Vue d’ensemble de la stratégie Azure Firewall Manager
Une stratégie de pare-feu est la méthode recommandée pour configurer votre Pare-feu Azure. Cette ressource globale peut s’utiliser sur plusieurs instances du Pare-feu Azure dans des hubs virtuels sécurisés et des réseaux virtuels hubs. Les stratégies sont applicables sur plusieurs régions et abonnements.
Création et association d’une stratégie
Une stratégie peut être créée et gérée de plusieurs façons, notamment avec le portail Azure, l’API REST, des modèles, Azure PowerShell et l’interface CLI et Terraform.
Vous pouvez également créer des stratégies en migrant des règles classiques existantes du Pare-feu Azure à l’aide du portail ou d’Azure PowerShell. Pour plus d’informations, consultez Guide pratique pour migrer des configurations Pare-feu Azure vers une stratégie Pare-feu Azure.
Les stratégies peuvent être associées à un ou plusieurs hubs virtuels ou réseaux virtuels. Le pare-feu peut être utilisé dans n’importe quel abonnement associé à votre compte et dans toutes les régions.
Règles et stratégies classiques
Le pare-feu Azure prend en charge les règles et stratégies classiques, mais les stratégies sont la configuration recommencée. Le tableau suivant compare les différentes stratégies et règles classiques :
| Objet | Policy | Règles classiques |
|---|---|---|
| Contient | NAT, réseau, règles d’application, DNS personnalisé et paramètres de proxy DNS, groupes IP et paramètres de renseignement sur les menaces (notamment liste verte), IDPS, inspection TLS, catégories web, filtrage d’URL | NAT, réseau, règles d’application, DNS personnalisé et paramètres de proxy DNS, groupes IP et paramètres de renseignement sur les menaces (notamment liste verte) |
| Protection | Hubs virtuels et réseaux virtuels | Réseaux virtuels uniquement |
| Utilisation du portail | Gestion centralisée à l’aide de Firewall Manager | Expérience de pare-feu autonome |
| Prise en charge de plusieurs pare-feu | Une stratégie de pare-feu est une ressource distincte qui peut être utilisée sur plusieurs pare-feu | Importation et exportation manuelles des règles, ou à l’aide de solutions de gestion tierces |
| Tarifs | Facturation en fonction de l’association de pare-feu. Consultez la section Tarifs. | Gratuit |
| Méthodes de déploiement prises en charge | Portail, API REST, modèles, Azure PowerShell et interface CLI | Portail, API REST, modèles, PowerShell et interface CLI |
Stratégies De base, Standard et Premium
Le Pare-feu Azure prend en charge les stratégies De base, Standard et Premium. Le tableau suivant présente les différences entre ces stratégies :
| Type de stratégie | Prise en charge des fonctionnalités | Prise en charge du SKU de pare-feu |
|---|---|---|
| Stratégie De base | Règles NAT, règles de réseau, règles d’application Groupes IP Veille des menaces (alertes) |
De base |
| Stratégie standard | Règles NAT, règles de réseau, règles d’application DNS personnalisé, proxy DNS Groupes IP Catégories web Informations sur les menaces |
Standard ou Premium |
| Stratégie Premium | Toutes les fonctionnalités de prise en charge Standard, plus : Inspection TLS Catégories web Filtrage d'URL IDPS |
Premium |
Stratégies hiérarchiques
Les stratégies peuvent être créées à partir de zéro ou être héritées de stratégies existantes. Avec l’héritage, DevOps crée des stratégies de pare-feu locales en plus de la stratégie de base mise en place dans l’organisation.
Les stratégies qui sont créées à partir de stratégies parentes non vides héritent toutes les collections de règles de la stratégie parente. La stratégie parente et la stratégie enfant doivent se trouver dans la même région. Une stratégie de pare-feu peut être associée à des pare-feu dans toutes les régions, quel que soit l’endroit où ils sont stockés.
Les collections de règles de réseau héritées d’une stratégie parent ont toujours la priorité sur les collections de règles de réseau définies dans le cadre d’une nouvelle stratégie. La même logique s’applique également aux collections de règles d’application. Cependant, les collections de règles de réseau sont toujours traitées avant les collections de règles d’application quel que soit l’héritage.
Le mode de renseignement sur les menaces est également hérité de la stratégie parente. Vous pouvez définir ce mode à une autre valeur pour ignorer le comportement hérité, mais vous ne pouvez pas le désactiver. Il est uniquement possible de remplacer cette valeur par une valeur plus stricte. Par exemple, si vous définissez la stratégie parente sur Alerte uniquement, vous pouvez configurer cette stratégie locale sur Alerter et refuser.
Comme le mode Renseignement sur les menaces, la liste verte du renseignement sur les menaces est héritée de la stratégie parente. La stratégie enfant peut ajouter davantage d’adresses IP à la liste d’autorisation.
Les collections de règles NAT ne sont pas héritées, car elles sont propres à chaque pare-feu.
Avec l’héritage, les modifications apportées à la stratégie parente sont automatiquement répercutées dans les stratégies de pare-feu enfants associées.
Haute disponibilité intégrée
Comme la haute disponibilité est intégrée, vous n’avez donc rien à configurer. Vous pouvez créer un objet Azure Firewall Policy dans n’importe quelle région et le lier globalement à plusieurs instances de Pare-feu Azure sous le même locataire Azure AD. Si la région où vous créez la stratégie tombe en panne et dispose d’une région couplée, les métadonnées de l’objet ARM (Azure Resource Manager) basculent automatiquement vers la région secondaire. Pendant le basculement, ou si la région unique sans paire reste dans un état d’échec, vous ne pouvez pas modifier l’objet Azure Firewall Policy. Toutefois, les instances du pare-feu Azure liées à la stratégie de pare-feu continuent de fonctionner. Pour plus d’informations, consultez Réplication inter-région dans Azure : continuité d’activité et reprise d’activité.
Tarifs
Les stratégies sont facturées en fonction des associations de pare-feu. Une stratégie avec zéro ou une seule association de pare-feu est gratuite. Une stratégie avec plusieurs associations de pare-feu est facturée à un tarif fixe. Pour plus d’informations, consultez Tarification Azure Firewall Manager.
Étapes suivantes
- Pour savoir comment déployer un pare-feu Azure, consultez le didacticiel : Sécuriser votre réseau cloud avec Azure Firewall Manager à l’aide du Portail Azure
- En savoir plus sur la sécurité du réseau Azure