Partager via

Tutoriel : Sécuriser votre hub virtuel avec Azure Firewall Manager

À l’aide d’Azure Firewall Manager, vous pouvez créer des hubs virtuels sécurisés pour sécuriser le trafic de votre réseau cloud à destination d’adresses IP privées, d’Azure PaaS et d’Internet. Le routage du trafic vers le pare-feu étant automatisé, vous n’avez pas besoin de créer des routes définies par l’utilisateur.

Firewall Manager prend également en charge une architecture de réseau virtuel hub. Pour obtenir une comparaison des types d’architectures de hub virtuel sécurisé et de réseau virtuel hub, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?

Dans ce tutoriel, vous allez apprendre à :

  • Créer le réseau virtuel spoke
  • Créer un hub virtuel sécurisé
  • Connecter les réseaux virtuels en étoile
  • Acheminer le trafic vers votre hub
  • Déployer les serveurs
  • Créer une stratégie de pare-feu et sécuriser votre hub
  • Tester le pare-feu

Important

La procédure décrite dans ce didacticiel utilise Azure Firewall Manager pour créer un hub sécurisé Azure Virtual WAN. Vous pouvez utiliser Firewall Manager pour mettre à niveau un hub existant, mais ne pouvez pas configurer de Zones de disponibilité Azure pour un Pare-feu Azure. Il est également possible de convertir un hub existant en hub sécurisé à l’aide du portail Azure, comme décrit dans Configurer un Pare-feu Azure dans un hub Virtual WAN. Toutefois, comme Azure Firewall Manager, vous ne pouvez pas configurer de Zones de disponibilité. Pour mettre à niveau un hub existant et spécifier des Zones de disponibilité pour un Pare-feu Azure (recommandé), vous devez suivre la procédure de mise à niveau décrite dans Tutoriel : Sécuriser votre hub virtuel avec Azure PowerShell.

Schéma illustrant le réseau sécurisé du cloud.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une architecture hub and spoke

Commencez par créer un réseau virtuel en étoile où placer vos serveurs.

Créer deux réseaux virtuels en étoile et des sous-réseaux

Les deux réseaux virtuels comportent chacun un serveur de charge de travail et sont protégés par le pare-feu.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.

  2. Recherchez Réseau virtuel, sélectionnez-le, puis cliquez sur Créer.

  3. Créez un réseau virtuel en définissant les paramètres suivants :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement
    groupe de ressources Sélectionnez Créer nouveau et saisissez le nom fw-manager-rg, puis cliquez sur OK
    Nom du réseau virtuel Spoke-01
    Région USA Est

  4. Sélectionnez Suivant, puis Suivant.

  5. Sous l’onglet Mise en réseau , créez des sous-réseaux avec les paramètres suivants :

    Paramètre Valeur
    Ajouter un espace d’adressage IPv4 10.0.0.0/16 (par défaut)
    Sous-réseaux
    Sous-réseau de charge de travail
    Nom Workload-01-SN
    Adresse de début 10.0.1.0/24
    Sous-réseau Bastion
    Nom AzureBastionSubnet
    Adresse de début 10.0.2.0/26

  6. Cliquez sur Enregistrer, Réviser + créer, puis sélectionnez Créer.

Répétez cette procédure pour créer un autre réseau virtuel similaire dans le groupe de ressources fw-manager-rg :

Paramètre Valeur
Nom Spoke-02
Espace d’adressage 10.1.0.0/16
Nom du sous-réseau Workload-02-SN
Adresse de début 10.1.1.0/24

Créer le hub virtuel sécurisé

Créez votre hub virtuel sécurisé à l’aide de Firewall Manager.

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

  2. Dans la zone de recherche, entrez Firewall Manager et sélectionnez Firewall Manager.

  3. Dans la page Firewall Manager, sous Déploiements, sélectionnez Hubs virtuels.

  4. Dans la page Firewall Manager | Hubs virtuels, sélectionnez Créer un hub virtuel sécurisé.

  5. Sur la page Créer un nouveau hub virtuel sécurisé, renseignez les informations suivantes :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement.
    groupe de ressources Sélectionnez fw-manager-rg
    Région USA Est
    Nom du hub virtuel sécurisé Hub-01
    Espace d'adressage du hub 10.2.0.0/16

  6. Sélectionnez Nouveau vWAN.

    Paramètre Valeur
    Nouveau nom Virtual WAN Vwan-01
    Type Standard
    Inclure une passerelle VPN pour activer les partenaires de sécurité de confiance Laissez cette case à cocher décochée.

  7. Sélectionnez Suivant : Pare-feu Azure.

  8. Acceptez le paramètre par défaut Pare-feu AzureActivé.

  9. Pour Niveau du pare-feu Azure, sélectionnez Standard.

  10. Sélectionnez la combinaison souhaitée de Zones de disponibilité.

    Important

    Un Virtual WAN est une collection de hubs et de services disponibles dans le hub. Vous pouvez déployer autant de Virtual WAN que nécessaire. Dans un hub Virtual WAN, il existe plusieurs services tels que VPN, ExpressRoute, etc. Chacun de ces services est automatiquement déployé dans les Zones de disponibilité, à l’exception du Pare-feu Azure, si la région prend en charge les Zones de disponibilité. Pour vous aligner sur la résilience d’Azure Virtual WAN, vous devez sélectionner toutes les Zones de disponibilité disponibles.

  11. Saisissez 1 dans la zone de texte Spécifier le nombre d’adresses IP publiques ou associez une adresse IP publique existante (version préliminaire) à ce pare-feu.

  12. Sous Stratégie de pare-feu, vérifiez que la Stratégie de refus par défaut est bien sélectionnée. Vous affinerez vos paramètres plus loin dans cet article.

  13. Sélectionnez Suivant : Fournisseur de partenaire de sécurité.

  14. Acceptez le paramètre Partenaire de sécurité de confianceDésactivé par défaut, puis sélectionnez Suivant : Vérifier + créer.

  15. Sélectionnez Create (Créer).

Remarque

La création d’un hub virtuel sécurisé peut prendre jusqu’à 30 minutes.

Vous pouvez obtenir l’adresse IP publique du pare-feu une fois le déploiement terminé.

  1. Ouvrez Firewall Manager.
  2. Sélectionnez Hubs virtuels.
  3. Sélectionnez hub-01.
  4. Sélectionnez AzureFirewall_Hub-01.
  5. Notez l’adresse IP publique à utiliser ultérieurement.

Connecter les réseaux virtuels en étoile

À présent, vous pouvez appairer les réseaux virtuels en étoile.

  1. Sélectionnez le groupe de ressources fw-manager-rg, puis le WAN virtuel Vwan-01.

  2. Sous Connectivité, sélectionnez Connexions de réseau virtuel.

    Paramètre Valeur
    Nom de connexion hub-spoke-01
    Concentrateurs Hub-01
    groupe de ressources fw-manager-rg
    Réseau virtuel Spoke-01

  3. Sélectionnez Create (Créer).

  4. Répétez les étapes précédentes pour connecter le réseau virtuel Spoke-02 avec les paramètres suivants :

    Paramètre Valeur
    Nom de connexion hub-spoke-02
    Concentrateurs Hub-01
    groupe de ressources fw-manager-rg
    Réseau virtuel Spoke-02

Déployer les serveurs

  1. Dans le portail Azure, sélectionnez Créer une ressource.

  2. Recherchez Ubuntu Server 22.04 LTS et sélectionnez-le.

  3. Sélectionnez Créer une>machine virtuelle.

  4. Entrez ces valeurs pour la machine virtuelle :

    Paramètre Valeur
    groupe de ressources fw-manager-rg
    Nom de la machine virtuelle Srv-workload-01
    Région (États-Unis) USA Est
    Image Ubuntu Server 22.04 LTS - x64 Gen2
    Type d’authentification Clé publique SSH
    Nom d’utilisateur azureuser
    Source de la clé publique SSH Générer une nouvelle paire de clés
    Nom de la paire de clés srv-workload-01_key

  5. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Aucun.

  6. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.

  7. Acceptez les disques par défaut, puis sélectionnez Suivant : Mise en réseau.

  8. Sélectionnez Spoke-01 pour le réseau virtuel, puis Workload-01-SN pour le sous-réseau.

  9. Pour Adresse IP publique, sélectionnez Aucune.

  10. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Gestion.

  11. Sélectionnez Suivant : Supervision.

  12. Sélectionnez Désactiver pour désactiver les diagnostics de démarrage.

  13. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  14. Vérifiez les paramètres sur la page de récapitulatif, puis sélectionnez Créer.

  15. Lorsque vous y êtes invité, téléchargez et enregistrez le fichier de clé privée (par exemple, srv-workload-01_key.pem).

Utilisez les informations du tableau suivant pour configurer une autre machine virtuelle nommée Srv-Workload-02. Le reste de la configuration est identique à la machine virtuelle Srv-workload-01 , mais utilisez un nom de paire de clés différent tel que srv-workload-02_key.

Paramètre Valeur
Réseau virtuel Spoke-02
Sous-réseau Workload-02-SN

Une fois les serveurs déployés, sélectionnez une ressource de serveur, puis, dans Mise en réseau, notez l’adresse IP privée de chaque serveur.

Installer Nginx sur les serveurs

Une fois les machines virtuelles déployées, installez Nginx sur les deux serveurs pour vérifier la connectivité web ultérieurement.

  1. Dans le portail Azure, accédez à la machine virtuelle Srv-workload-01 .

  2. Sélectionnez Exécuter la commande>RunShellScript.

  3. Exécutez la commande suivante:

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-01</h1>' | sudo tee /var/www/html/index.html

  4. Répétez les mêmes étapes pour Srv-workload-02, en remplaçant le nom d’hôte dans la commande echo :

    sudo apt-get update && sudo apt-get install -y nginx && echo '<h1>Srv-workload-02</h1>' | sudo tee /var/www/html/index.html

Déployer Azure Bastion

Déployez Azure Bastion dans le réseau virtuel Spoke-01 pour vous connecter en toute sécurité aux machines virtuelles.

  1. Dans le portail Azure, recherchez Bastions et sélectionnez-le.

  2. Sélectionnez Create (Créer).

  3. Configurez Bastion avec les paramètres suivants :

    Paramètre Valeur
    Abonnement Sélectionnez votre abonnement
    groupe de ressources fw-manager-rg
    Nom Bastion-01
    Région USA Est
    Niveau Développeur
    Réseau virtuel Spoke-01
    Sous-réseau AzureBastionSubnet (10.0.2.0/26)

  4. Sélectionnez Vérifier + créer, puis sélectionnez Créer.

Remarque

Le déploiement d’Azure Bastion peut prendre environ 10 minutes.

Créer une stratégie de pare-feu et sécuriser votre hub

Une stratégie de pare-feu définit des collections de règles pour diriger le trafic sur un ou plusieurs hubs virtuels sécurisés. Vous allez créer votre stratégie de pare-feu, puis sécuriser votre hub.

  1. Dans Firewall Manager, sélectionnez Stratégies de Pare-feu Azure.

  2. Sélectionnez Créer une stratégie de pare-feu Azure.

  3. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  4. Sous Détails de la stratégie, pour Nom, entrez Policy-01 et pour Région, sélectionnez USA Est.

  5. Pour Niveau de stratégie, sélectionnez Standard.

  6. Sélectionnez Suivant : Paramètres DNS.

  7. Sélectionnez Suivant : Inspection TLS.

  8. Sélectionnez Suivant : Règles.

  9. Dans l’onglet Règles, sélectionnez Ajouter une collection de règles.

  10. Dans le volet Ajouter une collection de règles, saisissez les informations suivantes :

    Paramètre Valeur
    Nom App-RC-01
    Type de regroupement de règles Application
    Priority 100
    Action de regroupement de règles Autoriser
    Nom de la règle Allow-msft
    Type de source Adresse IP
    Source *
    Protocol http,https
    Type de destination FQDN
    Destination *.microsoft.com

  11. Sélectionnez Ajouter.

  12. Ajoutez une règle de réseau pour autoriser le trafic SSH et HTTP entre les réseaux virtuels spoke.

  13. Sélectionnez Ajouter une collection de règles et saisissez les informations suivantes.

    Paramètre Valeur
    Nom accès au réseau virtuel
    Type de regroupement de règles Réseau
    Priority 100
    Action de regroupement de règles Autoriser
    Nom de la règle Allow-SSH-HTTP
    Type de source Adresse IP
    Source 10.0.0.0/16,10.1.0.0/16
    Protocol TCP
    Ports de destination 22,80
    Type de destination Adresse IP
    Destination 10.0.0.0/16,10.1.0.0/16

  14. Sélectionnez Ajouter, puis sélectionnez Suivant : IDPS.

  15. Sur la page IDPS, sélectionnez Suivant : renseignements sur les menaces.

  16. Sur la page Renseignements sur les menaces, acceptez les valeurs par défaut, puis sélectionnez Vérifier et créer :

  17. Procédez à la vérification pour confirmer votre sélection, puis sélectionnez Créer.

Associer une stratégie

Associez la stratégie de pare-feu au hub.

  1. Dans Firewall Manager, sélectionnez Stratégies de Pare-feu Azure.
  2. Cochez la case Policy-01.
  3. Sélectionnez Gérer les associations, Associer des hubs.
  4. Sélectionnez hub-01.
  5. Sélectionnez Ajouter.

Acheminer le trafic vers votre hub

Vous devez maintenant vérifier que le trafic réseau est acheminé via votre pare-feu.

  1. Dans Firewall Manager, sélectionnez Hubs virtuels.

  2. Sélectionnez Hub-01.

  3. Sous Paramètres, sélectionnez Configuration de la sécurité.

  4. Sous Trafic Internet, sélectionnez Pare-feu Azure.

  5. Sous Trafic privé, sélectionnez Envoyer via le Pare-feu Azure.

    Remarque

    Si vous utilisez des plages d’adresses IP publiques pour des réseaux privés dans un réseau virtuel ou une branche locale, vous devez spécifier explicitement ces préfixes d’adresses IP. Sélectionnez la section Préfixes de trafic privé, puis ajoutez-les en complément des préfixes d’adresses RFC1918.

  6. Sous Inter-hub, sélectionnez Activé afin d’activer la fonctionnalité d’intention de routage Virtual WAN. L’intention de routage est le mécanisme par lequel vous pouvez configurer Virtual WAN pour acheminer le trafic de branche à branche (local vers local) par le Pare-feu Azure déployé dans le hub Virtual WAN. Pour en savoir plus sur les prérequis et les considérations associés à la fonctionnalité Routing Intent, consultez la documentation Intention de routage.

  7. Cliquez sur Enregistrer.

  8. Sélectionnez OK dans la boîte de dialogue Avertissement.

  9. Cliquez sur OK dans la boîte de dialogue Migrer vers l’utilisation de l’inter-hub.

    Remarque

    La mise à jour des tables de routage prend quelques minutes.

  10. Vérifiez que les deux connexions indiquent que le Pare-feu Azure sécurise le trafic Internet et privé.

Tester le pare-feu

Pour tester les règles de pare-feu, utilisez Azure Bastion pour vous connecter à Srv-Workload-01 et vérifier que les règles d’application et de réseau fonctionnent.

Tester la règle d’application

À présent, testez les règles de pare-feu pour vérifier qu’elles fonctionnent comme prévu.

  1. Dans le portail Azure, accédez à la machine virtuelle Srv-workload-01 .

  2. Sélectionnez Se connecter>via Bastion.

  3. Indiquez le nom d’utilisateur azureuser et chargez le fichier de clé .pem privée que vous avez téléchargé lors de la création de la machine virtuelle.

  4. Sélectionnez Se connecter pour ouvrir une session SSH.

  5. Dans la session SSH, exécutez la commande suivante pour tester l’accès à Microsoft :

    curl https://www.microsoft.com

    Vous devez voir le contenu HTML retourné, confirmant que l’accès est autorisé.

  6. Testez l’accès à Google (qui doit être bloqué) :

    curl https://www.google.com

    La requête doit expirer ou échouer, ce qui indique que le pare-feu bloque ce site.

Maintenant que vous avez vérifié que la règle d’application de pare-feu fonctionne :

  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.

Tester la stratégie réseau

Testez maintenant la règle réseau en vous connectant de Srv-Workload-01 à Srv-Workload-02 à l’aide de HTTP.

  1. Testez la connectivité HTTP au serveur web Nginx sur Srv-Workload-02 :

    curl http://<Srv-Workload-02-private-IP>

    Vous devez voir l’état retourné par le serveur web.

Nettoyer les ressources

Quand vous avez terminé de tester vos ressources de pare-feu, supprimez le groupe de ressources fw-manager-rg afin de supprimer toutes les ressources liées au pare-feu.

Étapes suivantes

En savoir plus sur les partenaires de sécurité de confiance

  • Last updated on