Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans cet article, vous en apprendrez davantage sur les règles d’administrateur de la sécurité dans Azure Virtual Network Manager. Utilisez des règles d’administration de sécurité pour définir des règles de sécurité réseau globales qui s’appliquent à tous les réseaux virtuels au sein d’un groupe réseau. Vous découvrirez les règles d’administrateur de la sécurité, leur fonctionnement et leur utilisation.
Qu’est-ce qu’une règle d’administrateur de la sécurité ?
Les règles d’administrateur de la sécurité sont des règles de sécurité réseau globales qui appliquent des stratégies de sécurité définies dans le regroupement de règles sur les réseaux virtuels. Utilisez ces règles pour autoriser, toujours autoriser ou refuser le trafic entre les réseaux virtuels au sein de vos groupes de réseaux ciblés. Ces groupes de réseaux peuvent uniquement se composer de réseaux virtuels dans l’étendue de votre instance de gestionnaire de réseaux virtuels. Les règles d’administration de sécurité ne peuvent pas s’appliquer aux réseaux virtuels non gérés par un gestionnaire de réseaux virtuels.
Voici quelques scénarios dans lesquels vous pouvez utiliser des règles d’administrateur de sécurité :
| Scénario | Description |
|---|---|
| Restreindre l’accès aux ports réseau à haut risque | Utilisez des règles d’administration de sécurité pour bloquer le trafic sur des ports spécifiques couramment ciblés par des attaquants, tels que le port 3389 pour le protocole RDP (Remote Desktop Protocol) ou le port 22 pour Secure Shell (SSH). |
| Appliquer les exigences de conformité | Utilisez des règles d’administration de sécurité pour appliquer les exigences de conformité. Par exemple, bloquez le trafic vers ou depuis des adresses IP ou des blocs réseau spécifiques. |
| Protection des données sensibles | Utilisez des règles d’administration de sécurité pour restreindre l’accès aux données sensibles en bloquant le trafic vers ou à partir d’adresses IP ou de sous-réseaux spécifiques. |
| Appliquer la segmentation du réseau | Utilisez des règles d’administration de sécurité pour appliquer la segmentation du réseau en bloquant le trafic entre les réseaux virtuels ou les sous-réseaux. |
| Appliquer la sécurité au niveau des applications | Utilisez des règles d’administration de sécurité pour appliquer la sécurité au niveau de l’application en bloquant le trafic vers ou depuis des applications ou des services spécifiques. |
À l’aide d’Azure Virtual Network Manager, vous disposez d’un emplacement centralisé pour gérer les règles d’administration de sécurité. La centralisation vous permet de définir des stratégies de sécurité à grande échelle et de les appliquer à plusieurs réseaux virtuels à la fois.
Remarque
Actuellement, les règles d’administration de sécurité ne s’appliquent pas aux points de terminaison privés qui relèvent du champ d’application d’un réseau virtuel géré.
Fonctionnement des règles d’administration de sécurité
Les règles d’administration de sécurité autorisent ou refusent le trafic sur des ports, protocoles et préfixes IP source ou de destination spécifiques dans une direction spécifiée. Lorsque vous définissez une règle d’administrateur de sécurité, spécifiez les conditions suivantes :
- La priorité de la règle
- Action à entreprendre (autoriser, refuser ou toujours autoriser)
- La direction du trafic, entrant ou sortant
- Protocole à utiliser
Pour appliquer des stratégies de sécurité sur plusieurs réseaux virtuels, créez et déployez une configuration d’administrateur de sécurité. Cette configuration contient un ensemble de regroupements de règles, qui comportent chacun une ou plusieurs règles d’administrateur de la sécurité. Une fois créé, associez la collection de règles aux groupes réseau nécessitant des règles d’administration de sécurité. Les règles s’appliquent à tous les réseaux virtuels contenus dans les groupes de réseaux lorsque vous déployez la configuration. Une configuration unique fournit une application centralisée et évolutive des stratégies de sécurité sur plusieurs réseaux virtuels.
Important
Vous ne pouvez déployer qu’une seule configuration d’administration de sécurité dans une région. Toutefois, plusieurs configurations de connectivité peuvent exister dans une région. Pour déployer plusieurs configurations d’administration de sécurité dans une région, créez plutôt plusieurs regroupements de règles dans une configuration de sécurité.
Comment les règles d’administration de sécurité et les groupes de sécurité réseau (NSG) sont évalués
Vous pouvez utiliser des règles d’administration de sécurité et des groupes de sécurité réseau (NSG) pour appliquer des stratégies de sécurité réseau dans Azure. Toutefois, ils ont des étendues et des priorités différentes.
Les administrateurs réseau d’une équipe de gouvernance centrale utilisent des règles d’administration de sécurité. Les équipes d’application ou de service individuelles peuvent spécifier davantage la sécurité en fonction des besoins à l’aide de groupes de sécurité réseau. Les règles d’administration de sécurité ont une priorité plus élevée que les groupes de sécurité réseau et sont évaluées avant eux.
Les équipes d’application ou de service individuelles utilisent des groupes de sécurité réseau pour filtrer le trafic réseau vers et depuis des sous-réseaux individuels ou des interfaces réseau. Les groupes de sécurité réseau ont une priorité inférieure aux règles d’administrateur de la sécurité et sont évalués après elles.
Actuellement, vous appliquez des règles d’administration de sécurité au niveau du réseau virtuel. Vous pouvez associer des groupes de sécurité réseau au niveau du sous-réseau et de la carte réseau. Ce tableau présente ces différences et similitudes :
| Type de règle | Public cible | Ressource d’application | Ordre d’évaluation | Types d’actions | Paramètres |
|---|---|---|---|---|---|
| Règles d’administrateur de la sécurité | Administrateurs réseau, équipe de gouvernance centrale | Réseaux virtuels | Priorité plus élevée | Autoriser, refuser, toujours autoriser | Priorité, protocole, action, source, destination |
| Règles de groupe de sécurité réseau | Équipes individuelles | Sous-réseaux, cartes réseau | Priorité inférieure, après les règles d’administration de sécurité | Autoriser, Refuser | Priorité, protocole, action, source, destination |
Les règles d’administrateur de la sécurité peuvent effectuer trois actions sur le trafic : Autoriser, Toujours autoriser et Refuser. Lorsque vous créez une règle Allow , elle est évaluée en premier, suivie des règles de groupe de sécurité réseau. Cette action permet aux règles de groupe de sécurité réseau de gérer le trafic différemment si nécessaire.
Si vous créez une règle Always Allow ou Deny , l’évaluation du trafic se termine après l’évaluation de la règle d’administrateur de sécurité. Avec une règle Toujours autoriser, le trafic est transmis directement à la ressource et se termine par une évaluation supplémentaire (et éventuellement en conflit) par les règles de groupes de sécurité réseau. Cette action peut être utile pour appliquer le trafic et empêcher le refus par les règles de groupes de sécurité réseau. Avec une règle de refus , le trafic s’arrête sans être remis à la destination. Les règles d’administration de sécurité ne dépendent pas des groupes de sécurité réseau. Vous pouvez donc les utiliser pour créer elles-mêmes des règles de sécurité par défaut.
En utilisant ensemble des règles d’administration de sécurité et des groupes de sécurité réseau, vous pouvez appliquer des stratégies de sécurité réseau aux niveaux global et individuel. Cette approche garantit que vos réseaux virtuels sont sécurisés et conformes aux stratégies de sécurité de votre organisation.
Important
Lorsque vous déployez des règles d’administration de sécurité, le modèle de cohérence éventuel est utilisé. Ce modèle signifie que les règles d’administration de sécurité sont finalement appliquées aux ressources contenues dans un réseau virtuel après un court délai. Si vous ajoutez des ressources à un réseau virtuel avec des règles d’administration de sécurité appliquées, ces ressources reçoivent finalement les mêmes règles d’administrateur de sécurité avec un délai.
Avantages des règles d’administrateur de la sécurité
Les règles d’administrateur de la sécurité offrent de nombreux avantages en ce qui concerne la sécurité des ressources de votre organisation. Avec les règles d’administrateur de la sécurité, vous pouvez appliquer le trafic autorisé et empêcher le refus par des règles de groupe de sécurité réseau en conflit. Vous pouvez également créer des règles d’administrateur de la sécurité par défaut qui ne dépendent pas des groupes de sécurité réseau pour exister. Ces règles par défaut peuvent être particulièrement utiles lorsque les propriétaires d’applications effectuent une configuration incorrecte ou oublient de mettre en place des groupes de sécurité réseau. En outre, les règles d’administrateur de la sécurité permettent de gérer la sécurité à grande échelle, ce qui réduit la surcharge opérationnelle liée à la croissance des ressources réseau.
Protéger les ports à haut risque
En fonction de l’étude du secteur et des suggestions de Microsoft, limitez le trafic de l’extérieur à l’aide de règles d’administration de sécurité pour cette liste de ports à haut risque. Ces ports sont souvent utilisés pour la gestion des ressources ou la transmission de données non sécurisées et non chiffrées et ne doivent pas être exposés à Internet. Toutefois, certains réseaux virtuels et leurs ressources doivent autoriser le trafic pour la gestion ou d’autres processus. Vous pouvez créer des exceptions si nécessaire. Découvrez comment bloquer les ports à haut risque avec des exceptions pour ces types de scénarios.
| Port | Protocole | Description |
|---|---|---|
| 20 | TCP | Trafic FTP non chiffré |
| 21 | TCP | Trafic FTP non chiffré |
| 22 | TCP | SSH. Attaques potentielles par force brute |
| 23 | TCP | TFTP autorise le trafic non authentifié et non chiffré |
| 69 | UDP | TFTP autorise le trafic non authentifié et non chiffré |
| 111 | TCP/UDP | RPC. Authentification non chiffrée autorisée |
| 119 | TCP | NNTP pour l’authentification non chiffrée |
| 135 | TCP/UDP | Mappeur de point de terminaison, plusieurs services de gestion à distance |
| 161 | TCP | SNMP pour une authentification non sécurisée / aucune authentification |
| 162 | TCP/UDP | Interruption SNMP - non sécurisée / aucune authentification |
| 445 | TCP | SMB - vecteur d’attaque connu |
| 512 | TCP | Rexec sur Linux - Commandes distantes sans authentification de chiffrement |
| 514 | TCP | Remote Shell - Commandes distantes sans authentification ou chiffrement |
| 593 | TCP/UDP | HTTP RPC EPMAP - Appel de procédure distante non chiffrée |
| 873 | TCP | Rsync - Transfert de fichiers non chiffré |
| 2049 | TCP/UDP | Système de gestion de fichiers en réseau |
| 3389 | TCP | RDP - Port d’attaque par force brute courante |
| 5800 | TCP | Mémoire tampon de trame distante VNC sur HTTP |
| 5900 | TCP | Mémoire tampon de trame distante VNC sur HTTP |
| 11211 | UDP | Memcached |
Gestion à grande échelle
Azure Virtual Network Manager permet de gérer vos stratégies de sécurité à grande échelle à l’aide de règles d’administration de sécurité. Lorsque vous appliquez une configuration d’administrateur de sécurité à un groupe réseau, tous les réseaux virtuels et leurs ressources contenues dans l’étendue du groupe réseau reçoivent les règles d’administrateur de sécurité dans la stratégie.
Les nouvelles ressources sont protégées parallèlement aux ressources existantes. Par exemple, si vous ajoutez de nouvelles machines virtuelles à un réseau virtuel dans l’étendue d’une règle d’administrateur de la sécurité, ces machines sont également sécurisées automatiquement. Peu après avoir déployé ces machines virtuelles, les règles d’administrateur de sécurité les protègent.
Lorsque vous identifiez de nouveaux risques de sécurité, vous pouvez déployer la protection à grande échelle en créant une règle d’administrateur de sécurité pour vous protéger contre le nouveau risque et l’appliquer à vos groupes réseau. Une fois que vous avez déployé cette nouvelle règle, elle protège toutes les ressources dans le périmètre des groupes de réseau, maintenant et à l’avenir.
Non-application des règles d’administrateur de la sécurité
Dans la plupart des cas, les règles d’administration de sécurité s’appliquent à tous les réseaux virtuels et sous-réseaux dans l’étendue de la configuration de sécurité appliquée d’un groupe réseau. Toutefois, certains services n’appliquent pas de règles d’administration de sécurité en raison des exigences réseau du service. La stratégie d’intention réseau du service applique ces exigences.
Non-application des règles d’administrateur de la sécurité au niveau du réseau virtuel
Par défaut, les règles d’administrateur de la sécurité ne sont pas appliquées à un réseau virtuel qui contient les services suivants :
- Instances Azure SQL Managed Instance
- Azure Databricks
Vous pouvez demander à votre gestionnaire de réseaux virtuels Azure d’appliquer des règles d’administration de sécurité sur des réseaux virtuels avec ces services en envoyant une demande avec ce formulaire.
Lorsqu’un réseau virtuel contient ces services, les règles d’administrateur de la sécurité l’ignorent. Si vous souhaitez appliquer des règles Autoriser à ce réseau virtuel, créez votre configuration de sécurité avec le champ AllowRulesOnly défini sur la classe. NET securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices. Lorsqu’elles sont définies, les règles Autoriser de votre configuration de sécurité sont appliquées à ce réseau virtuel. Les règles Refuser ne sont pas appliquées à ce réseau virtuel. Les réseaux virtuels sans ces services peuvent continuer à utiliser les règles Autoriser et Refuser .
Vous pouvez créer une configuration de sécurité avec autoriser uniquement les règles et les déployer sur vos réseaux virtuels à l’aide d’Azure PowerShell et d’Azure CLI.
Remarque
Lorsque plusieurs instances d’Azure Virtual Network Manager appliquent des paramètres différents de la classe securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices au même réseau virtuel, le paramètre de l’instance du gestionnaire de réseau avec l’étendue la plus élevée est utilisé.
Supposons que vous disposiez de deux gestionnaires de réseaux virtuels. Le premier gestionnaire de réseau est limité au groupe d’administration racine et a une configuration de sécurité définie sur AllowRulesOnly dans la securityConfiguration.properties.applyOnNetworkIntentPolicyBasedServices classe. Le deuxième gestionnaire de réseau virtuel est limité à un abonnement sous le groupe d’administration racine et utilise le champ par défaut Aucun dans sa configuration de sécurité. Lorsque les deux configurations appliquent des règles d’administration de sécurité au même réseau virtuel, le paramètre AllowRulesOnly est appliqué au réseau virtuel.
Non-application des règles d’administrateur de la sécurité au niveau des sous-réseaux
De même, certains services n’appliquent pas de règles d’administration de sécurité au niveau du sous-réseau lorsque les réseaux virtuels des sous-réseaux se trouvent dans l’étendue d’une configuration d’administrateur de sécurité. Ces services incluent :
- Azure Application Gateway
- Azure Bastion
- Pare-feu Azure
- Serveur de routes Azure
- Passerelle VPN Azure
- Azure Virtual WAN
- Passerelle Azure ExpressRoute
Dans ce cas, les règles d’administration de sécurité n’affectent pas les ressources du sous-réseau avec ces services. Toutefois, d’autres sous-réseaux au sein du même réseau virtuel ont des règles d’administration de sécurité appliquées.
Remarque
Si vous souhaitez appliquer des règles d’administration de sécurité sur des sous-réseaux contenant Azure Application Gateway, assurez-vous que chaque sous-réseau contient uniquement des passerelles provisionnées avec l’isolation réseau activée. Si un sous-réseau contient Azure Application Gateway sans isolation réseau, les règles d’administration de sécurité ne sont pas appliquées à ce sous-réseau.
Champs d’administrateur de sécurité
Quand vous définissez une règle d’administrateur de sécurité, des champs sont obligatoires et d’autres facultatifs.
Champs obligatoires
Priority
La priorité d’une règle d’administrateur de sécurité est un entier compris entre 1 et 4 096. Plus la valeur est faible, plus la priorité de la règle est élevée. Par exemple, une règle de refus de priorité 10 remplace une règle d’autorisation de priorité 20.
Action
Vous pouvez définir l’une des trois actions suivantes pour une règle de sécurité :
| Action | Description |
|---|---|
| Autoriser | Autoriser le trafic sur le port, le protocole et les préfixes IP source ou de destination spécifiques dans la direction spécifiée. |
| Deny | Bloque le trafic sur le port, le protocole et les préfixes IP source/destination spécifiés dans la direction spécifiée. |
| Toujours autoriser | Indépendamment des autres règles ou des groupes de sécurité réseau définis par l'utilisateur ayant une priorité inférieure, autorise le trafic sur le port, le protocole et les préfixes IP source/destination spécifiés dans la direction spécifiée. |
Sens
Spécifiez la direction du trafic pour laquelle la règle s’applique. Vous pouvez définir le trafic entrant ou sortant.
Protocol
Les protocoles actuellement pris en charge par les règles d’administration de sécurité sont les suivants :
- TCP
- UDP
- ICMP
- ESP
- AH
- Tous les protocoles
Champs facultatifs
Types de sources et de destinations
- Adresses IP : vous pouvez fournir des adresses IPv4 ou IPv6, ou des blocs d’adresses en notation CIDR. Pour répertorier plusieurs adresses IP, séparez chaque adresse IP par une virgule.
- Balise de service : vous pouvez définir des étiquettes de service spécifiques en fonction de régions ou d’un service entier. Pour obtenir la liste des étiquettes prises en charge, consultez la documentation publique sur les étiquettes de service disponibles. Parmi cette liste, les règles d’administration de sécurité ne prennent actuellement pas en charge les balises de service AzurePlatformDNS, AzurePlatformIMDS et AzurePlatformLKM.
Ports source et de destination
Vous pouvez définir des ports communs spécifiques à bloquer à partir de la source ou vers la destination. Voici une liste des ports TCP courants :
| Ports | Nom du service |
|---|---|
| 20, 21 | FTP |
| 22 | SSH |
| 23 | Telnet |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
| 3389 | RDP |
| 1433 | SQL |
Étapes suivantes
Découvrez comment bloquer le trafic réseau à l’aide d’une configuration d’administrateur de sécurité.