déployées dans des sous-réseaux du réseau virtuel.Azure service instances: Instances of several Azure services, such as HDInsight, Application Service Environments, and Virtual Machine Scale Sets are deployed in virtual network subnets. Pour obtenir la liste complète des services que vous pouvez déployer sur des réseaux virtuels, consultez Réseau virtuel pour les services Azure.For a complete list of services you can deploy into virtual networks, see Virtual network for Azure services. Familiarisez-vous avec les exigences de port pour chaque service avant d’appliquer un groupe de sécurité réseau au sous-réseau dans lequel la ressource est déployée.Ensure you familiarize yourself with the port requirements for each service before applying a network security group to the subnet the resource is deployed in. Si vous refusez les ports requis par le service, ce dernier ne fonctionnera pas correctement.If you deny ports required by the service, the service doesn't function properly.

  • Envoi d’e-mail sortant : Microsoft vous recommande l’utilisation de services de relais authentifiés SMTP (généralement connectés via le port TCP 587, mais parfois via d’autres ports) pour envoyer un e-mail depuis des machines virtuelles Azure.Sending outbound email: Microsoft recommends that you utilize authenticated SMTP relay services (typically connected via TCP port 587, but often others, as well) to send email from Azure Virtual Machines. Les services de relais SMTP se spécialisent dans la réputation des expéditeurs, afin de minimiser les risques de renvoi de messages de la part de fournisseurs de messagerie tiers.SMTP relay services specialize in sender reputation, to minimize the possibility that third-party email providers reject messages. Ce type de services de relais SMTP incluent, sans s’y limiter, Exchange Online Protection et SendGrid.Such SMTP relay services include, but are not limited to, Exchange Online Protection and SendGrid. L’utilisation de services de relais SMTP n’est en aucun cas limitée dans Azure et ne tient pas compte de votre type d’abonnement.Use of SMTP relay services is in no way restricted in Azure, regardless of your subscription type.

    Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, vous pouvez, en plus d’utiliser des services de relais SMTP, envoyer des messages électroniques via le port TCP 25 directement.If you created your Azure subscription prior to November 15, 2017, in addition to being able to use SMTP relay services, you can send email directly over TCP port 25. Si vous avez créé votre abonnement après le 15 novembre 2017, vous ne serez peut-être pas en mesure d’envoyer des messages électroniques via le port TCP 25 directement.If you created your subscription after November 15, 2017, you may not be able to send email directly over port 25. Le comportement des communications sortantes via le port 25 dépend de votre type d’abonnement :The behavior of outbound communication over port 25 depends on the type of subscription you have, as follows:

    • Contrat Entreprise : Les communications sortantes via le port 25 sont autorisées.Enterprise Agreement: Outbound port 25 communication is allowed. Vous pouvez envoyer du courrier sortant directement depuis des machines virtuelles vers des fournisseurs de messagerie électronique externes, sans restrictions de la plateforme Azure.You are able to send an outbound email directly from virtual machines to external email providers, with no restrictions from the Azure platform.
    • Paiement à l’utilisation : Les communications sortantes via le port 25 sont bloquées pour toutes les ressources.Pay-as-you-go: Outbound port 25 communication is blocked from all resources. Si vous devez envoyer des courriers électroniques directement depuis une machine virtuelle vers des fournisseurs de messagerie électronique externes (sans utiliser des relais SMTP authentifiés), vous pouvez effectuer une requête pour retirer la restriction.If you need to send email from a virtual machine directly to external email providers (not using an authenticated SMTP relay), you can make a request to remove the restriction. Les demandes sont étudiées et acceptées par Microsoft. Elles ne sont accordées qu’après des vérifications antifraude.Requests are reviewed and approved at Microsoft's discretion and are only granted after anti-fraud checks are performed. Pour effectuer une requête, ouvrez un cas d’assistance avec pour type de problème Technique, Connectivité du réseau virtuel, Envoi de messages électroniques impossible (SMTP/Port 25) .To make a request, open a support case with the issue type Technical, Virtual Network Connectivity, Cannot send e-mail (SMTP/Port 25). Dans votre cas d’assistance, indiquez les raisons pour lesquelles votre abonnement doit être en mesure d’envoyer des courriers électroniques directement aux fournisseurs, sans passer par un relais authentifié SMTP.In your support case, include details about why your subscription needs to send email directly to mail providers, instead of going through an authenticated SMTP relay. Si votre abonnement est exempté, seules les machines virtuelles créées après la date d’exemption sont en mesure d’utiliser des communications sortantes via le port 25.If your subscription is exempted, only virtual machines created after the exemption date are able to communicate outbound over port 25.
    • MSDN, Pass Azure, Azure dans Open, Éducation, BizSpark et Essai gratuit : Les communications sortantes via le port 25 sont bloquées pour toutes les ressources.MSDN, Azure Pass, Azure in Open, Education, BizSpark, and Free trial: Outbound port 25 communication is blocked from all resources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées.No requests to remove the restriction can be made, because requests are not granted. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.If you need to send email from your virtual machine, you have to use an SMTP relay service.
    • Fournisseur de services cloud : Les clients qui consomment des ressources Azure via un fournisseur de services cloud peuvent créer une demande de support auprès de celui-ci et demander qu’il crée une demande de déblocage en son nom, si un relais SMTP sécurisé ne peut pas être utilisé.Cloud service provider: Customers that are consuming Azure resources via a cloud service provider can create a support case with their cloud service provider, and request that the provider create an unblock case on their behalf, if a secure SMTP relay cannot be used.

    Si Azure vous permet d’envoyer des courriers électroniques via le port 25, Microsoft ne peut vous garantir que les fournisseurs de messagerie électronique accepteront le message entrant en provenance de votre machine virtuelle.If Azure allows you to send email over port 25, Microsoft cannot guarantee email providers will accept inbound email from your virtual machine. Si un fournisseur spécifique rejette les messages en provenance de votre machine virtuelle, contactez directement le fournisseur pour résoudre tout problème de livraison de messages ou de filtrage de spam, ou bien utilisez un service de relais SMTP authentifié.If a specific provider rejects mail from your virtual machine, work directly with the provider to resolve any message delivery or spam filtering issues, or use an authenticated SMTP relay service.

Étapes suivantesNext steps