Vue d’ensemble de la sécurité réseau Azure

La sécurité réseau protège les ressources contre l’accès ou les attaques non autorisés en contrôlant le trafic réseau. Azure fournit une infrastructure réseau robuste pour prendre en charge vos exigences de connectivité d’application et de service, avec des contrôles de sécurité à chaque couche.

Cet article traite des principales fonctionnalités de sécurité réseau dans Azure :

• Contrôle d’accès réseau
• Pare-feu Azure
• Accès à distance sécurisé et connectivité intersite
• Disponibilité et équilibrage de charge
• Résolution de noms
• DDoS protection
• Azure Front Door
• Surveillance et détection des menaces

Remarque

Pour les charges de travail web, nous vous recommandons d’utiliser Azure DDoS Protection et un pare-feu d’applications web pour vous protéger contre les attaques DDoS. Azure Front Door avec un pare-feu d’applications web offre une protection au niveau de la plateforme contre les attaques DDoS au niveau du réseau.

Réseau virtuel Azure

Le réseau virtuel Azure est le bloc de construction fondamental de votre réseau privé dans Azure. Chaque réseau virtuel est isolé des autres réseaux virtuels, ce qui permet de s’assurer que le trafic réseau dans vos déploiements n’est pas accessible à d’autres clients Azure. Les réseaux virtuels permettent aux ressources Azure de communiquer en toute sécurité entre elles, internet et réseaux locaux.

En savoir plus :

• Vue d’ensemble du réseau virtuel Azure
• Planifier des réseaux virtuels

Contrôle d’accès réseau

Le contrôle d’accès réseau limite la connectivité à et à partir d’appareils ou de sous-réseaux spécifiques au sein d’un réseau virtuel. L’objectif est de restreindre l’accès à vos machines virtuelles et services aux utilisateurs et appareils approuvés.

Groupes de sécurité réseau

Les groupes de sécurité réseau (NSG) fournissent un filtrage de paquets avec état de base en fonction de l’adresse IP et des protocoles TCP/UDP. Les groupes de sécurité réseau contrôlent l'accès en utilisant un 5-tuple (adresse IP source, port source, adresse IP de destination, port de destination, protocole).

Les NSG incluent des fonctionnalités pour faciliter la gestion :

• Règles de sécurité augmentées : créez des règles complexes au lieu de plusieurs règles simples pour obtenir le même résultat
• Étiquettes de service : étiquettes gérées par Microsoft représentant des groupes d’adresses IP qui sont mises à jour dynamiquement
• Groupes de sécurité d’application : organiser les ressources en groupes d’applications et contrôler l’accès en fonction de ces groupes

En savoir plus :

• Groupes de sécurité réseau
• Meilleures pratiques en matière de sécurité réseau

Points de terminaison de service

Les points de terminaison de service de réseau virtuel étendent votre espace d’adressage privé de réseau virtuel aux services Azure via une connexion directe. Les points de terminaison de service conservent le trafic sur le réseau principal Azure et limitent la communication avec les services pris en charge vers vos réseaux virtuels uniquement.

En savoir plus :

• Points de terminaison de service de réseau virtuel

Azure Private Link

Azure Private Link fournit une connectivité privée à partir d’un réseau virtuel aux services PaaS Azure, aux services appartenant au client ou aux services partenaires Microsoft. Le trafic Private Link reste sur le réseau principal Microsoft Azure, éliminant ainsi l’exposition à l’Internet public.

En savoir plus :

• Qu’est-ce que Liaison privée Azure ?
• Points de terminaison privés

Pare-feu Azure

Le Pare-feu Azure est un service de sécurité de pare-feu réseau intelligent natif cloud qui offre une protection contre les menaces pour les charges de travail cloud. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud.

Le Pare-feu Azure est disponible dans trois références SKU :

• Pare-feu Azure Basic : sécurité simplifiée pour les petites et moyennes entreprises
• Le Pare-feu Azure Standard : filtrage des couches 3 à 7 et des flux de veille des menaces provenant de Microsoft Cyber Security.
• Pare-feu Azure Premium : fonctionnalités avancées, notamment IDPS basée sur des signatures pour la détection rapide des attaques

En savoir plus :

• Qu’est-ce qu’un pare-feu Azure ?
• Choisir la référence SKU du pare-feu Azure appropriée
• Vue d’ensemble de la détection et de la protection des menaces

Accès à distance sécurisé et connectivité intersite

Azure prend en charge plusieurs scénarios d’accès à distance sécurisés pour la gestion des ressources Azure et le déploiement de solutions informatiques hybrides.

VPN de point à site

Les connexions VPN point à site permettent aux utilisateurs individuels d’établir des connexions privées et sécurisées à un réseau virtuel. Les utilisateurs peuvent accéder aux machines virtuelles et services dans Azure après l’authentification. Le VPN point à site prend en charge :

• Protocole SSTP (Secure Socket Tunneling Protocol) : protocole VPN ssl propriétaire (appareils Windows)
• VPN IKEv2 : solution VPN IPsec basée sur des normes (appareils Mac)
• Protocole OpenVPN : protocole VPN basé sur SSL/TLS (appareils Android, iOS, Windows, Linux et Mac)

En savoir plus :

• À propos du VPN point à site
• Configurer une connexion VPN point à site

VPN de site à site

Les connexions de passerelle VPN de site à site établissent une connectivité intersite sécurisée entre votre réseau local et vos réseaux virtuels Azure. Les VPN de site à site utilisent le protocole VPN en mode tunnel IPsec hautement sécurisé.

La passerelle VPN est essentielle pour les scénarios informatiques hybrides où des parties d’un service sont hébergées à la fois dans Azure et localement.

En savoir plus :

• À propos de la passerelle VPN
• Créer une connexion de site à site

ExpressRoute

ExpressRoute fournit des liens WAN dédiés entre votre réseau local et vos services cloud Microsoft. Les connexions ExpressRoute ne traversent pas l’Internet public, offrant une sécurité renforcée, la fiabilité, la vitesse et une latence inférieure par rapport aux connexions Internet.

ExpressRoute prend en charge :

• ExpressRoute Direct : Connectivité directe au réseau mondial Microsoft
• ExpressRoute Global Reach : connectivité entre vos sites locaux via des circuits ExpressRoute

En savoir plus :

• Présentation d’ExpressRoute
• Modèles de connectivité ExpressRoute

Peering de réseaux virtuels

L’appairage de réseaux virtuels connecte deux réseaux virtuels Azure, permettant aux ressources de l’un ou l’autre réseau de communiquer entre elles. Le peering VNet utilise l’infrastructure de base de Microsoft, contournant Internet public. Le peering prend en charge les connexions au sein de la même région Azure ou entre différentes régions (peering global de réseaux virtuels).

En savoir plus :

• Interconnexion de réseaux virtuels
• Créer un VNet Peering

Disponibilité et équilibrage de charge

L’équilibrage de charge répartit les connexions entre plusieurs appareils pour augmenter la disponibilité et les performances. Azure fournit plusieurs options d’équilibrage de charge.

Azure Load Balancer (répartiteur de charge Azure)

Azure Load Balancer fournit des équilibrages de charge de couche 4 hautes performances et à faible latence pour tous les protocoles UDP et TCP. Load Balancer distribue le trafic entrant aux instances backend en fonction des règles configurées et des sondes d’intégrité.

Les fonctionnalités de Load Balancer sont les suivantes :

• Prise en charge des scénarios d’équilibrage de charge interne et externe
• Redondance de zone et déploiements zonaux
• Prise en charge des applications TCP et UDP
• Sondes d’intégrité pour déterminer la disponibilité de l’instance back-end

En savoir plus :

• Qu’est-ce que Azure Load Balancer ?
• Standard Load Balancer et zones de disponibilité

Azure Application Gateway

Azure Application Gateway est un équilibreur de charge de trafic web (couche 7) qui gère le trafic vers vos applications web. Application Gateway prend des décisions de routage basées sur des attributs de requête HTTP tels que les en-têtes d’URI ou d’hôte.

Les fonctionnalités d’Application Gateway sont les suivantes :

• Pare-feu d’applications web (WAF) pour la protection centralisée
• Arrêt TLS pour réduire la surcharge de chiffrement sur les serveurs web
• Affinité de session basée sur les cookies
• Routage de contenu basé sur l’URL
• Mise à l’échelle automatique et redondance de zone

En savoir plus :

• Qu’est-ce qu’Azure Application Gateway ?
• Les composants de l'Application Gateway

Azure Traffic Manager

Azure Traffic Manager est un équilibreur de charge de trafic BASÉ sur DNS qui distribue le trafic de manière optimale aux services dans les régions Azure globales. Traffic Manager fournit une haute disponibilité et une réactivité en acheminant les demandes du client vers le point de terminaison de service le plus approprié en fonction de la méthode de routage du trafic et de l’intégrité du point de terminaison.

Traffic Manager prend en charge plusieurs méthodes de routage, notamment la priorité, les pondérations, les performances, la géographie, la multivaleur et le routage de sous-réseau.

En savoir plus :

• Qu’est-ce que Traffic Manager ?
• Méthodes de routage de Traffic Manager

Résolution de noms

La résolution de noms sécurisée est cruciale pour tous les services hébergés dans le cloud. Les fonctions de résolution de noms compromises peuvent rediriger les demandes vers des sites malveillants.

Azure DNS

Azure DNS fournit une résolution de noms hautement disponible et performante à l’aide de l’infrastructure Microsoft Azure. Azure DNS prend en charge :

• Domaines DNS publics hébergés sur l’infrastructure globale Azure
• Zones DNS privées pour la résolution de noms au sein et entre les réseaux virtuels
• Scénarios DNS à horizon fractionné dans lesquels le même nom de domaine est résolu différemment pour les requêtes privées et publiques

En savoir plus :

• Vue d’ensemble d’Azure DNS
• Zones DNS privées Azure

DDoS protection

Les attaques par déni de service distribué (DDoS) sont parmi les problèmes de disponibilité et de sécurité les plus importants pour les clients qui déplacent des applications vers le cloud. Azure DDoS Protection protège les ressources Azure contre les attaques DDoS.

Offres SKU de Protection DDoS d'Azure :

• Protection de l’infrastructure DDoS : protection de base activée par défaut sur toutes les propriétés Azure sans coût supplémentaire
• Protection réseau DDoS : protection avancée pour les ressources des réseaux virtuels avec réglage adaptatif, stratégies d’atténuation et surveillance

Les fonctionnalités de protection réseau DDoS sont les suivantes :

• Intégration de la plateforme native à la configuration via le portail Azure
• Surveillance du trafic permanente et atténuation en temps réel
• Analyse des attaques, y compris les rapports d’atténuation et les journaux de flux
• Réglage adaptatif basé sur les modèles de trafic d’application
• Garantie des coûts, y compris le transfert de données et les crédits de service pour l'extensibilité des applications

En savoir plus :

• Vue d’ensemble d’Azure DDoS Protection
• Gérer la protection DDoS

Azure Front Door

Azure Front Door est un point d’entrée mondial scalable qui utilise le réseau de périphérie mondial de Microsoft pour créer des applications web rapides, sécurisées et très scalables. Front Door fournit l’équilibrage de charge de la couche 7, la terminaison TLS, le routage basé sur l’URL et la sécurité intégrée.

Les fonctionnalités Front Door sont les suivantes :

• Équilibrage de charge HTTP global avec basculement instantané
• Terminaison TLS à la périphérie
• Routage basé sur le chemin d’URL
• Affinité de session basée sur les cookies
• Protection du pare-feu d’applications web
• Protection DDoS au niveau de la plateforme
• Intégration de Private Link pour protéger les origines du back-end

En savoir plus :

• Qu’est-ce qu’Azure Front Door ?
• Architecture de routage de Front Door

Surveillance et détection des menaces

Azure fournit des outils pour surveiller la sécurité réseau et détecter les menaces.

Azure Network Watcher

Azure Network Watcher fournit des outils pour surveiller, diagnostiquer et obtenir des insights sur votre réseau dans Azure.

Les fonctionnalités de Network Watcher sont les suivantes :

• Moniteur de connexion : surveille la connectivité entre les ressources Azure et les points de terminaison
• Journaux de flux NSG : journaux d’informations sur le trafic IP transitant par des groupes de sécurité réseau
• Capture de paquets : capture le trafic réseau vers et depuis des machines virtuelles
• Résolution des problèmes vpn : diagnostiquer les problèmes liés aux passerelles VPN et aux connexions
• Diagnostics réseau : valide la configuration réseau et identifie les problèmes de sécurité

En savoir plus :

• Qu’est-ce qu’Azure Network Watcher ?
• Vue d’ensemble de la surveillance de Network Watcher

Microsoft Defender for Cloud

Microsoft Defender pour Cloud vous aide à prévenir, détecter et répondre aux menaces avec une visibilité et un contrôle accrus de la sécurité de vos ressources Azure. Defender pour cloud fournit des recommandations de sécurité réseau, surveille la configuration de la sécurité réseau et vous avertit des menaces basées sur le réseau.

En savoir plus :

• Présentation de Microsoft Defender pour le cloud
• Protéger vos ressources réseau
• Vue d’ensemble de la détection des menaces

Étapes suivantes

• Meilleures pratiques et tendances Azure relatives à la sécurité
• Meilleures pratiques en matière de sécurité réseau
• Vue d’ensemble de la sécurité de la gestion des identités
• Détection et protection contre les menaces