Configurer des groupes de sécurité réseau avec des balises dans Windows Admin Center

S’applique à : Azure Stack HCI, versions 23H2 et 22H2

Cet article explique comment configurer des groupes de sécurité réseau avec des balises de sécurité réseau dans Windows Admin Center.

Avec les balises de sécurité réseau, vous pouvez créer des balises personnalisées définies par l’utilisateur, attacher ces étiquettes à vos interfaces réseau de machine virtuelle et appliquer des stratégies d’accès réseau (avec des groupes de sécurité réseau) en fonction de ces balises.

Simplifier la sécurité avec des balises de sécurité réseau

Les groupes de sécurité réseau vous permettent de configurer des stratégies d’accès basées sur des constructions réseau telles que les préfixes réseau et les sous-réseaux. Par exemple, si vous souhaitez restreindre la communication entre vos machines virtuelles de serveur web et vos machines virtuelles de base de données, vous devez identifier les sous-réseaux réseau correspondants et créer une stratégie pour refuser la communication entre ces sous-réseaux. Toutefois, cette approche présente certaines limitations :

• Vos stratégies de sécurité sont liées à des constructions réseau, ce qui signifie que vous devez savoir quelles applications résident sur des segments réseau spécifiques. La compréhension de votre infrastructure réseau et de votre architecture devient cruciale.

• Lorsque vous créez des stratégies pour des applications, vous pouvez les réutiliser dans différents scénarios. Par exemple, si votre application web de production n’est accessible qu’au-dessus du port 80 à partir d’Internet et qu’elle n’est pas accessible par d’autres applications en production ou dans d’autres environnements, vous disposez d’une stratégie similaire pour toute nouvelle application. Toutefois, avec la segmentation réseau, la recréation de stratégies devient nécessaire en raison d’éléments réseau uniques pour chaque application.

• Si vous désaffectez une ancienne application et que vous en approvisionnez une nouvelle au sein du même segment réseau, des ajustements de stratégie sont nécessaires.

Avec la fonctionnalité d’étiquettes de sécurité réseau, vous n’avez plus besoin de suivre les segments réseau où vos applications sont hébergées. Cela simplifie la gestion des stratégies et évite les complexités associées aux constructions réseau. Reconsidérer l’exemple avec les machines virtuelles de serveur web et de base de données : balisez les machines virtuelles correspondantes avec les balises de sécurité réseau « Web » et « Base de données », puis créez une règle pour restreindre la communication entre les balises « Web » et « Base de données ».

Créer des groupes de sécurité réseau basés sur des étiquettes de sécurité réseau

Pour créer des groupes de sécurité réseau basés sur des étiquettes de sécurité réseau, procédez comme suit :

1. Créez une ou plusieurs étiquettes de sécurité réseau.

2. Attribuez une balise de sécurité réseau à une machine virtuelle.

3. Créez un groupe de sécurité réseau.

4. Créez une règle de sécurité réseau pour le groupe de sécurité réseau.

5. Appliquez le groupe de sécurité réseau à une machine virtuelle, un sous-réseau réseau et une étiquette de sécurité réseau.

Créer des étiquettes de sécurité réseau

1. Dans l’écran d’accueil Windows Admin Center, sous Toutes les connexions, sélectionnez le cluster sur lequel vous souhaitez créer le groupe de sécurité réseau.

2. Sous Outils, faites défiler jusqu’à la zone Mise en réseau , puis sélectionnez Groupes de sécurité réseau.

3. Sous Groupes de sécurité réseau, sélectionnez l’onglet Étiquettes de sécurité réseau, puis Nouveau.

4. Dans le volet Créer une balise de sécurité réseau , entrez un nom pour la balise de sécurité réseau dans le champ Nom .

   

5. (Facultatif) Dans le champ Type , entrez un type pour la balise. Ce champ est utile si vous souhaitez catégoriser les balises pour faciliter la gestion. Par exemple, vous pouvez avoir différentes balises avec le même type « Application », telles que SQL, Web, IOT, Sensor, etc.

6. Sélectionnez Envoyer.

Affecter une étiquette de sécurité réseau à une machine virtuelle

Vous pouvez affecter une balise de sécurité réseau à une machine virtuelle lors de la création d’une machine virtuelle ou par la suite lors de la modification des propriétés d’une machine virtuelle existante.

Affecter une balise de sécurité réseau lors de la création d’une machine virtuelle

Pour obtenir des instructions pas à pas sur la création d’une machine virtuelle, consultez Créer une machine virtuelle.

Pour affecter une balise de sécurité réseau lors de la création d’une machine virtuelle :

1. Dans l’écran d’accueil de Windows Admin Center, sous Toutes les connexions, sélectionnez le serveur ou le cluster sur lequel vous voulez créer la machine virtuelle.

2. Sous Outils, faites défiler la liste et sélectionnez Machines virtuelles.

3. Sous Machines virtuelles, sélectionnez l’onglet Inventaire , ajouter, puis nouveau.

4. Sous Nouvelle machine virtuelle, entrez un nom pour votre machine virtuelle.

5. Entrez d’autres propriétés pour la machine virtuelle.

6. Sous Réseau, sélectionnez la balise de sécurité réseau que vous avez créée précédemment, dans Créer une balise de sécurité réseau.

   

7. Sélectionnez Create (Créer).

Affecter une balise de sécurité réseau à une machine virtuelle existante

Vous pouvez affecter une balise de sécurité réseau à une machine virtuelle existante en modifiant ses paramètres. Pour obtenir des instructions détaillées sur la modification des paramètres de machine virtuelle, consultez Modifier les paramètres de machine virtuelle.

1. Sous Outils, faites défiler jusqu’à la zone Mise en réseau, puis sélectionnez Machines virtuelles.

2. Sélectionnez l’onglet Inventaire, sélectionnez une VM, puis cliquez sur Paramètres.

3. Sur la page Paramètres, cliquez sur Réseaux.

4. Sous la section Étiquette de sécurité réseau , sélectionnez Ajouter une balise de sécurité réseau, puis sélectionnez la balise de sécurité réseau que vous avez créée précédemment, dans Créer une balise de sécurité réseau.

5. Sélectionnez Enregistrer les paramètres réseau.

Créer un groupe de sécurité réseau

1. Dans l’écran d’accueil Windows Admin Center, sous Toutes les connexions, sélectionnez le cluster sur lequel vous souhaitez créer le groupe de sécurité réseau.

2. Sous Outils, faites défiler jusqu’à la zone Mise en réseau , puis sélectionnez Groupes de sécurité réseau.

3. Sous Groupes de sécurité réseau, sélectionnez l’onglet Inventaire, puis Nouveau.

4. Dans le volet Groupes de sécurité réseau , tapez un nom pour le groupe de sécurité réseau, puis sélectionnez Envoyer.

   

5. Sous Groupes de sécurité réseau, vérifiez que l’état d’approvisionnement du nouveau groupe de sécurité réseau affiche Réussi.

Créer une règle de groupe de sécurité réseau

Après avoir créé un groupe de sécurité réseau, vous êtes prêt à créer des règles de groupe de sécurité réseau. Si vous souhaitez appliquer des règles de groupe de sécurité réseau au trafic entrant et sortant, vous devez créer deux règles.

1. Dans l’écran d’accueil Windows Admin Center, sous Toutes les connexions, sélectionnez le cluster sur lequel vous souhaitez créer le groupe de sécurité réseau.

2. Sous Outils, faites défiler jusqu’à la zone Mise en réseau , puis sélectionnez Groupes de sécurité réseau.

3. Sous Groupes de sécurité réseau, sélectionnez l’onglet Inventaire , puis sélectionnez le groupe de sécurité réseau que vous avez créé précédemment, dans Créer un groupe de sécurité réseau.

4. Sous Règle de sécurité réseau, sélectionnez Nouveau.

5. Dans le volet Règle de sécurité réseau à droite, fournissez les informations suivantes :

   Champ	Description
   Nom	Nom de la règle.
   Priorité	Priorité de la règle. Les valeurs acceptables sont comprises entre 101 et 65 000. Une valeur inférieure représente une priorité plus élevée.
   Types	Type de la règle. Il peut s’agir d’un trafic entrant ou sortant.
   Protocole	Protocole pour correspondre à un paquet entrant ou sortant. Les valeurs acceptables sont Tout, TCP et UDP.
   Source	Sélectionnez Étiquette de sécurité réseau. Note: Vous pouvez sélectionner un préfixe d’adresse ou une balise de sécurité réseau, mais pas les deux.
   Type d’étiquette de sécurité source	(Facultatif) Sélectionnez un type pour la balise.
   Balise de sécurité source	Sélectionnez une balise de sécurité réseau que vous avez créée précédemment, dans Créer une balise de sécurité réseau.
   Plage de ports source	Spécifiez la plage de ports source pour qu’elle corresponde à un paquet entrant ou sortant. Vous pouvez entrer * pour spécifier tous les ports sources.
   Destination	Sélectionnez Étiquette de sécurité réseau. Note: Vous pouvez sélectionner un préfixe d’adresse ou une balise de sécurité réseau, mais pas les deux. Source et Destination peuvent être différentes.
   Type d’étiquette de sécurité de destination	(Facultatif) Sélectionnez un type pour la balise.
   Balise de sécurité de destination	Sélectionnez une balise de sécurité réseau que vous avez créée précédemment, dans Créer une balise de sécurité réseau.
   Plage de ports de destination	Spécifiez la plage de ports de destination pour qu’elle corresponde à un paquet entrant ou sortant. Vous pouvez entrer * pour spécifier tous les ports de destination.
   Actions	Si les conditions ci-dessus sont mises en correspondance, spécifiez pour autoriser ou bloquer le paquet. Les valeurs possibles sont Autoriser et Refuser.
   Logging	Spécifiez pour activer ou désactiver la journalisation pour la règle. Si la journalisation est activée, tout le trafic correspondant à cette règle est consigné sur les ordinateurs hôtes.

6. Sélectionnez Envoyer.

Appliquer un groupe de sécurité réseau

Vous pouvez appliquer un groupe de sécurité réseau à :

• Sous-réseau de réseau virtuel
• Sous-réseau de réseau logique
• Interface réseau spécifique
• Balise de sécurité réseau

Appliquer un groupe de sécurité réseau à une balise de sécurité réseau

Lorsque vous appliquez un groupe de sécurité réseau à une balise de sécurité réseau, les règles de groupe de sécurité réseau s’appliquent à toutes les interfaces réseau de machine virtuelle associées à cette balise de sécurité réseau.

Pour appliquer un groupe de sécurité réseau à une balise de sécurité réseau via Windows Admin Center, procédez comme suit :

1. Dans l’écran d’accueil Windows Admin Center, sous Toutes les connexions, sélectionnez le cluster sur lequel vous souhaitez appliquer le groupe de sécurité réseau.

2. Sous Outils, faites défiler jusqu’à la zone Mise en réseau , puis sélectionnez Groupes de sécurité réseau.

3. Sous Groupes de sécurité réseau, sélectionnez l’onglet Étiquettes de sécurité réseau .

4. Sélectionnez la balise de sécurité réseau que vous souhaitez modifier, puis sélectionnez Paramètres.

5. Dans le volet Modification de la balise de sécurité réseau pour la balise sélectionnée, sélectionnez le groupe de sécurité réseau que vous souhaitez appliquer à la balise de sécurité réseau.

   

6. Sélectionnez Envoyer.

Étapes suivantes

Pour consulter des informations connexes, reportez-vous également à :

• Qu’est-ce que le Pare-feu Datacenter ?
• Configurer des groupes de sécurité réseau avec Windows Admin Center
• Configurer des groupes de sécurité réseau avec PowerShell