Share via

Protéger les ports réseau à haut risque avec des règles d’administration de sécurité dans Azure Virtual Network Manager.

  • Article

Dans cet article, vous apprenez à bloquer les ports réseau à haut risque à l’aide Azure Virtual Network Manager et des règles d’administration de sécurité. Vous parcourez la création d’une instance Azure Virtual Network Manager, regroupez vos réseaux virtuels avec des groupes réseau, et créez et déployez des configurations d’administration de sécurité pour votre organisation. Vous déployez une règle de bloc générale pour les ports à haut risque. Créez ensuite une règle d’exception pour gérer le réseau virtuel d’une application spécifique à l’aide de groupes de sécurité réseau.

Bien que cet article se concentre sur un seul port, SSH, vous pouvez protéger des ports à haut risque dans votre environnement en suivant les mêmes étapes. Pour en savoir plus, consultez cette liste de ports à haut risque

Important

Azure Virtual Network Manager est généralement disponible pour les configurations de connectivité hub-and-spoke (en étoile) et les configurations de sécurité avec des règles d’administration de la sécurité. Les configurations de connectivité de maillage restent en préversion publique.

Cette préversion est fournie sans contrat de niveau de service et n’est pas recommandée pour les charges de travail de production. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez Conditions d’Utilisation Supplémentaires relatives aux Évaluations Microsoft Azure.

Prérequis

Déployer un environnement de réseau virtuel

Vous avez besoin d’un environnement de réseau virtuel qui comprend des réseaux virtuels qui peuvent être séparés pour autoriser et bloquer un trafic spécifique. Vous pouvez utiliser le tableau suivant ou votre propre configuration de réseaux virtuels :

Nom Espace d’adressage IPv4 subnet
vnetA-gen 10.0.0.0/16 valeur par défaut : 10.0.0.0/24
vnetB-gen 10.1.0.0/16 valeur par défaut : 10.1.0.0/24
vnetC-gen 10.2.0.0/16 valeur par défaut : 10.2.0.0/24
vnetD-app 10.3.0.0/16 valeur par défaut : 10.3.0.0/24
vnetE-app 10.4.0.0/16 valeur par défaut : 10.4.0.0/24
  • Placez tous les réseaux virtuels dans le même abonnement, région et groupe de ressources

Vous ne savez pas comment créer un réseau virtuel ? En savoir plus dans Démarrage rapide : Créer un réseau virtuel à l’aide du portail Azure.

Créer une instance de gestion de réseau virtuel

Dans cette section, vous déployez une instance Virtual Network Manager avec la fonctionnalité d’administrateur de sécurité de votre organisation.

  1. Sélectionnez + Créer une ressource, puis recherchez Network Manager. Sélectionnez ensuite Créer pour commencer la configuration d’Azure Virtual Network Manager.

  2. Sous l’onglet Informations de base, entrez ou sélectionnez les informations suivantes pour votre organisation :

    Capture d’écran de la page de base du gestionnaire de réseau.

    Paramètre Valeur
    Abonnement Sélectionnez l’abonnement dans lequel vous souhaitez déployer Azure Virtual Network Manager.
    Resource group Sélectionnez ou créez un groupe de ressources où stocker Azure Virtual Network Manager. Cet exemple utilise le groupe myAVNMResourceGroup créé précédemment.
    Nom Entrez un nom pour cette instance d’Azure Virtual Network Manager. L’exemple suivant utilise le nom myAVNM.
    Région Sélectionnez la région de ce déploiement. Azure Virtual Network Manager peut gérer des réseaux virtuels dans n’importe quelle région. La région sélectionnée correspond à l’emplacement où l’instance Virtual Network Manager sera déployée.
    Description (Facultatif) Fournissez une description de cette instance Virtual Network Manager, ainsi que de la tâche qu’elle doit gérer.
    Portée Définissez l’étendue de gestion d’Azure Virtual Network Manager. Cet exemple utilise une étendue au niveau de l’abonnement.
    Caractéristiques Sélectionnez les fonctionnalités que vous souhaitez activer pour Azure Virtual Network Manager. Les fonctionnalités disponibles sont Connectivité, Administrateur de sécurité et Tout sélectionner.
    Connectivité : permet de créer une topologie réseau de type maille pleine ou hub-and-spoke entre les différents réseaux virtuels de l’étendue.
    Administrateur de sécurité : permet de créer des règles de sécurité réseau globales.

  3. Sélectionnez Vérifier + créer, puis choisissez Créer une fois la validation réussie.

  4. Sélectionnez Accéder à la ressource lorsque le déploiement est terminé et passez en revue la configuration du gestionnaire de réseau virtuel

Créer un groupe de réseaux pour tous les réseaux virtuels

Lorsque votre gestionnaire de réseau virtuel est créé, créez un groupe de réseaux contenant tous les VNet de l’organisation et vous ajoutez manuellement tous les réseaux virtuels.

  1. Sélectionnez Groupes réseau, sous Paramètres.
  2. Sélectionnez + Créer, entrez un nom pour le groupe de réseaux, puis sélectionnez Ajouter.
  3. Dans la page Groupes réseau, sélectionnez le groupe de réseaux que vous avez créé.
  4. Sélectionnez Ajouter, sous Appartenance statique pour ajouter manuellement tous les réseaux virtuels.
  5. Dans la page Ajouter des membres statiques, sélectionnez tous les réseaux virtuels que vous souhaitez inclure, puis sélectionnez Ajouter. Capture d’écran de la page Ajouter des membres statiques qui montre la sélection manuelle des réseaux virtuels.

Créer une configuration d’administrateur de sécurité pour tous les réseaux virtuels

Il est temps de construire nos règles d’administration de sécurité dans une configuration afin d’appliquer ces règles à tous les réseaux virtuels au sein de votre groupe de réseaux à la fois. Dans cette section, vous créez une configuration d’administrateur de sécurité. Vous créez ensuite une collection de règles et ajouter des règles pour les ports à haut risque, tels que SSH ou RDP. Cette configuration refuse le trafic réseau à tous les réseaux virtuels du groupe de réseaux.

  1. Revenez à votre ressource de gestionnaire de réseau virtuel.

  2. Sous Paramètres, sélectionnez Configurations, puis choisissez + Créer.

    Capture d’écran de l’ajout d’une configuration de l’administration de la sécurité.

  3. Sélectionnez Configuration de la sécurité dans le menu déroulant.

    Capture d’écran du menu déroulant d’ajout d’une configuration.

  4. Sous l’onglet Informations de base, entrez un N pour identifier cette configuration de sécurité, puis sélectionnez Suivant : Collections de règles.

    Capture d’écran du champ de nom de la configuration de sécurité.

  5. Sélectionnez + Ajouter dans la page Ajouter une configuration de sécurité.

  6. Entrez un Nom pour identifier cette collection de règles, puis sélectionnez les Groupes de réseaux cibles auxquels vous voulez appliquer cet ensemble de règles. Le groupe cible est le groupe de réseaux contenant tous vos réseaux virtuels.

    Capture d’écran du nom de la collection de règles et des groupes de réseaux cibles.

Ajouter une règle de sécurité pour refuser le trafic réseau à haut risque

Dans cette section, vous définissez la règle de sécurité pour bloquer le trafic réseau à haut risque vers tous les réseaux virtuels. Lors de l’attribution de la priorité, gardez à l’esprit les règles d’exception futures. Définissez la priorité afin que les règles d’exception soient appliquées sur cette règle.

  1. Sélectionnez + Ajouter sous Règles d’administration de sécurité.

    Capture d’écran du bouton ajouter une règle.

  2. Entrez les informations nécessaires pour définir votre règle de sécurité, puis sélectionnez Ajouter pour ajouter la règle à la collection de règles.

    Capture d’écran de la page Ajouter une règle.

    Paramètre Valeur
    Nom Entrez un nom de règle.
    Description Entrez la description de la règle.
    Priorité* Entrez une valeur comprise entre 1 et 4096 pour déterminer la priorité de la règle. Plus la valeur est faible, plus la priorité est élevée.
    Action* Sélectionnez Refuser pour bloquer le trafic. Pour plus d’informations, consultez Action.
    Direction* Sélectionnez Entrant, comme vous souhaitez refuser le trafic entrant avec cette règle.
    Protocole* Sélectionnez le protocole réseau pour le port.
    Source
    Type de source Sélectionnez le type de source adresse IP ou balises de service.
    Adresses IP sources Ce champ s’affiche lorsque vous sélectionnez le type de source Adresse IP. Entrez une adresse IPv4 ou IPv6 ou une plage à l’aide de la notation CIDR. Lors de la définition de plusieurs adresses ou blocs d’adresses séparés par une virgule. Laissez le champ vide pour cet exemple.
    Balise du service source Ce champ s’affiche lorsque vous sélectionnez le type de source Étiquette de service. Sélectionnez la ou les balises de service pour les services que vous souhaitez spécifier comme source. Pour obtenir la liste des balises prises en charge, consultez balises de service disponibles.
    Port source Entrez un numéro de port unique ou une plage de ports, par exemple (1024-65535). Lorsque vous définissez plusieurs ports ou plages de ports, séparez-les par une virgule. Pour spécifier n’importe quel port, entrez *. Laissez le champ vide pour cet exemple.
    Destination
    Type de destination Sélectionnez le type de destination Adresse IP ou Balises de service.
    Adresses IP de destination Ce champ s’affiche lorsque vous sélectionnez le type de destination Adresse IP. Entrez une adresse IPv4 ou IPv6 ou une plage à l’aide de la notation CIDR. Lors de la définition de plusieurs adresses ou blocs d’adresses séparés par une virgule.
    Identification de destination Ce champ s’affiche lorsque vous sélectionnez le type de destination Étiquette de service. Sélectionnez la ou les balises de service pour les services que vous souhaitez spécifier comme destination. Pour obtenir la liste des balises prises en charge, consultez balises de service disponibles.
    Port de destination Entrez un numéro de port unique ou une plage de ports, par exemple (1024-65535). Lorsque vous définissez plusieurs ports ou plages de ports, séparez-les par une virgule. Pour spécifier n’importe quel port, entrez *. Entrez 3389 pour cet exemple.

  3. Répétez les étapes 1-3 pour ajouter d’autres règles à la collection de règles.

  4. Une fois que vous êtes satisfait de toutes les règles que vous voulez créer, sélectionnez Enregistrer pour ajouter la collection de règles à la configuration d’administration de la sécurité.

    Capture d’écran d’une collection de règles.

  5. Sélectionnez ensuite Vérifier + créer, puis Créer pour terminer la configuration de sécurité.

Déployer une configuration d’administrateur de sécurité pour bloquer le trafic réseau

Dans cette section, les règles créées prennent effet lorsque vous déployez la configuration d’administration de sécurité.

  1. Sélectionnez Déploiements sous Paramètres, puis Déployer une configuration.

    Capture d’écran du bouton Déployer une configuration.

  2. Activez la case à cocher Inclure l’administration de la sécurité dans votre état visé et choisissez la configuration de sécurité que vous avez créée dans la dernière section du menu déroulant. Choisissez ensuite la ou les régions où vous voulez déployer cette configuration.

    Capture d’écran montrant le déploiement d’une configuration de sécurité.

  3. Sélectionnez Suivant et Déployer pour déployer la configuration d’administration de la sécurité.

Créer un groupe réseau pour la règle d’exception de trafic

Avec le trafic bloqué sur tous vos réseaux virtuels, vous avez besoin d’une exception pour autoriser le trafic vers des réseaux virtuels spécifiques. Créez un groupe de réseaux spécifiquement pour les VNet nécessitant une exclusion de l’autre règle d’administration de sécurité.

  1. Dans votre gestionnaire de réseau virtuel, sélectionnez Groupes de réseaux, sous Paramètres.
  2. Sélectionnez + Créer, entrez un nom pour le groupe de réseaux de l’application, puis sélectionnez Ajouter.
  3. Sous Définir l’appartenance dynamique, sélectionnez Définir.
  4. Entrez ou sélectionnez les valeurs pour autoriser le trafic vers votre réseau virtuel d’application. Capture d’écran de la page Définir un groupe de réseaux avec une condition pour sélectionner des réseaux virtuels pour l’appartenance au groupe.
  5. Sélectionnez Aperçu des ressources pour passer en revue les réseaux virtuels effectifs inclus, puis sélectionnez Fermer. Capture d’écran de la page Réseaux virtuels effectifs montrant des réseaux virtuels inclus dynamiquement dans le groupe de réseaux.
  6. Sélectionnez Enregistrer.

Créer une règle d’administrateur et un regroupement d’exceptions de trafic

Dans cette section, vous créez une nouvelle collection de règles et une règle d’administration de sécurité qui autorisent le trafic à haut risque vers le sous-ensemble de réseaux virtuels que vous avez définis en tant qu’exceptions. Ensuite, ajoutez-les à votre configuration d’administration de sécurité existante.

Important

Pour que votre règle d’administration de sécurité autorise le trafic vers vos réseaux virtuels d’application, la priorité doit être définie sur un nombre inférieur aux règles existantes bloquant le trafic.

Par exemple, une règle réseau bloquant SSH a une priorité de 10. Votre règle d’autorisation doit avoir une priorité comprise entre 1 et 9.

  1. À partir de votre gestionnaire de réseau virtuel, sélectionnez Configurations et sélectionnez votre configuration de sécurité.
  2. Sélectionnez Collections de règles sous Paramètres, puis sélectionnez + Créer pour créer une collection de règles.
  3. Dans la page Ajouter une collection de règles, entrez un nom pour votre collection de règles d’application et choisissez le groupe réseau d’application que vous avez créé.
  4. Sous les règles d’administration de sécurité, sélectionnez + Ajouter.
  5. Entrez ou sélectionnez les valeurs pour autoriser le trafic réseau spécifique vers votre groupe réseau d’application, puis sélectionnez ajouter une fois terminé.
  6. Répétez le processus d’ajout de règle pour tout le trafic nécessitant une exception.
  7. Lorsque vous avez terminé, sélectionnez Enregistrer.

Redéployer la configuration de l’administrateur de sécurité avec une règle d’exception

Pour appliquer la nouvelle collection de règles, vous redéployez votre configuration d’administration de sécurité, car elle a été modifiée en ajoutant une collection de règles.

  1. Dans votre gestionnaire de réseau virtuel, sélectionnez Configurations.
  2. Sélectionnez votre configuration d’administration de sécurité et sélectionnez Déployer
  3. Dans la page Déployer la configuration, sélectionnez toutes les régions cibles qui reçoivent le déploiement et
  4. Sélectionnez Suivant, puis Déployer.

Étapes suivantes