Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des approches de connectivité recommandées pour l’utilisation des services PaaS Azure.
Considérations relatives à la conception
Les services PaaS Azure sont, dans leur configuration par défaut, généralement accessibles sur des points de terminaison accessibles publiquement via le réseau global Microsoft. Certains clients peuvent avoir des exigences pour réduire l’utilisation des points de terminaison publics. Par conséquent, la plateforme Azure fournit des fonctionnalités facultatives pour sécuriser ces points de terminaison ou même les rendre entièrement privées.
Certains services PaaS autorisent des restrictions d’accès public basées sur l’identité managée affectée par le système Resource Instance , par exemple Stockage Azure
De nombreux services PaaS autorisent des restrictions d’accès public basées sur des services Azure approuvés, par exemple Azure Container Registry
L’injection de réseau virtuel fournit des déploiements privés dédiés pour les services pris en charge. Le trafic du plan de gestion transite toujours par des adresses IP publiques.
Certains services PaaS sont compatibles avec Azure Private Link , qui autorise l’accès privé via une adresse IP au sein d’un client. Pour plus d’informations, consultez Les principaux avantages de Private Link.
Les points de terminaison de service de réseau virtuel fournissent un accès au niveau du service à partir de sous-réseaux sélectionnés aux services PaaS sélectionnés. Stockage Azure offre des stratégies de point de terminaison de service qui permettent de restreindre davantage l’utilisation des points de terminaison de service à un compte de stockage spécifique. Il est également possible d’utiliser des appliances virtuelles réseau (NVA) pour effectuer l’inspection de couche 7 et le filtrage FQDN en combinaison avec les points de terminaison de service, mais cette approche est fournie avec des considérations supplémentaires en matière de performances et de mise à l’échelle.
Quelle est la différence entre les points de terminaison de service et les points de terminaison privés ? offre une explication des différences entre les points de terminaison Private Link et les points de terminaison de service de réseau virtuel.
Recommandations en matière de conception
Pour les services PaaS Azure qui prennent en charge l’injection de réseau virtuel, si vous avez besoin d’accéder aux ressources au sein de votre réseau privé (réseaux virtuels ou locaux via une passerelle de réseau virtuel), envisagez d’activer la fonctionnalité d’injection de réseau virtuel. Considérez également que ces services injectés dans un réseau virtuel effectuent toujours des opérations de plan de gestion à l’aide d’adresses IP publiques spécifiques au service. La connectivité doit être garantie pour que le service fonctionne correctement. Utilisez des UDR et des NSG pour verrouiller cette communication au sein du réseau virtuel. Vous pouvez utiliser des étiquettes de service dans UDR pour réduire le nombre d’itinéraires nécessaires et remplacer les itinéraires par défaut s’ils sont utilisés.
Lorsque la protection contre l’exfiltration des données et l’utilisation de l’adressage IP privé uniquement sont des exigences fermes, envisagez l’utilisation d’Azure Private Link si disponible.
Envisagez l’utilisation de points de terminaison de service de réseau virtuel pour sécuriser l’accès aux services PaaS Azure à partir de votre réseau virtuel dans les scénarios où l’exfiltration des données est moins préoccupante, Private Link n’est pas disponible ou vous avez besoin d’une ingération de données volumineuse qui nécessite une optimisation des coûts. (Les points de terminaison de service Azure n’entraînent aucun coût, contrairement à Azure Private Link, qui inclut un composant de coût basé sur les données réseau par Go).
Si l’accès aux services PaaS Azure est requis à partir d’un emplacement local, utilisez les options suivantes :
- Utilisez le point de terminaison public par défaut du service PaaS via Internet et le réseau global Microsoft si aucun accès privé n’est requis et que la bande passante Internet locale est suffisante.
- Utilisez une connexion hybride privée (ExpressRoute avec peering privé ou VPN de site à site) avec injection de réseau virtuel ou Azure Private Link.
N’activez pas les points de terminaison de service de réseau virtuel par défaut sur tous les sous-réseaux. Suivez l’approche ci-dessus en fonction du cas par cas en fonction de la disponibilité des fonctionnalités de service PaaS et de vos propres exigences de sécurité et de performances.
Dans la mesure du possible, évitez d’utiliser le tunneling forcé (diriger le trafic lié à Internet à partir d’un réseau virtuel Azure via un site local en publiant un itinéraire par défaut sur une connexion hybride privée), car cela peut augmenter la complexité de la gestion des opérations de plan de contrôle avec certains services PaaS Azure, par exemple Application Gateway V2.