Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Azure Policy est un service d’Azure qui vous permet de créer, affecter et gérer des stratégies. Ces stratégies appliquent différentes règles et effets sur vos ressources, qui restent donc conformes aux standards et aux contrats de niveau de service de votre entreprise, Azure Policy réalise cela en évaluant la non-conformité de vos ressources aux stratégies affectées. Par exemple, vous pouvez avoir une stratégie pour autoriser seulement une certaine taille de machines virtuelles dans votre environnement ou pour appliquer une étiquette spécifique sur des ressources.
Azure Policy peut être utilisé pour gouverner les configurations du Pare-feu Azure en appliquant des stratégies qui définissent les configurations autorisées ou non. Ceci permet de faire en sorte que les paramètres de pare-feu sont cohérents avec les exigences de conformité et les bonnes pratiques de sécurité de l’organisation.
Prérequis
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.
Stratégies disponibles pour le Pare-feu Azure
Les stratégies suivantes sont disponibles pour le Pare-feu Azure :
Activer Threat Intelligence dans la stratégie de Pare-feu Azure
Cette stratégie garantit que les configurations du Pare-feu Azure sans veille des menaces est marquée comme non conforme.
Déployer le Pare-feu Azure sur plusieurs zones de disponibilité
La stratégie limite le déploiement du Pare-feu Azure pour qu’il soit autorisé seulement avec une configuration de plusieurs zones de disponibilité.
Mettre à niveau le Pare-feu Azure Standard vers Premium
Cette stratégie recommande la mise à niveau du Pare-feu Azure Standard vers Premium afin de permettre l’utilisation de toutes les fonctionnalités avancées du pare-feu Premium. Ceci améliore encore la sécurité du réseau.
L’analytique des stratégies du Pare-feu Azure doit être activée
Cette stratégie garantit que l’analytique des stratégies est activée sur le pare-feu pour optimiser efficacement les règles du pare-feu.
Le Pare-feu Azure doit autoriser seulement le trafic chiffré
Cette stratégie analyse les règles et ports existants dans la stratégie du Pare-feu Azure et audite la stratégie du pare-feu pour faire en sorte que seul le trafic chiffré soit autorisé dans l’environnement.
Le proxy DNS doit être activé sur le Pare-feu Azure
Cette stratégie garantit que la fonctionnalité de proxy DNS est activée sur les déploiements du Pare-feu Azure.
Activer IDPS dans la stratégie du Pare-feu Azure Premium
Cette stratégie garantit que la fonctionnalité IDPS est activée sur les déploiements du Pare-feu Azure pour protéger efficacement l’environnement contre différentes menaces et vulnérabilités.
Activer l’inspection TLS sur la stratégie du Pare-feu Azure
Cette stratégie impose que l’inspection TLS soit activée pour détecter, alerter de et atténuer les activités malveillantes dans le trafic HTTPS.
Appliquer la configuration de proxy explicite pour les stratégies de pare-feu
Cette stratégie garantit que toutes les stratégies de pare-feu Azure ont une configuration de proxy explicite activée. Il vérifie la présence du
explicitProxy.enableExplicitProxychamp et signale les ressources comme non conformes si ce paramètre est manquant. Cela permet de maintenir des configurations proxy cohérentes dans tous les déploiements de pare-feu. Pour obtenir la définition de stratégie complète, consultez Appliquer la configuration de proxy explicite pour les stratégies de pare-feu.Activer la configuration du fichier PAC lors de l’utilisation d’un proxy explicite sur le pare-feu Azure
Cette stratégie audite les stratégies de pare-feu Azure pour s’assurer que lorsque le proxy explicite est activé, le fichier PAC (Configuration automatique du proxy) est également correctement configuré. Il valide que si
explicitProxy.enableExplicitProxyest vrai, alorsexplicitProxy.enablePacFiledoit également être activé pour assurer des fonctionnalités correctes de configuration automatique de proxy. Pour obtenir la définition de stratégie complète, consultez Activer la configuration du fichier PAC lors de l’utilisation du proxy explicite sur le pare-feu Azure.Migrer des règles classiques du Pare-feu Azure vers la stratégie de pare-feu
Cette stratégie recommande de migrer des règles classiques du pare-feu vers la stratégie de pare-feu.
Le Pare-feu Azure doit être déployé sur les réseaux virtuels avec une étiquette spécifique
Cette stratégie recherche tous les réseaux virtuels avec une étiquette spécifiée, vérifie si un Pare-feu Azure est déployé et marque le réseau comme non conforme s’il n’existe pas de Pare-feu Azure.
Les étapes suivantes vous montrent comment créer une stratégie Azure qui applique toutes les stratégies de pare-feu pour que la fonctionnalité Threat Intelligence soit activée (Alerter uniquement ou Alerter et refuser). L’étendue Azure Policy est définie sur le groupe de ressources que vous créez.
Créer un groupe de ressources
Ce groupe de ressources est défini comme étendue pour Azure Policy et est l’endroit où vous créez la stratégie de pare-feu.
- Dans le portail Azure, sélectionnez Créer une ressource.
- Dans la zone de recherche, tapez groupe de ressources, puis appuyez sur Entrée.
- Sélectionnez Groupe de ressources dans les résultats de la recherche.
- Sélectionnez Créer.
- Sélectionnez votre abonnement.
- Tapez un nom pour votre groupe de ressources.
- Sélectionnez une région.
- Sélectionnez Suivant : Étiquettes.
- Sélectionnez Suivant : Vérifier + créer.
- Sélectionnez Créer.
Créer une stratégie Azure
Créez maintenant une stratégie Azure dans votre nouveau groupe de ressources. Cette stratégie garantit que toutes les stratégies de pare-feu doivent avoir la veille des menaces activée.
- Dans le portail Azure, sélectionnez Tous les services.
- Dans la zone de filtre, tapez stratégie, puis appuyez sur Entrée.
- Sélectionnez Stratégie dans les résultats de la recherche.
- Dans la page Stratégie, sélectionnez Prise en main.
- Sous Affecter des stratégies, sélectionnez Voir les définitions.
- Dans la page Définitions, tapez pare-feu dans la zone de recherche.
- Sélectionnez La veille des menaces doit être activée sur la stratégie du Pare-feu Azure.
- Sélectionnez Attribuer une stratégie.
- Pour Étendue, sélectionnez votre abonnement et votre nouveau groupe de ressources.
- Cliquez sur Sélectionner.
- Cliquez sur Suivant.
- Dans la page Paramètres, décochez la case Afficher uniquement les paramètres qui ont besoin d’une entrée ou d’une évaluation.
- Pour Effet, sélectionnez Refuser.
- Sélectionnez Revoir + créer.
- Sélectionnez Créer.
Créer une stratégie de pare-feu
Vous essayez maintenant de créer une stratégie de pare-feu avec la veille des menaces désactivée.
- Dans le portail Azure, sélectionnez Créer une ressource.
- Dans la zone de recherche, tapez stratégie de pare-feu, puis appuyez sur Entrée.
- Sélectionnez Stratégie de pare-feu dans les résultats de la recherche.
- Sélectionnez Créer.
- Sélectionnez votre abonnement.
- Pour Groupe de ressources, sélectionnez le groupe de ressources que vous avez créé précédemment.
- Dans la zone de texte Nom, tapez un nom pour votre stratégie.
- Sélectionnez Suivant : Paramètres DNS.
- Continuez la sélection jusqu’à la page Veille des menaces.
- Pour Mode Threat Intelligence, sélectionnez Désactivé.
- Sélectionnez Revoir + créer.
Vous devez normalement voir une erreur indiquant que votre ressource n’était pas autorisée par la stratégie, confirmant que votre stratégie Azure n’autorise pas les stratégies de pare-feu pour lesquelles Threat Intelligence est désactivé.
Définitions Azure Policy supplémentaires
Pour plus de définitions Azure Policy spécifiquement conçues pour le Pare-feu Azure, notamment les stratégies de configuration de proxy explicite, consultez le référentiel GitHub de sécurité réseau Azure. Ce référentiel contient des définitions de stratégie fournies par la communauté que vous pouvez déployer dans votre environnement.