À propos des exigences de chiffrement et des passerelles VPN AzureAbout cryptographic requirements and Azure VPN gateways

Cet article explique comment configurer des passerelles VPN Azure pour satisfaire vos exigences de chiffrement pour les tunnels VPN S2S entre différents locaux et les connexions de réseau virtuel à réseau virtuel dans Azure.This article discusses how you can configure Azure VPN gateways to satisfy your cryptographic requirements for both cross-premises S2S VPN tunnels and VNet-to-VNet connections within Azure.

À propos des paramètres de stratégie IPsec et IKE pour les passerelles VPN AzureAbout IPsec and IKE policy parameters for Azure VPN gateways

La norme de protocole IPsec et IKE standard prend en charge un vaste éventail d’algorithmes de chiffrement dans différentes combinaisons.IPsec and IKE protocol standard supports a wide range of cryptographic algorithms in various combinations. Si les clients ne demandent pas une combinaison spécifique de paramètres et d’algorithmes de chiffrement, les passerelles VPN Azure utilisent un ensemble de propositions par défaut.If customers do not request a specific combination of cryptographic algorithms and parameters, Azure VPN gateways use a set of default proposals. Les jeux de stratégies par défaut ont été choisis pour optimiser l’interopérabilité avec un large éventail d’appareils VPN tiers dans des configurations par défaut.The default policy sets were chosen to maximize interoperability with a wide range of third-party VPN devices in default configurations. Par conséquent, les stratégies et le nombre de propositions ne peuvent pas couvrir toutes les combinaisons d’algorithmes de chiffrement disponibles et de forces de clé disponibles.As a result, the policies and the number of proposals cannot cover all possible combinations of available cryptographic algorithms and key strengths.

La stratégie par défaut définie pour la passerelle VPN Azure est listée dans le document : À propos des périphériques VPN et des paramètres IPsec/IKE pour les connexions de passerelle VPN site à site.The default policy set for Azure VPN gateway is listed in the document: About VPN devices and IPsec/IKE parameters for Site-to-Site VPN Gateway connections.

Exigences de chiffrementCryptographic requirements

Pour les communications qui exigent des paramètres ou des algorithmes de chiffrement spécifiques, généralement en raison des exigences de conformité ou de sécurité, les clients peuvent désormais configurer leurs passerelles VPN Azure pour utiliser une stratégie IPsec/IKE personnalisée avec des algorithmes de chiffrement et des forces de clé spécifiques, plutôt que les jeux de stratégies Azure par défaut.For communications that require specific cryptographic algorithms or parameters, typically due to compliance or security requirements, customers can now configure their Azure VPN gateways to use a custom IPsec/IKE policy with specific cryptographic algorithms and key strengths, rather than the Azure default policy sets.

Par exemple, les stratégies de mode principal IKEv2 pour les passerelles VPN Azure utilisent uniquement Diffie-Hellman groupe 2 (1 024 bits), tandis que les clients doivent peut-être spécifier des groupes plus puissants à utiliser dans IKE, tels que le groupe 14(2 048 bits), le groupe 24 (groupe MODP de 2 048 bits) ou des groupes ECP (groupes à courbe elliptique) 256 ou 384 bits (groupe 19 et groupe 20, respectivement).For example, the IKEv2 main mode policies for Azure VPN gateways utilize only Diffie-Hellman Group 2 (1024 bits), whereas customers may need to specify stronger groups to be used in IKE, such as Group 14 (2048-bit), Group 24 (2048-bit MODP Group), or ECP (elliptic curve groups) 256 or 384 bit (Group 19 and Group 20, respectively). Des exigences similaires s’appliquent également aux stratégies de mode rapide IPsec.Similar requirements apply to IPsec quick mode policies as well.

Stratégie IPsec/IKE personnalisée avec des passerelles VPN AzureCustom IPsec/IKE policy with Azure VPN gateways

Les passerelles VPN Azure prennent désormais en charge la stratégie IPsec/IKE personnalisée par connexion.Azure VPN gateways now support per-connection, custom IPsec/IKE policy. Vous pouvez choisir une combinaison spécifique d’algorithmes de chiffrement pour IPsec et IKE avec la force de clé souhaitée pour une connexion S2S ou de réseau virtuel à réseau virtuel, comme illustré dans l’exemple ci-dessous :For a Site-to-Site or VNet-to-VNet connection, you can choose a specific combination of cryptographic algorithms for IPsec and IKE with the desired key strength, as shown in the following example:

stratégie IPSec/IKE

Vous pouvez créer une stratégie IPsec/IKE et l’appliquer à une connexion nouvelle ou existante.You can create an IPsec/IKE policy and apply to a new or existing connection.

WorkflowWorkflow

  1. Créer des réseaux virtuels, des passerelles VPN ou des passerelles de réseau local pour votre topologie de connectivité, comme décrit dans d’autres documents de guide pratiqueCreate the virtual networks, VPN gateways, or local network gateways for your connectivity topology as described in other how-to documents
  2. Créez une stratégie IPsec/IKE.Create an IPsec/IKE policy
  3. Vous pouvez appliquer la stratégie quand vous créez une connexion S2S ou de réseau virtuel à réseau virtuelYou can apply the policy when you create a S2S or VNet-to-VNet connection
  4. Si la connexion est déjà créée, vous pouvez appliquer ou mettre à jour la stratégie sur une connexion existanteIf the connection is already created, you can apply or update the policy to an existing connection

Questions fréquentes (FAQ) relatives à la stratégie IPsec/IKEIPsec/IKE policy FAQ

La stratégie personnalisée IPsec/IKE est-elle prise en charge sur toutes les références de passerelle VPN Azure ?Is Custom IPsec/IKE policy supported on all Azure VPN Gateway SKUs?

La stratégie personnalisée IPsec/IKE est prise en charge sur les passerelles VPN Azure VpnGw1, VpnGw2, VpnGw3, Standard et HighPerformance.Custom IPsec/IKE policy is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard, and HighPerformance VPN gateways. La référence SKU de base n’est pas prise en charge.The Basic SKU is not supported.

Combien de stratégies puis-je spécifier pour une connexion ?How many policies can I specify on a connection?

Vous pouvez uniquement spécifier une combinaison de stratégie pour une connexion donnée.You can only specify one policy combination for a given connection.

Puis-je spécifier une stratégie partielle pour une connexion ?Can I specify a partial policy on a connection? (Par exemple, uniquement les algorithmes IKE, et non IPsec)(for example, only IKE algorithms, but not IPsec)

Non, vous devez spécifier tous les algorithmes et paramètres pour IKE (mode principal) et IPsec (mode rapide).No, you must specify all algorithms and parameters for both IKE (Main Mode) and IPsec (Quick Mode). Vous n’êtes pas en droit de spécifier de stratégie partielle.Partial policy specification is not allowed.

Quels sont les algorithmes et les forces de clé pris en charge dans la stratégie personnalisée ?What are the algorithms and key strengths supported in the custom policy?

Le tableau suivant répertorie les algorithmes de chiffrement et les puissances de clé pris en charge et configurables par les clients.The following table lists the supported cryptographic algorithms and key strengths configurable by the customers. Vous devez sélectionner une option pour chaque champ.You must select one option for every field.

IPsec/IKEv2IPsec/IKEv2 OptionsOptions
Chiffrement IKEv2IKEv2 Encryption AES256, AES192, AES128, DES3, DESAES256, AES192, AES128, DES3, DES
Intégrité IKEv2IKEv2 Integrity SHA384, SHA256, SHA1, MD5SHA384, SHA256, SHA1, MD5
Groupe DHDH Group DHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, AucunDHGroup24, ECP384, ECP256, DHGroup14 (DHGroup2048), DHGroup2, DHGroup1, None
Chiffrement IPsecIPsec Encryption GCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, AucunGCMAES256, GCMAES192, GCMAES128, AES256, AES192, AES128, DES3, DES, None
Intégrité IPsecIPsec Integrity GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5GCMAES256, GCMAES192, GCMAES128, SHA256, SHA1, MD5
Groupe PFSPFS Group PFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, AucunPFS24, ECP384, ECP256, PFS2048, PFS2, PFS1, None
Durée de vie de l’AS en mode rapideQM SA Lifetime Secondes (entier ; min 300 /par défaut 27 000 secondes)Seconds (integer; min. 300/default 27000 seconds)
Kilo-octets (entier ; min 1 024 /par défaut 102 400 000 Ko)KBytes (integer; min. 1024/default 102400000 KBytes)
Sélecteur de traficTraffic Selector UsePolicyBasedTrafficSelectors ($True/$False; default $False)UsePolicyBasedTrafficSelectors ($True/$False; default $False)

Important

  1. DHGroup2048 et PFS2048 sont identiques en tant que groupe Diffie-Hellman 14 dans IKE et IPsec PFS.DHGroup2048 & PFS2048 are the same as Diffie-Hellman Group 14 in IKE and IPsec PFS. Voir Groupes Diffie-Hellman pour accéder aux mappages complets.See Diffie-Hellman Groups for the complete mappings.
  2. Pour les algorithmes GCMAES, vous devez spécifier le même algorithme GCMAES et la longueur de clé pour le chiffrement IPsec et l’intégrité IPsec.For GCMAES algorithms, you must specify the same GCMAES algorithm and key length for both IPsec Encryption and Integrity.
  3. La durée de vie de l’AS en mode principal IKEv2 est fixée à 28 800 secondes pour les passerelles VPN AzureIKEv2 Main Mode SA lifetime is fixed at 28,800 seconds on the Azure VPN gateways
  4. Les durées de vie de l’AS en mode rapide sont des paramètres facultatifs.QM SA Lifetimes are optional parameters. Si rien n’a été spécifié, les valeurs par défaut de 27 000 secondes (7,5 heures) et de 102 400 000 kilo-octets (102 Go) sont utilisées.If none was specified, default values of 27,000 seconds (7.5 hrs) and 102400000 KBytes (102GB) are used.
  5. UsePolicyBasedTrafficSelector est un paramètre d’option sur la connexion.UsePolicyBasedTrafficSelector is an option parameter on the connection. Consultez le point suivant de la FAQ pour « UsePolicyBasedTrafficSelectors ».See the next FAQ item for "UsePolicyBasedTrafficSelectors"

Tous les éléments entre la stratégie de passerelle VPN Azure et mes configurations de périphérique VPN local doivent-ils correspondre ?Does everything need to match between the Azure VPN gateway policy and my on-premises VPN device configurations?

La configuration de votre périphérique VPN local doit correspondre aux algorithmes et paramètres suivants, spécifiés dans la stratégie IPsec/IKE Azure ou les contenir :Your on-premises VPN device configuration must match or contain the following algorithms and parameters that you specify on the Azure IPsec/IKE policy:

  • Algorithme de chiffrement IKEIKE encryption algorithm
  • Algorithme d’intégrité IKEIKE integrity algorithm
  • Groupe DHDH Group
  • Algorithme de chiffrement IPsecIPsec encryption algorithm
  • Algorithme d’intégrité IPsecIPsec integrity algorithm
  • Groupe PFSPFS Group
  • Sélecteur de trafic (*)Traffic Selector (*)

Les durées de vie de l’AS sont uniquement des spécifications locales, elles n’ont pas besoin de correspondre.The SA lifetimes are local specifications only, do not need to match.

Si vous activez UsePolicyBasedTrafficSelectors, vous devez vous assurer que votre périphérique VPN dispose des sélecteurs de trafic correspondant définis avec toutes les combinaisons de préfixes (passerelle réseau locale) de votre réseau local vers et depuis les préfixes Azure, plutôt que de manière individuelle.If you enable UsePolicyBasedTrafficSelectors, you need to ensure your VPN device has the matching traffic selectors defined with all combinations of your on-premises network (local network gateway) prefixes to/from the Azure virtual network prefixes, instead of any-to-any. Par exemple, si les préfixes de votre réseau local sont 10.1.0.0/16 et 10.2.0.0/16 et si les préfixes de votre réseau virtuel sont 192.168.0.0/16 et 172.16.0.0/16, vous devez spécifier les sélecteurs de trafic suivants :For example, if your on-premises network prefixes are 10.1.0.0/16 and 10.2.0.0/16, and your virtual network prefixes are 192.168.0.0/16 and 172.16.0.0/16, you need to specify the following traffic selectors:

  • 10.1.0.0/16 <====> 192.168.0.0/1610.1.0.0/16 <====> 192.168.0.0/16
  • 10.1.0.0/16 <====> 172.16.0.0/1610.1.0.0/16 <====> 172.16.0.0/16
  • 10.2.0.0/16 <====> 192.168.0.0/1610.2.0.0/16 <====> 192.168.0.0/16
  • 10.2.0.0/16 <====> 172.16.0.0/1610.2.0.0/16 <====> 172.16.0.0/16

Pour en savoir plus, consultez la section relative à la connexion de plusieurs appareils VPN basés sur des stratégies locales.For more information, see Connect multiple on-premises policy-based VPN devices.

Quels groupes Diffie-Hellman sont pris en charge ?Which Diffie-Hellman Groups are supported?

Le tableau ci-dessous répertorie les groupes Diffie-Hellman pris en charge pour le protocole IKE (DHGroup) et IPsec (PFSGroup) :The table below lists the supported Diffie-Hellman Groups for IKE (DHGroup) and IPsec (PFSGroup):

Groupe Diffie-HellmanDiffie-Hellman Group DHGroupDHGroup PFSGroupPFSGroup Longueur de cléKey length
11 DHGroup1DHGroup1 PFS1PFS1 MODP 768 bits768-bit MODP
22 DHGroup2DHGroup2 PFS2PFS2 MODP 1 024 bits1024-bit MODP
1414 DHGroup14DHGroup14
DHGroup2048DHGroup2048
PFS2048PFS2048 MODP 2 048 bits2048-bit MODP
1919 ECP256ECP256 ECP256ECP256 ECP 256 bits256-bit ECP
2020 ECP384ECP384 ECP384ECP384 ECP 384 bits384-bit ECP
2424 DHGroup24DHGroup24 PFS24PFS24 MODP 2 048 bits2048-bit MODP

Pour en savoir plus, voir RFC3526 et RFC5114.For more information, see RFC3526 and RFC5114.

La stratégie personnalisée remplace-t-elle les jeux de stratégie IPsec/IKE par défaut pour les passerelles VPN Azure ?Does the custom policy replace the default IPsec/IKE policy sets for Azure VPN gateways?

Oui, une fois qu’une stratégie personnalisée est spécifiée pour une connexion, la passerelle VPN Azure utilisera uniquement la stratégie pour la connexion, à la fois en tant qu’initiateur IKE et que répondeur IKE.Yes, once a custom policy is specified on a connection, Azure VPN gateway will only use the policy on the connection, both as IKE initiator and IKE responder.

Si je supprime une stratégie IPsec/IKE personnalisée, la connexion devient-elle non protégée ?If I remove a custom IPsec/IKE policy, does the connection become unprotected?

Non, la connexion restera protégée par IPsec/IKE.No, the connection will still be protected by IPsec/IKE. Dès que vous supprimez la stratégie personnalisée d’une connexion, la passerelle VPN Azure revient à la liste par défaut de propositions IPsec/IKE et relance la négociation IKE avec votre appareil VPN local.Once you remove the custom policy from a connection, the Azure VPN gateway reverts back to the default list of IPsec/IKE proposals and restart the IKE handshake again with your on-premises VPN device.

L’ajout ou la mise à jour d’une stratégie IPsec/IKE risquent-ils de perturber ma connexion VPN ?Would adding or updating an IPsec/IKE policy disrupt my VPN connection?

Oui, cela pourrait entraîner une courte interruption (de quelques secondes), puisque la passerelle VPN Azure va éliminer la connexion existante et relancer la négociation IKE pour rétablir le tunnel IPsec avec les nouveaux algorithmes de chiffrement et paramètres.Yes, it could cause a small disruption (a few seconds) as the Azure VPN gateway tears down the existing connection and restarts the IKE handshake to re-establish the IPsec tunnel with the new cryptographic algorithms and parameters. Vérifiez que votre appareil VPN local est également configuré avec les algorithmes et les puissances de clé correspondants pour réduire l’interruption.Ensure your on-premises VPN device is also configured with the matching algorithms and key strengths to minimize the disruption.

Puis-je utiliser des stratégies différentes pour des connexions distinctes ?Can I use different policies on different connections?

Oui.Yes. Une stratégie personnalisée est appliquée sur une base par connexion.Custom policy is applied on a per-connection basis. Vous pouvez créer et appliquer des stratégies IPsec/IKE différentes pour des connexions distinctes.You can create and apply different IPsec/IKE policies on different connections. Vous pouvez également choisir d’appliquer des stratégies personnalisées pour un sous-ensemble de connexions.You can also choose to apply custom policies on a subset of connections. Les autres connexions utiliseront les jeux de stratégie IPsec/IKE par défaut d’Azure.The remaining ones use the Azure default IPsec/IKE policy sets.

Puis-je également utiliser la stratégie personnalisée pour une connexion entre des réseaux virtuels ?Can I use the custom policy on VNet-to-VNet connection as well?

Oui, vous pouvez appliquer la stratégie personnalisée pour des connexions IPsec entre différents sites locaux ou des connexions entre des réseaux virtuels.Yes, you can apply custom policy on both IPsec cross-premises connections or VNet-to-VNet connections.

Dois-je spécifier la même stratégie pour les ressources de connexion entre des réseaux virtuels ?Do I need to specify the same policy on both VNet-to-VNet connection resources?

Oui.Yes. Un tunnel entre des réseaux virtuels se compose de deux ressources de connexion dans Azure, une pour chaque direction.A VNet-to-VNet tunnel consists of two connection resources in Azure, one for each direction. Assurez-vous que les deux ressources de connexion ont la même stratégie, sinon la connexion de réseau virtuel à réseau virtuel ne pourra pas être établie.Make sure both connection resources have the same policy, otherwise the VNet-to-VNet connection won't establish.

La stratégie IPsec/IKE est-elle compatible avec une connexion ExpressRoute ?Does custom IPsec/IKE policy work on ExpressRoute connection?

Non.No. La stratégie IPsec/IKE est uniquement compatible avec les connexions S2S VPN et entre des réseaux virtuels via les passerelles VPN Azure.IPsec/IKE policy only works on S2S VPN and VNet-to-VNet connections via the Azure VPN gateways.

Où puis-je trouver des informations de configuration supplémentaires pour IPsec ?Where can I find more configuration information for IPsec?

Consultez Configurer la stratégie IPsec/IKE pour des connexions S2S ou de réseau virtuel à réseau virtuelSee Configure IPsec/IKE policy for S2S or VNet-to-VNet connections

Étapes suivantesNext steps

Consultez Configurer la stratégie IPsec/IKE pour obtenir des instructions détaillées sur la configuration d’une stratégie IPsec/IKE personnalisée sur une connexion.See Configure IPsec/IKE policy for step-by-step instructions on configuring custom IPsec/IKE policy on a connection.

Consultez aussi Connecter plusieurs appareils VPN en fonction de stratégies pour en savoir plus sur l’option UsePolicyBasedTrafficSelectors.See also Connect multiple policy-based VPN devices to learn more about the UsePolicyBasedTrafficSelectors option.