Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure ExpressRoute permet des connexions privées et hautes performances entre votre infrastructure locale et les services cloud Microsoft, en contournant l’Internet public. Bien que cette connectivité dédiée améliore la sécurité et la fiabilité, il est essentiel d’implémenter les meilleures pratiques pour protéger votre déploiement contre les menaces potentielles.
Ce guide fournit des recommandations exploitables pour sécuriser votre déploiement Azure ExpressRoute, couvrant des domaines clés tels que la sécurité réseau, la gestion des identités, la protection des données, la journalisation et la détection des menaces, la gestion des ressources et la sauvegarde et la récupération. En suivant ces instructions, vous pouvez renforcer votre posture de sécurité, garantir la conformité et maintenir la continuité opérationnelle.
Sécurité réseau
La sécurité réseau pour ExpressRoute implique une segmentation, un contrôle de flux de trafic et une surveillance appropriés pour protéger la connectivité hybride. Étant donné qu’ExpressRoute s’intègre aux réseaux virtuels, la sécurisation de la couche réseau est essentielle pour maintenir l’isolation et empêcher l’accès non autorisé aux ressources cloud.
Configurez le chiffrement MACsec pour ExpressRoute Direct : activez le chiffrement MACsec (Media Access Control Security) sur les connexions ExpressRoute Direct pour ajouter un chiffrement de couche 2 entre votre équipement réseau et les routeurs de périphérie de Microsoft. Stockez les clés MACsec en toute sécurité dans Azure Key Vault. Pour plus d’informations, consultez Configurer le chiffrement MACsec pour ExpressRoute Direct.
Déployez des passerelles ExpressRoute dans des sous-réseaux dédiés : les passerelles ExpressRoute sont déployées dans des réseaux virtuels et fournissent une connectivité sécurisée par défaut. Le sous-réseau de passerelle (GatewaySubnet) est configuré avec les contrôles de sécurité appropriés. Pour plus d’informations, consultez la passerelle ExpressRoute.
Contrôler le trafic avec des groupes de sécurité réseau : appliquez des groupes de sécurité réseau (NSG) à des sous-réseaux avec des ressources connectées via ExpressRoute pour restreindre le trafic par port, protocole et adresse IP source. Créez des règles de groupe de sécurité réseau pour refuser tout le trafic entrant par défaut et autoriser uniquement les communications nécessaires. Pour plus d’informations, consultez la vue d’ensemble des groupes de sécurité réseau.
Utilisez le Pare-feu Azure ou les appliances virtuelles réseau (NVA) : déployez pare-feu Azure ou des appliances virtuelles réseau tierces (NVA) pour ajouter des contrôles de sécurité tels que le filtrage au niveau de l’application, le renseignement sur les menaces et la journalisation. Ces appliances inspectent le trafic via ExpressRoute et appliquent des stratégies de sécurité avancées. Pour plus d’informations, consultez la vue d’ensemble du Pare-feu Azure.
Remarque
Vous ne pouvez pas configurer des groupes de sécurité réseau directement sur GatewaySubnet.
Implémenter la segmentation du réseau : utilisez le peering de réseaux virtuels et les tables de routage pour contrôler le flux de trafic entre les segments réseau connectés via ExpressRoute. Cela isole les charges de travail sensibles et limite l’effet des incidents de sécurité. Pour plus d’informations, consultez Le peering de réseaux virtuels et les tables de routage.
Configurez les passerelles de réseau virtuel redondant interzone : déployez des passerelles de réseau virtuel ExpressRoute entre les zones de disponibilité pour garantir la tolérance de panne et la haute disponibilité. Les passerelles redondantes interzone permettent de maintenir la connectivité opérationnelle même si une zone de disponibilité a une panne. Pour plus d’informations, consultez passerelles de réseau virtuel redondant interzone.
Utilisez différents fournisseurs de services ExpressRoute : choisissez différents fournisseurs de services pour chaque circuit afin de garantir différents chemins et de réduire le risque de temps d’arrêt du réseau à partir de la panne d’un seul fournisseur. Pour plus d’informations, consultez emplacements Et fournisseurs de services ExpressRoute.
Surveiller les connexions ExpressRoute : activez la journalisation et la surveillance des diagnostics pour suivre l’intégrité des connexions, les performances et les événements de sécurité. Pour plus d’informations, consultez Surveillance d’Azure ExpressRoute.
Gestion des identités
ExpressRoute ne prend pas en charge l’authentification basée sur l’identité traditionnelle pour l’accès au plan de données, car elle fonctionne au niveau de la couche réseau. Toutefois, une gestion des identités appropriée est essentielle pour contrôler l’accès aux ressources ExpressRoute et aux services associés comme Azure Key Vault pour la configuration MACsec.
Utilisez Azure RBAC pour les opérations de gestion : appliquez le contrôle d’accès en fonction du rôle pour limiter les utilisateurs pouvant créer, modifier ou supprimer des circuits ExpressRoute et des passerelles. Attribuez les autorisations minimales nécessaires aux utilisateurs et aux comptes de service. Pour plus d’informations, consultez contrôle d’accès en fonction du rôle Azure (RBAC).
Sécuriser les secrets MACsec avec Azure Key Vault : stockez en toute sécurité les clés de chiffrement MACsec dans Azure Key Vault au lieu de les incorporer dans des fichiers de configuration. ExpressRoute utilise des identités managées pour s’authentifier auprès de Key Vault pour récupérer ces secrets. Pour plus d’informations, consultez Configurer le chiffrement MACsec pour ExpressRoute Direct.
Implémenter l’accès conditionnel pour la gestion : utilisez des stratégies d’accès conditionnel Microsoft Entra pour contrôler l’accès administratif aux ressources ExpressRoute en fonction de l’emplacement utilisateur, de la conformité des appareils et du niveau de risque. Cela permet de s’assurer que seuls les utilisateurs autorisés peuvent gérer des circuits et des passerelles ExpressRoute. Pour plus d’informations, consultez Accès conditionnel.
Protection de données
ExpressRoute fournit une connectivité privée, mais ne chiffre pas les données en transit par défaut. Ajoutez des mesures de chiffrement et de sécurité pour protéger les données sensibles au fur et à mesure qu’elles circulent entre votre environnement local et vos services Azure.
Configurer l’authentification de hachage MD5 : utilisez l’authentification de hachage MD5 lors de la configuration du peering privé ou du peering Microsoft pour sécuriser les messages entre votre routeur local et les routeurs Microsoft Enterprise Edge (MSEE). Cela garantit l’intégrité des données et empêche la falsification pendant le transit. En savoir plus sur les exigences de routage ExpressRoute.
Implémentez un VPN IPsec via ExpressRoute : pour ajouter le chiffrement via le peering privé ExpressRoute, configurez une connexion VPN qui utilise le circuit ExpressRoute comme transport. Cela ajoute le chiffrement de bout en bout pour votre trafic. En savoir plus sur l’utilisation d’un VPN S2S en tant que sauvegarde pour le peering privé ExpressRoute.
Chiffrer les données sensibles au niveau de la couche application : Étant donné qu’ExpressRoute ne fournit pas de chiffrement de couche application, assurez-vous que les applications chiffrent les données sensibles avant la transmission à l’aide de méthodes de chiffrement TLS/SSL ou spécifiques à l’application.
Journalisation et détection des menaces
La surveillance des connexions ExpressRoute et de l’activité réseau associée est essentielle pour détecter les menaces de sécurité potentielles et maintenir la conformité. La journalisation appropriée permet d’identifier les modèles de trafic inhabituels et les problèmes de connexion susceptibles d’indiquer des incidents de sécurité.
Activer les journaux de ressources ExpressRoute : configurez les paramètres de diagnostic pour envoyer les journaux de ressources ExpressRoute à Azure Monitor, Log Analytics ou Stockage Azure pour l’analyse et la rétention. Ces logs affichent les événements de connexion et les indicateurs de performances. Pour plus d’informations, consultez Surveillance d’Azure ExpressRoute.
Configurer des alertes pour les problèmes d’intégrité et de connexion du service : utilisez Azure Monitor pour configurer des alertes pour les pannes de circuit ExpressRoute, la dégradation des performances, les modifications de configuration et les événements de maintenance planifiés et non planifiés. Ces alertes vous aident à gérer de manière proactive la connectivité et la posture de sécurité. Pour plus d’informations, consultez Surveiller les circuits ExpressRoute.
Surveiller les modèles de trafic réseau : utilisez Azure Network Watcher et Traffic Analytics pour analyser le trafic via votre connexion ExpressRoute. Cela permet de trouver des modèles inhabituels qui peuvent indiquer des menaces de sécurité ou des configurations incorrectes. Pour plus d’informations, consultez Azure Network Watcher et Surveiller le trafic réseau avec Traffic Analytics.
Intégrer à Microsoft Sentinel : envoyez des journaux ExpressRoute à Microsoft Sentinel pour détecter les menaces avancées et les mettre en corrélation avec d’autres événements de sécurité dans votre environnement hybride.
Gestion des ressources
La gestion des ressources ExpressRoute implique efficacement l’implémentation d’une gouvernance appropriée, la surveillance des configurations et la conformité aux stratégies organisationnelles. La gestion appropriée des ressources permet de maintenir la posture de sécurité et la visibilité opérationnelle.
Implémenter le balisage des ressources : utilisez des balises de ressources Azure pour organiser et suivre les circuits ExpressRoute, les passerelles et les ressources associées. Les étiquettes permettent de gérer les coûts, la classification de la sécurité et la responsabilité opérationnelle. Pour plus d’informations, consultez les balises de ressources Azure.
Suivre l’utilisation du circuit : surveillez l’utilisation de la bande passante et les modèles de connexion pour identifier les activités inhabituelles qui peuvent indiquer des menaces de sécurité ou des problèmes opérationnels.
Gérer la documentation : conservez des enregistrements détaillés des configurations ExpressRoute, notamment les paramètres de circuit, les stratégies de routage et les configurations de sécurité, pour prendre en charge la réponse aux incidents et l’audit de conformité.
Sauvegarde et récupération
Assurez-vous de la continuité de l’activité pour votre connectivité ExpressRoute en implémentant des solutions de sauvegarde et des procédures de récupération. Bien que les circuits ExpressRoute ne puissent pas être sauvegardés, créez des options de connectivité redondantes et des paramètres de configuration de document.
Déployer des circuits ExpressRoute redondants : mettez en place plusieurs circuits ExpressRoute dans des emplacements de peering distincts afin d'assurer une haute disponibilité et un basculement automatique. Cette approche garantit que votre connectivité reste opérationnelle si un circuit rencontre un problème. Pour plus d’informations, consultez Concevoir une connexion ExpressRoute résiliente.
Implémenter la connectivité de sauvegarde VPN : configurez des connexions VPN de site à site en tant que sauvegarde pour le peering privé ExpressRoute. Cette configuration fournit une autre connectivité si le circuit ExpressRoute principal échoue. Pour plus d’informations, consultez Utilisation du VPN S2S comme sauvegarde du peering privé ExpressRoute.
Tester les procédures de basculement : testez régulièrement les options de connectivité de sauvegarde et les procédures de basculement pour vous assurer qu’elles fonctionnent correctement si nécessaire. Utilisez des outils comme Azure Connectivity Toolkit pour valider les performances et la connectivité. Pour plus d’informations, consultez Azure Connectivity Toolkit.
Paramètres de configuration de document : conservez une documentation détaillée des configurations ExpressRoute, notamment les paramètres de circuit, les configurations de routage et les stratégies de sécurité. Cette documentation permet une récupération plus rapide en cas de problèmes de configuration ou de remplacement de circuit. Pour plus d’informations, consultez la configuration du circuit ExpressRoute.
Tirez parti des insights de résilience et de la validation pour la récupération : utilisez ExpressRoute Resiliency Insights pour évaluer la résilience de votre connectivité et valider vos objectifs de temps de récupération. Les insights de résilience vous aident à identifier les lacunes de configuration, les scénarios d’échec de test et à vérifier que vos solutions de sauvegarde et de basculement répondent aux exigences de récupération métier. Effectuez régulièrement une validation de résilience pour vous assurer que votre environnement est préparé pour les pannes et que les procédures de récupération sont efficaces. Pour plus d’informations, consultez Les insights de résilience ExpressRoute et la validation de résilience ExpressRoute.