Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Utilisez un groupe de sécurité réseau Azure (NSG) pour filtrer le trafic réseau vers et depuis des ressources Azure dans un réseau virtuel Azure. Les groupes de sécurité réseau fournissent des fonctionnalités de filtrage du trafic essentielles qui permettent de sécuriser votre infrastructure cloud en contrôlant le trafic pouvant circuler entre les ressources. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant ou sortant en direction/à partir des différents types de ressources Azure. Pour chaque règle, vous pouvez spécifier les détails source et de destination, le port et le protocole.
Vous pouvez déployer des ressources à partir de plusieurs services Azure dans un réseau virtuel Azure. Pour une liste complète, consultez Services pouvant être déployés dans un réseau virtuel. Si vous le souhaitez, vous pouvez associer un groupe de sécurité réseau à chaque sous-réseau de réseau virtuel et interface réseau dans une machine virtuelle. Le même groupe de sécurité réseau peut être associé à autant de sous-réseaux et d’interfaces réseau que vous le souhaitez.
Le diagramme suivant illustre différents scénarios pour la façon dont les groupes de sécurité réseau peuvent être déployés pour autoriser le trafic réseau vers et depuis Internet via le port TCP 80 :
Reportez-vous au diagramme précédent pour comprendre comment Azure traite les règles entrantes et sortantes. Le diagramme illustre la façon dont les groupes de sécurité réseau gèrent le filtrage du trafic.
Inbound traffic
Pour le trafic entrant, Azure traite d’abord les règles d’un groupe de sécurité réseau associé à un sous-réseau s’il en existe un. Azure traite ensuite les règles d’un groupe de sécurité réseau associé à l’interface réseau s’il en existe un. Cet ordre d’évaluation s’applique au trafic intra-sous-réseau.
VM1 : Les règles de sécurité dans NSG1 sont traitées, car NSG1 est associé au sous-réseau1 et VM1 réside dans Subnet1. La règle de sécurité DenyAllInbound par défaut bloque le trafic, sauf si vous créez une règle personnalisée qui autorise explicitement le port 80 entrant. NSG2, associé à l’interface réseau NIC1, ne prend pas en compte le trafic bloqué. Toutefois, si NSG1 autorise le port 80 dans sa règle de sécurité, NSG2 évalue ensuite le trafic. Pour autoriser le port 80 sur la machine virtuelle, NSG1 et NSG2 doivent inclure une règle qui autorise le port 80 à partir d’Internet.
VM2 : Les règles de sécurité dans NSG1 sont traitées, car VM2 est également dans Subnet1. Étant donné que VM2 n’a pas de groupe de sécurité réseau associé à son interface réseau, il reçoit tout le trafic autorisé via NSG1 et a refusé tout le trafic bloqué par NSG1. Le trafic est soit autorisé, soit refusé à toutes les ressources dans le même sous-réseau lorsqu’un groupe de sécurité réseau est associé à un sous-réseau.
VM3 : étant donné qu’aucun groupe de sécurité réseau n’est associé au sous-réseau2, le trafic est autorisé dans le sous-réseau et traité par NSG2, car NSG2 est associé à la carte réseau NIC1 attachée à VM3.
VM4 : le trafic est bloqué vers vm4 , car un groupe de sécurité réseau n’est pas associé au sous-réseau3 ni à l’interface réseau de la machine virtuelle. L’intégralité du trafic réseau est bloquée via une interface réseau et un sous-réseau si aucun groupe de sécurité réseau ne leur est associé. La machine virtuelle avec une adresse IP publique standard est sécurisée par défaut. Pour que le trafic circule à partir d’Internet, un groupe de sécurité réseau doit être associé au sous-réseau ou à l’interface réseau de la machine virtuelle. Pour plus d’informations, consultez la version de l’adresse IP.
Outbound traffic
Pour le trafic sortant, Azure traite les règles de groupe de sécurité réseau dans un ordre spécifique. Azure évalue les règles d’un groupe de sécurité réseau associé à une interface réseau. Ensuite, Azure traite les règles dans n’importe quel groupe de sécurité réseau associé au sous-réseau. Ce même ordre de traitement s’applique au trafic intra-sous-réseau.
VM1 : Les règles de sécurité dans NSG2 sont traitées. La règle de sécurité par défaut AllowInternetOutbound dans NSG1 et NSG2 autorise le trafic, sauf si vous créez une règle de sécurité qui refuse explicitement le port 80 sortant vers Internet. Si NSG2 refuse le port 80 dans sa règle de sécurité, il refuse le trafic et NSG1 ne reçoit jamais le trafic et ne peut pas l’évaluer. Pour refuser le port 80 de la machine virtuelle, l’un des groupes de sécurité réseau ou les deux doit avoir une règle qui refuse le port 80 à Internet.
VM2 : tout le trafic est envoyé via l’interface réseau au sous-réseau, car l’interface réseau attachée à VM2 n’a pas de groupe de sécurité réseau associé à celui-ci. Les règles dans NSG1 sont traitées.
VM3 : si NSG2 refuse le port 80 dans sa règle de sécurité, il bloque le trafic. Si NSG2 ne refuse pas le port 80, la règle de sécurité par défaut AllowInternetOutbound de NSG2 autorise le trafic, car aucun groupe de sécurité réseau n’est associé à Subnet2.
VM4 : Le trafic circule librement à partir de VM4 , car aucun groupe de sécurité réseau n’est associé à l’interface réseau de la machine virtuelle ou au sous-réseau3.
Intra-subnet traffic
Il est important de noter que les règles de sécurité d’un groupe de sécurité réseau associés à un sous-réseau peuvent affecter la connectivité entre les machines virtuelles qu’elle contient. Par défaut, les machines virtuelles du même sous-réseau peuvent communiquer en fonction d’une règle de groupe de sécurité réseau par défaut autorisant le trafic intra-sous-réseau. Si vous ajoutez une règle à NSG1 qui refuse tout le trafic entrant et sortant, VM1 et VM2 ne peuvent pas communiquer entre elles.
Vous pouvez facilement afficher des règles d’agrégation appliquées à une interface réseau en consultant les règles de sécurité efficaces relatives à une interface réseau. La fonctionnalité de vérification du flux IP dans Azure Network Watcher permet de déterminer si la communication est autorisée ou à partir d’une interface réseau. La vérification du flux IP détermine si une communication est autorisée ou refusée. Il identifie également quelle règle de sécurité réseau est responsable de l’autorisation ou du refus du trafic.
Le vérificateur réseau d’Azure Virtual Network Manager peut également aider à résoudre les problèmes d’accessibilité entre les machines virtuelles et Internet ou d’autres ressources Azure. Le vérificateur réseau fournit des insights sur les règles de groupe de sécurité réseau et d’autres règles et stratégies Azure susceptibles d’affecter la connectivité.
Tip
Pour une configuration de sécurité optimale, évitez d’associer des groupes de sécurité réseau à un sous-réseau et à ses interfaces réseau en même temps. Choisissez d’associer votre groupe de sécurité réseau au sous-réseau ou à l’interface réseau, mais pas les deux. Lorsque vous appliquez des groupes de sécurité réseau à plusieurs niveaux, les règles peuvent être en conflit les unes avec les autres. Ce chevauchement dans les règles de sécurité entraîne souvent des problèmes inattendus de filtrage du trafic qui sont difficiles à résoudre.
Next steps
Découvrez les ressources Azure que vous pouvez déployer dans un réseau virtuel. Consultez Intégration de réseau virtuel pour les services Azure pour trouver des ressources qui prennent en charge les groupes de sécurité réseau.
Suivez un didacticiel rapide pour obtenir l’expérience de création d’un groupe de sécurité réseau.
Si vous êtes familier avec les groupes de sécurité réseau et que vous devez en gérer un, consultez Gérer un groupe de sécurité réseau.
Si vous rencontrez des problèmes de communication et que vous avez besoin résoudre les problèmes de groupes de sécurité réseau, consultez Diagnostiquer un problème de filtre de trafic réseau sur une machine virtuelle.
Découvrez comment activer les journaux de flux de réseau virtuel pour analyser le trafic vers et depuis votre réseau virtuel qui peut passer par des groupes de sécurité réseau associés.