Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit un aperçu de la politique de sécurité DNS. Consultez également le guide pratique suivant :
Remarque
La politique de sécurité DNS est actuellement en PREVIEW.
Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.
Certaines Exigences et restrictions s'appliquent à la politique de sécurité DNS pendant l'aperçu.
Quelle politique de sécurité DNS ?
La politique de sécurité DNS offre la possibilité de filtrer et d’enregistrer les requêtes DNS au niveau du réseau virtuel (VNet). La politique s’applique au trafic DNS public et privé au sein d’un VNet. Les journaux DNS peuvent être envoyés vers un compte de stockage, un espace de travail d'analyse des journaux ou des hubs d'événements. Vous pouvez choisir d'autoriser, d'alerter ou de bloquer les requêtes DNS.
Avec la politique de sécurité DNS, vous pouvez :
- Créez des règles pour vous protéger contre les attaques basées sur DNS en bloquant la résolution de noms de domaines connus ou malveillants.
- Enregistrez et affichez les journaux DNS détaillés pour obtenir des informations sur votre trafic DNS.
Une politique de sécurité DNS possède les éléments et propriétés associés suivants :
- Emplacement : La région Azure dans laquelle la politique de sécurité est créée et déployée.
- Règles de trafic DNS : Règles qui autorisent, bloquent ou alertent en fonction des listes de priorité et de domaine.
- Liens de réseau virtuel : Un lien qui associe la politique de sécurité à un VNet.
- Listes de domaines DNS : Listes de domaines DNS basées sur la localisation.
La politique de sécurité DNS peut être configurée à l’aide d’Azure PowerShell ou du Portail Microsoft Azure.
Emplacement
Une politique de sécurité ne peut s’appliquer qu’aux VNets de la même région. Vous pouvez créer jusqu'à 10 politiques de sécurité par région lors de l'aperçu. Dans l'exemple suivant, deux politiques sont créées dans chacune des deux régions différentes (Est des États-Unis et Centre des États-Unis).
Important
La relation policy:VNet est 1:N. Lorsqu'un réseau virtuel est associé à une politique de sécurité (via des liens de VNet), ce réseau virtuel ne peut pas être associé à une autre politique de sécurité sans supprimer au préalable le lien de VNet existant. Une seule politique de sécurité DNS peut être associée à plusieurs VNets dans la même région.
Règles de trafic DNS
Les règles de trafic DNS déterminent l’action entreprise pour une requête DNS.
Pour afficher les règles de trafic DNS dans le Portail Microsoft Azure, sélectionnez une stratégie de sécurité DNS, puis sous Paramètres, sélectionnez Règles de trafic DNS. Voir l’exemple suivant :
- Les règles sont traitées par ordre de Priorité dans la plage 100-65000. Les nombres inférieurs correspondent à une priorité plus élevée.
- Si un nom de domaine est bloqué dans une règle de priorité inférieure et que le même domaine est autorisé dans une règle de priorité supérieure, le nom de domaine est autorisé.
- Les règles suivent la hiérarchie DNS. Si contoso.com est autorisé dans une règle de priorité supérieure, alors sub.contoso.com est autorisé, même si sub.contoso.com est bloqué dans une règle de priorité inférieure.
- Vous pouvez configurer une politique sur tous les domaines en créant une règle qui s'applique au domaine « . ». Soyez prudent lorsque vous bloquez des domaines afin de ne pas bloquer les services Azure nécessaires.
- Vous pouvez ajouter et supprimer dynamiquement des règles de la liste. Assurez-vous de Sauvegarder après avoir modifié les règles dans le portail.
- Plusieurs Listes de domaines DNS sont autorisées par règle. Vous devez avoir au moins une liste de domaines DNS.
- Chaque règle est associée à l'une des trois Actions de trafic : Autoriser, Bloquer ou Alerter.
- Permettre : Autorisez la requête sur les listes de domaines associées et enregistrez la requête.
- Bloquer : Bloquez la requête sur les listes de domaines associées et enregistrez l'action de blocage.
- Alert : Autorisez la requête sur les listes de domaines associées et enregistrez une alerte.
- Les règles peuvent être Activées ou Désactivées individuellement.
Liens de réseau virtuel
Les politiques de sécurité DNS s'appliquent uniquement aux VNets liés à la politique de sécurité. Vous pouvez lier une seule politique de sécurité à plusieurs réseaux virtuels, mais un seul VNet ne peut être lié qu'à une seule politique de sécurité DNS.
L'exemple suivant montre une politique de sécurité DNS liée à deux VNets (myeastvnet-40, myeastvnet-50):
- Vous ne pouvez lier que des VNets qui se trouvent dans la même région que la politique de sécurité.
- Lorsque vous liez un VNet à une stratégie de sécurité DNS à l’aide d’une liaison de VNet, la stratégie de sécurité DNS s’applique à toutes les ressources à l’intérieur du VNet.
Listes de domaines DNS
Les listes de domaines DNS sont des listes de domaines DNS que vous associez à des règles de trafic.
Sélectionnez Listes de domaines DNS sous Paramètres d’une politique de sécurité DNS pour afficher les listes de domaines actuelles associées à la politique.
Remarque
Les chaînes CNAME sont examinées (« repérées ») pour déterminer si les règles de trafic associées à un domaine doivent s’appliquer. Par exemple, une règle s’appliquant à malicious.contoso.com s’applique également à adatum.com si adatum.com mappe vers malicious.contoso.com ou si malicious.contoso.com apparaît n’importe ou dans une chaîne CNAME pour adatum.com.
L'exemple suivant montre les listes de domaines DNS associées à la politique de sécurité DNS myeast-secpol :
Vous pouvez associer une liste de domaines à plusieurs règles de trafic DNS dans différentes politiques de sécurité. Une politique de sécurité doit contenir au moins une liste de domaines. Voici un exemple de liste de domaines DNS (blocklist-1) qui contient deux domaines (malware.contoso.com, exploit.adatum.com) :
- Une liste de domaines DNS doit contenir au moins un domaine. Les domaines génériques sont autorisés.
Important
Soyez prudent lorsque vous créez des listes de domaines génériques. Par exemple, si vous créez une liste de domaines qui s'applique à tous les domaines (en saisissant . comme domaine DNS), puis configurez une règle de trafic DNS pour bloquer les requêtes vers cette liste de domaines, vous pouvez empêcher les services requis de fonctionner.
Lorsque vous affichez une liste de domaines DNS dans le Portail Microsoft Azure, vous pouvez également sélectionner Paramètres>Règles de trafic DNS associées pour afficher une liste de toutes les règles de trafic et les stratégies de sécurité DNS associées qui référencent la liste de domaines DNS.
Exigences et restrictions
Accès en préversion
- Cet aperçu de la politique de sécurité DNS est proposé sans qu'il soit nécessaire de s'inscrire à un aperçu de fonctionnalité préliminaire.
Restrictions du réseau virtuel :
- Les politiques de sécurité DNS ne peuvent être appliquées qu'aux VNets situés dans la même région que la politique de sécurité DNS.
- Vous pouvez lier une politique de sécurité par VNet.
- Lors de l'aperçu, une seule politique de sécurité peut être liée à 50 VNets. Cette limite est augmentée à 500 pour la disponibilité générale.
Restrictions de la politique de sécurité :
- Pendant la prévisualisation, jusqu'à 10 politiques de sécurité sont autorisées par région. Cette limite est augmentée à 1000 pour la disponibilité générale.
Restrictions des règles de trafic DNS :
- Lors de l'aperçu, jusqu'à 10 règles de circulation sont autorisées par politique de sécurité. Cette limite est augmentée à 100 pour la disponibilité générale.
Restrictions de la liste de domaines :
- Pendant la prévisualisation, jusqu'à 10 listes de domaines sont autorisées par région. Cette limite est augmentée à 1000 pour la disponibilité générale.
Restrictions de domaine :
- Pendant la période d'aperçu, jusqu'à 1 000 domaines sont autorisés dans toutes les régions. Cette limite est augmentée à 100 000 pour la disponibilité générale.