Sécuriser l’accès réseau aux services PaaS avec des points de terminaison de service de réseau virtuel
Vous avez migré vos serveurs d’application et de base de données existants pour votre système ERP vers Azure en tant que machines virtuelles. À présent, pour réduire les coûts et les contraintes liées à l’administration, vous envisagez d’utiliser des services Azure PaaS (Platform as a Service). Les services de stockage conservent certaines ressources de fichiers volumineux, telles que les diagrammes d’ingénierie. Ces diagrammes d’ingénierie contiennent des informations propriétaires et doivent rester sécurisés contre tout accès non autorisé. Ces fichiers doivent uniquement être accessibles à partir de systèmes spécifiques.
Dans cette unité, vous allez explorer l’utilisation de points de terminaison de service de réseau virtuel pour sécuriser des services Azure pris en charge.
Points de terminaison de service de réseau virtuel
Utilisez les points de terminaison de service de réseau virtuel pour étendre votre espace d’adressage privé dans Azure en fournissant une connexion directe à vos services Azure. Les points de terminaison de service vous permettent de sécuriser vos ressources Azure uniquement pour votre réseau virtuel. Le trafic de service demeure sur le réseau principal Azure et n’accède pas à Internet.
Par défaut, les services Azure sont tous conçus pour un accès à Internet direct. Toutes les ressources Azure ont des adresses IP publiques, notamment les services PaaS comme Azure SQL Database et Stockage Azure. Ces services étant exposés à Internet, quiconque peut éventuellement accéder à vos services Azure.
Les points de terminaison de service peuvent connecter certains services PaaS directement à votre espace d’adressage privé dans Azure pour qu’ils puissent agir comme s’ils étaient sur le même réseau virtuel. Utilisez votre espace d’adressage privé pour accéder directement aux services PaaS. L’ajout de points de terminaison de service ne supprime pas le point de terminaison public. Il redirige simplement le trafic.
Les points de terminaison de service Azure sont disponibles pour de nombreux services, tels que les suivants :
- Stockage Azure
- Azure SQL Database
- Azure Cosmos DB
- Azure Key Vault
- Azure Service Bus
- Azure Data Lake
Pour un service comme SQL Database, auquel vous ne pouvez accéder avant d’ajouter des adresses IP à son pare-feu, vous devez toujours envisager des points de terminaison de service. L’utilisation d’un point de terminaison de service pour SQL Database limite l’accès à des réseaux virtuels spécifiques, renforçant l’isolement et réduisant la surface d’attaque.
Fonctionnement des points de terminaison de service
Pour activer un point de terminaison de service, vous devez :
- Désactiver l’accès public au service.
- Ajouter le point de terminaison de service à un réseau virtuel.
Quand vous activez un point de terminaison de service, vous limitez le flux du trafic et permettez à vos machines virtuelles Azure d’accéder au service directement à partir de votre espace d’adressage privé. Les appareils ne peuvent pas accéder au service à partir d’un réseau public. Sur une carte réseau virtuelle de machine virtuelle déployée, si vous examinez les routages effectifs, vous remarquerez que le point de terminaison de service est identifié en tant que type de tronçon suivant.
Voici un exemple de table de routage, avant l’activation d’un point de terminaison de service :
| SOURCE | ÉTAT | PRÉFIXES D’ADRESSE | TYPE DE TRONÇON SUIVANT |
|---|---|---|---|
| Default | Actif | 10.1.1.0/24 | Réseau virtuel |
| Par défaut | Actif | 0.0.0.0./0 | Internet |
| Default | Actif | 10.0.0.0/8 | None |
| Default | Actif | 100.64.0.0./10 | Aucun |
| Default | Actif | 192.168.0.0/16 | None |
Voici un exemple de table de routage après avoir ajouté deux points de terminaison de service au réseau virtuel :
| SOURCE | ÉTAT | PRÉFIXES D’ADRESSE | TYPE DE TRONÇON SUIVANT |
|---|---|---|---|
| Default | Actif | 10.1.1.0/24 | Réseau virtuel |
| Par défaut | Actif | 0.0.0.0./0 | Internet |
| Default | Actif | 10.0.0.0/8 | None |
| Default | Actif | 100.64.0.0./10 | Aucun |
| Default | Actif | 192.168.0.0/16 | None |
| Default | Actif | 20.38.106.0/23, 10 de plus | VirtualNetworkServiceEndpoint |
| Par défaut | Actif | 20.150.2.0/23, 9 de plus | VirtualNetworkServiceEndpoint |
Tout le trafic pour le service est maintenant routé vers VirtualNetworkServiceEndpoint et demeure dans le périmètre d’Azure.
Points de terminaison de service et réseaux mixtes
Les ressources de service qui ont été sécurisées à l’aide de points de terminaison de service de réseau virtuel ne sont pas, par défaut, accessibles à partir de réseaux locaux. Pour accéder aux ressources à partir d’un réseau local, utilisez des adresses IP NAT. Si vous utilisez ExpressRoute pour la connectivité de votre environnement local à Azure, vous devez identifier les adresses IP NAT utilisées par ExpressRoute. Par défaut, chaque circuit utilise deux adresses IP NAT pour se connecter au réseau principal Azure. Vous devez ensuite ajouter ces adresses IP à la configuration de pare-feu IP de la ressource du service Azure (par exemple, Stockage Azure).
Le diagramme suivant illustre comment vous pouvez utiliser un point de terminaison de service et une configuration de pare-feu pour autoriser les appareils locaux à accéder aux ressources du stockage Azure :
