Stratégies de point de terminaison de service de réseau virtuel (préversion)Virtual network service endpoint policies (Preview)

Les stratégies de points de terminaison de service de réseau virtuel permettent de filtrer le trafic de réseau virtuel vers les services Azure, en autorisant uniquement des ressources de service Azure spécifiques, sur les points de terminaison de service.Virtual Network (VNet) service endpoint policies allow you to filter virtual network traffic to Azure services, allowing only specific Azure service resources, over service endpoints. Les stratégies de point de terminaison fournissent un contrôle d’accès granulaire pour le trafic de réseau virtuel vers les services Azure.Endpoint policies provide granular access control for virtual network traffic to Azure services.

Cette fonctionnalité est disponible en préversion pour les services et régions Azure suivants :This feature is available in preview for following Azure services and regions:

Stockage Azure : WestCentralUS, WestUS2, NorthCentralUS, SouthCentralUS, CentralUS, EastUS2.Azure Storage: WestCentralUS, WestUS2, NorthCentralUS, SouthCentralUS, CentralUS, EastUS2.

Pour obtenir des notifications actualisées concernant la préversion, consultez la page Mises à jour du réseau virtuel Azure.For most up-to-date notifications for preview, refer to Azure Virtual Network updates page.

Notes

Dans la préversion, les stratégies de point de terminaison de service de réseau virtuel peuvent afficher un niveau de disponibilité et une fiabilité différents de ceux de la version publique.During preview, virtual network service endpoint policies may not have the same level of availability and reliability as features that are in general availability release. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.For more information, see Microsoft Azure Supplemental Terms of Use for Microsoft Azure Previews.

Principaux avantagesKey benefits

Les stratégies de point de terminaison de service de réseau virtuel offrent les avantages suivants :Virtual network service endpoint policies provide following benefits:

  • Sécurité renforcée pour votre trafic de réseau virtuel vers les services AzureImproved security for your Virtual Network traffic to Azure Services

    Les balises de service Azure pour les groupes de sécurité réseau vous permettent de restreindre le trafic sortant du réseau virtuel vers des services Azure spécifiques.Azure service tags for network security groups allow you to restrict virtual network outbound traffic to specific Azure services. Cependant, elles autorisent le trafic vers toutes les ressources de ce service Azure.However, this allows traffic to any resources of that Azure service.

    Avec les stratégies de point de terminaison, vous pouvez désormais restreindre l’accès sortant du réseau virtuel à des ressources Azure spécifiques.With endpoint policies, you can now restrict virtual network outbound access to only specific Azure resources. Cela apporte un contrôle de sécurité beaucoup plus granulaire pour la protection des données accessibles dans votre réseau virtuel.This gives much more granular security control for protecting data accessed in your virtual network.

  • Stratégies évolutives et hautement disponibles pour filtrer le trafic de service AzureScalable, highly available policies to filter Azure service traffic

    Les stratégies de point de terminaison fournissent une solution évolutive horizontalement et hautement disponible pour filtrer le trafic de service Azure à partir de réseaux virtuels, sur les points de terminaison de service.Endpoint policies provide horizontally scalable, highly available solution to filter Azure service traffic from virtual networks, over service endpoints. Aucun temps système supplémentaire n’est nécessaire afin de maintenir les appliances réseau centrales pour ce trafic sur vos réseaux virtuels.No additional overhead is required to maintain central network appliances for this traffic in your virtual networks.

ConfigurationConfiguration

  • Vous pouvez configurer les stratégies de point de terminaison pour limiter le trafic de réseau virtuel à des ressources de service Azure spécifiques.You can configure the endpoint policies to restrict virtual network traffic to specific Azure service resources. Pour la préversion, nous prenons en charge les stratégies de point de terminaison associées à Stockage Azure.For preview, we support endpoint policies for Azure Storage.

  • La stratégie de point de terminaison de service est configurée sur un sous-réseau dans un réseau virtuel.Endpoint policy is configured on a subnet in a virtual network. Les points de terminaison de service doivent être activés sur le sous-réseau afin que la stratégie soit appliquée, pour tous les services Azure répertoriés dans la stratégie.Service endpoints should be enabled on the subnet to apply the policy, for all Azure services listed in the policy.

  • La stratégie de point de terminaison vous permet d’ajouter à la liste verte des ressources de service Azure spécifiques, en utilisant le format resourceID.Endpoint policy allows you to whitelist specific Azure service resources, using the resourceID format. Vous pouvez restreindre l’accès à toutes les ressources dans un abonnement ou un groupe de ressources.You can restrict access to all resources in a subscription or resource group. Vous pouvez également restreindre l’accès à des ressources spécifiques.You can also restrict access to specific resources.

  • Par défaut, si aucune stratégie n’est attachée à un sous-réseau avec des points de terminaison, vous pouvez accéder à toutes les ressources du service.By default, if no policies are attached to a subnet with endpoints, you can access all resources in the service. Une fois qu’une stratégie est configurée sur ce sous-réseau, seules les ressources spécifiées dans la stratégie sont accessibles à partir d’instances de calcul dans ce sous-réseau.Once a policy is configured on that subnet, only the resources specified in the policy can be accessed from compute instances in that subnet. L’accès à toutes les autres ressources pour le service spécifique sera refusé.Access to all other resources, for the specific service, will be denied.

  • Vous pouvez filtrer le trafic vers les ressources de service Azure dans les régions où le point de terminaison de service est configuré.You can filter traffic to Azure service resources in the regions where service endpoint is configured. L’accès aux ressources de service dans d’autres régions sera autorisé par défaut.Access to service resources in other regions will be allowed, by default.

    Notes

    Pour verrouiller entièrement l’accès sortant du réseau virtuel vers les ressources Azure dans les régions de point de terminaison de service, vous avez également besoin de règles de groupe de sécurité réseau configurées pour autoriser le trafic uniquement vers les régions de point de terminaison de service, au moyen de balises de service.To fully lock down virtual network outbound access to Azure resources in service endpoint regions, you also need network security group rules configured to allow traffic only to the service endpoint regions, using service tags.

  • Vous pouvez appliquer plusieurs stratégies à un sous-réseau.You can apply multiple policies to a subnet. Lorsque plusieurs stratégies sont associées au sous-réseau, pour le même service, le trafic de réseau virtuel vers les ressources spécifiées dans toutes ces stratégies est autorisé.When multiple policies are associated to the subnet, for the same service, virtual network traffic to resources specified across any of these policies will be allowed. L’accès à toutes les autres ressources de service, qui ne sont pas spécifiées dans ces stratégies, est refusé.Access to all other service resources, not specified in any of the policies, will be denied.

    Notes

    La stratégie autorise uniquement l’accès aux ressources de service répertoriées à partir d’un réseau virtuel.Policy only allows access to listed service resources from a virtual network. Tout autre trafic vers le service est refusé automatiquement lorsque vous ajoutez des ressources spécifiques à la stratégie.All other traffic to the service is denied automatically, when you add specific resources to the policy. Assurez-vous que toutes les dépendances de ressource de service pour vos applications peuvent être identifiées et répertoriées dans la stratégie.Ensure that all service resource dependencies for your applications can be identified and listed in the policy.

    Avertissement

    Les services Azure déployés dans votre réseau virtuel, comme Azure HDInsight, accèdent aux autres services Azure, comme Stockage Azure, pour les besoins de l’infrastructure.Azure services deployed into your virtual network, such as Azure HDInsight, access other Azure services, such as Azure Storage, for infrastructure requirements. La restriction de stratégie de point de terminaison à des ressources spécifiques peut bloquer l’accès à ces ressources d’infrastructure pour les services déployés dans votre réseau virtuel.Restricting endpoint policy to specific resources could break access to these infrastructure resources for services deployed in your virtual network. Pour des services spécifiques, reportez-vous à Limites. Dans la préversion, les stratégies de point de terminaison de service ne sont pas prises en charge pour les services Azure gérés qui sont déployés dans votre réseau virtuel.For specific services, refer to Limitations During preview, service endpoint policies are not supported for any managed Azure services that are deployed into your virtual network.

  • Pour Stockage Azure :For Azure Storage:

    • Vous pouvez restreindre l’accès en répertoriant la valeur resourceId Azure Resource Manager du compte de stockage.You can restrict access by listing the Azure Resource Manager resourceId of the storage account. Cela concerne le trafic vers les objets blob, les tables, les files d’attente, les fichiers et Azure Data Lake Storage Gen2.This covers traffic to blobs, tables, queues, files and Azure Data Lake Storage Gen2.

      Par exemple, les comptes de stockage Azure peuvent apparaître dans la définition de stratégie de point de terminaison comme indiqué ci-dessous :Example, Azure storage accounts could be listed in the endpoint policy definition as below :

      Pour autoriser un compte de stockage spécifique :To allow specific storage account:
      subscriptions/subscriptionId/resourceGroups/resourceGroup/providers/Microsoft.Storage/storageAccounts/storageAccountName

      Pour autoriser tous les comptes d’un abonnement et d’un groupe de ressources : /subscriptions/subscriptionId/resourceGroups/resourceGroupTo allow all accounts in a subscription and resource group: /subscriptions/subscriptionId/resourceGroups/resourceGroup

      Pour autoriser tous les comptes d’un abonnement : /subscriptions/subscriptionIdTo allow all accounts in a subscription: /subscriptions/subscriptionId

  • Seuls les comptes de stockage utilisant le modèle de ressource Azure peuvent être spécifiés dans la stratégie de point de terminaison.Only storage accounts using the Azure Resource Model can be specified in the endpoint policy.

    Notes

    L’accès aux comptes de stockage classiques est bloqué avec les stratégies de point de terminaison.Access to classic storage accounts is blocked with endpoint policies.

  • L’emplacement principal du compte répertorié doit se trouver dans les régions de la géopaire du point de terminaison de service pour le sous-réseau.The primary location for the account listed should be in the geo-pair regions of the service endpoint, for the subnet.

    Notes

    Les stratégies permettent de spécifier les ressources de service d’autres régions.Policies allow service resources from other regions to be specified. L’accès du réseau virtuel aux services Azure est filtré uniquement pour les régions de la géopaire.Virtual network access to the Azure services is only filtered for the geo-pair regions. Si les groupes de sécurité réseau ne sont pas limités aux régions de la géopaire pour Stockage Azure, le réseau virtuel peut accéder à tous les comptes de stockage en dehors des régions de la géopaire.If network security groups are not restricted to the geo-pair regions for Azure Storage, the virtual network can access all storage accounts outside the geo-pair regions.

  • L’accès secondaire RA-GRS est automatiquement autorisé si le compte principal est répertorié.RA-GRS secondary access will be automatically allowed if the primary account is listed.

  • Les comptes de stockage peuvent se trouver dans le même abonnement, dans un autre abonnement ou dans le locataire Azure Active Directory en tant que réseau virtuel.Storage accounts can be in the same or a different subscription or Azure Active Directory tenant as the virtual network.

LimitesLimitations

  • Vous pouvez uniquement déployer des stratégies de point de terminaison de service sur des réseaux virtuels déployés à l’aide du modèle de déploiement Azure Resource Manager.You can only deploy service endpoint policies on virtual networks deployed through the Azure Resource Manager deployment model.

  • Les réseaux virtuels doivent se trouver dans la même région que la stratégie de point de terminaison de service.Virtual networks must be in the same region as the service endpoint policy.

  • Vous pouvez uniquement appliquer la stratégie de point de terminaison de service sur un sous-réseau si les points de terminaison de service sont configurés pour les services Azure répertoriés dans la stratégie.You can only apply service endpoint policy on a subnet if service endpoints are configured for the Azure services listed in the policy.

  • Vous ne pouvez pas utiliser les stratégies de points de terminaison de service pour le trafic allant de votre réseau local aux services Azure.You can't use service endpoint policies for traffic from your on-premises network to Azure services.

  • Les stratégies de point de terminaison ne doivent pas être appliquées aux sous-réseaux avec des services Azure gérés, avec une dépendance sur les services Azure pour les besoins de l’infrastructure.Endpoint policies should not be applied to subnets with managed Azure services, with dependency on Azure services for infrastructure requirements.

    Avertissement

    Les services Azure déployés dans votre réseau virtuel, comme Azure HDInsight, accèdent aux autres services Azure, comme Stockage Azure, pour les besoins de l’infrastructure.Azure services deployed into your virtual network, such as Azure HDInsight, access other Azure services, such as Azure Storage, for infrastructure requirements. La restriction de stratégie de point de terminaison à des ressources spécifiques peut bloquer l’accès à ces ressources d’infrastructure pour les services Azure déployés dans votre réseau virtuel.Restricting endpoint policy to specific resources could break access to these infrastructure resources for the Azure services deployed in your virtual network.

    • Certains services Azure peuvent être déployés dans des sous-réseaux avec d’autres instances de calcul.Some Azure services can be deployed into subnets with other compute instances. Vérifiez que les stratégies de point de terminaison ne sont pas appliquées au sous-réseau, si les services gérés répertoriés ci-dessous sont déployés dans le sous-réseau.Please ensure endpoint policies are not applied to the subnet, if managed services listed below are deployed into the subnet.

      • Azure HDInsightAzure HDInsight
      • Azure Batch (Azure Resource Manager)Azure Batch (Azure Resource Manager)
      • Azure Active Directory Domain Services (Azure Resource Manager)Azure Active Directory Domain Services (Azure Resource Manager)
      • Azure Application Gateway (Azure Resource Manager)Azure Application Gateway (Azure Resource Manager)
      • Passerelle VPN Azure (Azure Resource Manager)Azure VPN Gateway (Azure Resource Manager)
      • Pare-feu AzureAzure Firewall
    • Certains services Azure sont déployés dans des sous-réseaux dédiés.Some Azure services are deployed into dedicated subnets. Les stratégies de point de terminaison sont bloquées sur tous ces services, répertoriés ci-dessous, dans la préversion.Endpoint policies are blocked on all such services, listed below, during preview.

      • Environnement Azure App ServiceAzure App Service Environment
      • Azure RediscacheAzure Rediscache
      • Gestion des API AzureAzure API Management
      • Azure SQL Managed InstanceAzure SQL Managed Instance
      • Azure Active Directory Domain ServicesAzure Active Directory Domain Services
      • Azure Application Gateway (classique)Azure Application Gateway (Classic)
      • Passerelle VPN Azure (classique)Azure VPN Gateway (Classic)
  • Stockage Azure : Les comptes de stockage classiques ne sont pas pris en charge dans les stratégies de point de terminaison.Azure Storage: Classic storage accounts are not supported in endpoint policies. Par défaut, les stratégies refusent l’accès à tous les comptes de stockage classiques.Policies will deny access to all classic storage accounts, by default. Si votre application doit accéder à Azure Resource Manager et à des comptes de stockage classiques, les stratégies de point de terminaison ne doivent pas être utilisées pour ce trafic.If your application needs access to Azure Resource Manager and classic storage accounts, endpoint policies should not be used for this traffic.

NSG avec stratégies de points de terminaison de serviceNSGs with Service Endpoint Policies

  • Par défaut, les NSG autorisent le trafic Internet sortant, y compris le trafic de votre réseau virtuel vers les services Azure.By default, NSGs allow outbound Internet traffic, including virtual network traffic to Azure services.

  • Si vous souhaitez refuser tout trafic Internet sortant et autoriser le trafic uniquement vers des ressources de services Azure spécifiques :If you want to deny all outbound Internet traffic and allow only traffic to specific Azure service resources:

    Étape 1 : Configurez les NSG pour autoriser le trafic sortant uniquement vers les services Azure dans les régions de point de terminaison, à l’aide de balises de service Azure.Step 1: Configure NSGs to allow outbound traffic only to Azure services in endpoint regions, using Azure service tags. Pour plus d’informations, consultez Balises de Service Azure pour les groupes de sécurité réseauFor more information, see service tags for NSGs

    Les règles de groupe de sécurité réseau qui restreignent l’accès aux seules régions de point de terminaison peuvent ressembler à ce qui suit :For example, network security group rules that restrict access to only endpoint regions look like the following example:

    Allow AzureStorage.WestUS2,
    Allow AzureStorage.WestCentralUS,
    Deny all
    

    Étape 2 : Appliquez la stratégie de point de terminaison de service avec un accès uniquement aux ressources du service Azure spécifique.Step 2: Apply the service endpoint policy with access to only specific Azure service resources.

    Avertissement

    Si le groupe de sécurité réseau n’est pas configuré pour limiter l’accès du service Azure d’un réseau virtuel aux régions de point de terminaison, vous pouvez accéder aux ressources de service dans d’autres régions, même si la stratégie de point de terminaison de service est appliquée.If network security group is not configured to limit a virtual network's Azure service access to endpoint regions, you can access service resources in other regions, even if the service endpoint policy is applied.

ScénariosScenarios

  • Réseaux virtuels appairés, connectés ou multiples : Pour filtrer le trafic dans des réseaux virtuels appairés, les stratégies de point de terminaison doivent leur être appliquées individuellement.Peered, connected or multiple virtual networks: To filter traffic in peered virtual networks, endpoint policies should be applied individually to these virtual networks.
  • Filtrage du trafic Internet avec des appliances réseau ou le Pare-feu Azure : Filtrez le trafic du service Azure avec des stratégies, sur les points de terminaison et filtrez le reste du trafic Internet ou Azure par le biais d’appliances ou du Pare-feu Azure.Filtering Internet traffic with Network Appliances or Azure Firewall: Filter Azure service traffic with policies, over endpoints, and filter rest of the Internet or Azure traffic via appliances or Azure Firewall.
  • Filtrage du trafic sur les services Azure déployés dans des réseaux virtuels : Dans la préversion, les stratégies de point de terminaison de service ne sont pas prises en charge pour les services Azure managés qui sont déployés dans votre réseau virtuel.Filtering traffic on Azure services deployed into Virtual Networks: During preview, service endpoint policies are not supported for any managed Azure services that are deployed into your virtual network. Pour les services spécifiques, consultez Limites.For specific services, see limitations.
  • Filtrage du trafic local vers les services Azure : Les stratégies de point de terminaison de service s’appliquent uniquement au trafic en provenance des sous-réseaux associés aux stratégies.Filtering traffic to Azure services from on-premises: Service endpoint policies only apply to the traffic from subnets associated to the policies. Pour autoriser l’accès à des ressources de service Azure spécifiques en local, le trafic doit être filtré à l’aide d’appliances de réseau virtuel ou de pare-feu.To allow access to specific Azure service resources from on-premises, traffic should be filtered using network virtual appliances or firewalls.

Journalisation et résolution des problèmesLogging and troubleshooting

Aucun enregistrement centralisé n’est disponible pour les stratégies de point de terminaison de service.No centralized logging is available for service endpoint policies. Pour les journaux de diagnostic de service, consultez Service endpoints logging (Enregistrement des points de terminaison de service).For service diagnostic logs, see Service endpoints logging.

Scénarios de résolution des problèmesTroubleshooting scenarios

  • Accès autorisé aux comptes de stockage non répertoriés dans les stratégies de point de terminaisonAccess allowed to storage accounts not listed in the endpoint policies
    • Les groupes de sécurité réseau peuvent autoriser l’accès à Internet ou aux comptes Stockage Azure dans d’autres régions.Network security groups may be allowing access to the Internet or Azure Storage accounts in other regions.
    • Les groupes de sécurité réseau doivent être configurés pour refuser tout trafic Internet sortant et autoriser uniquement le trafic vers des régions spécifiques de Stockage Azure.Network security groups should be configured to deny all outbound Internet traffic and allow only traffic to specific Azure Storage regions. Pour plus d’informations, consultez Groupes de sécurité réseau.For details, see Network security groups.
  • L’accès est refusé aux comptes répertoriés dans les stratégies de point de terminaisonAccess is denied for accounts listed in the endpoint policies
    • Le filtrage des groupes de sécurité réseau ou du pare-feu peut bloquer l’accèsNetwork security groups or firewall filtering could be blocking access
    • Si la suppression/nouvelle application de la stratégie entraîne la perte de la connectivité :If removing/re-applying the policy results in connectivity loss:
      • Vérifiez que le service Azure est configuré pour autoriser l’accès à partir du réseau virtuel, sur les points de terminaison, ou que la stratégie par défaut pour la ressource est définie sur Allow All (Tout autoriser).Validate whether the Azure service is configured to allow access from the virtual network, over endpoints, or that the default policy for the resource is set to Allow All.

        Notes

        Les ressources de service n’ont pas besoin d’être sécurisées sur des réseaux virtuels pour accéder aux stratégies de point de terminaison.Service resources need not be secured to virtual networks to get access over endpoint policies. Toutefois, dans le cadre de meilleures pratiques de sécurité, nous recommandons de sécuriser les ressources de service sur vos réseaux approuvés, comme vos réseaux virtuels Azure, par le biais de points de terminaison de service et en local, par le biais d’un pare-feu IP.However, as a security best practice, we recommend that the service resources are secured to your trusted networks, such as your Azure virtual networks, via service endpoints, and on-premises, via an IP firewall.

      • Vérifiez que les diagnostics de service affichent le trafic sur les points de terminaison.Validate that the service diagnostics show the traffic over endpoints.

      • Vérifiez si les journaux de flux de groupe de sécurité réseau affichent l’accès et si les journaux d’activité de stockage affichent l’accès, comme prévu, sur les points de terminaison de service.Check whether network security group flow logs show the access and that storage logs show the access, as expected, over service endpoints.

      • Contactez le support Azure.Contact Azure support.

  • L’accès est refusé aux comptes non répertoriés dans les stratégies de point de terminaison de serviceAccess is denied for accounts not listed in the service endpoint policies
    • Le filtrage des groupes de sécurité réseau ou du pare-feu peut bloquer l’accès.Network security groups or firewall filtering could be blocking access. Vérifiez que la balise de service Stockage Azure est autorisée pour les régions de point de terminaison.Ensure that the Azure Storage service tag is allowed for the endpoint regions. Pour les restrictions de stratégie, consultez Limites.For policy restrictions, see limitations. Par exemple, l’accès aux comptes de stockage classiques est refusé si une stratégie est appliquée.For example, classic storage accounts are denied access if a policy is applied.
    • Vérifiez que le service Azure est configuré pour autoriser l’accès à partir du réseau virtuel, sur les points de terminaison, ou que la stratégie par défaut pour la ressource est définie sur Allow All (Tout autoriser).Validate whether the Azure service is configured to allow access from the virtual network, over endpoints, or whether the default policy for the resource is set to Allow All.

ApprovisionnementProvisioning

Les stratégies de points de terminaison de service peuvent être configurées sur les sous-réseaux par un utilisateur avec accès en écriture à un réseau virtuel.Service endpoint policies can be configured on subnets by a user with write access to a virtual network. En savoir plus sur les rôles intégrés Azure et l’assignation d’autorisations spécifiques aux rôles personnalisés.Learn more about Azure built-in roles and assigning specific permissions to custom roles.

Les réseaux virtuels et les ressources du service Azure peuvent se trouver dans des abonnements identiques ou différents, ou dans des locataires Azure Active Directory.Virtual networks and Azure service resources can be in the same or different subscriptions, or Azure Active Directory tenants.

Tarification et limitesPricing and limits

L’utilisation de stratégies de point de terminaison de service n’engendre pas de frais supplémentaires.There is no additional charge for using service endpoint policies. Le modèle de tarification actuel pour les services Azure (comme Stockage Azure) reste le même que celui utilisé actuellement, sur les points de terminaison de service.The current pricing model for Azure services (such as, Azure Storage) applies as is today, over service endpoints.

Les limites suivantes sont appliquées sur les stratégies de point de terminaison de service :Following limits are enforced on service endpoint policies:

RessourceResource Limite par défautDefault limit
ServiceEndpointPoliciesPerSubscriptionServiceEndpointPoliciesPerSubscription 500500
ServiceEndpintPoliciesPerSubnetServiceEndpintPoliciesPerSubnet 100100
ServiceResourcesPerServiceEndpointPolicyDefinitionServiceResourcesPerServiceEndpointPolicyDefinition 200200

Étapes suivantesNext Steps