Tutoriel : Sécuriser votre hub virtuel avec Azure Firewall Manager

À l’aide d’Azure Firewall Manager, vous pouvez créer des hubs virtuels sécurisés pour sécuriser le trafic de votre réseau cloud à destination d’adresses IP privées, d’Azure PaaS et d’Internet. Le routage du trafic vers le pare-feu étant automatisé, vous n’avez pas besoin de créer des routes définies par l’utilisateur.

secure the cloud network

Firewall Manager prend également en charge une architecture de réseau virtuel hub. Pour obtenir une comparaison des types d’architectures de hub virtuel sécurisé et de réseau virtuel hub, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?

Dans ce tutoriel, vous allez apprendre à :

  • Créer le réseau virtuel spoke
  • Créer un hub virtuel sécurisé
  • Connecter les réseaux virtuels en étoile
  • Acheminer le trafic vers votre hub
  • Déployer les serveurs
  • Créer une stratégie de pare-feu et sécuriser votre hub
  • Tester le pare-feu

Important

La procédure décrite dans ce didacticiel utilise Azure Firewall Manager pour créer un hub sécurisé Azure Virtual WAN. Vous pouvez utiliser Firewall Manager pour mettre à niveau un hub existant, mais ne pouvez pas configurer de Zones de disponibilité Azure pour un Pare-feu Azure. Il est également possible de convertir un hub existant en hub sécurisé à l’aide du portail Azure, comme décrit dans Configurer un Pare-feu Azure dans un hub Virtual WAN. Toutefois, comme Azure Firewall Manager, vous ne pouvez pas configurer de Zones de disponibilité. Pour mettre à niveau un hub existant et spécifier des Zones de disponibilité pour un Pare-feu Azure (recommandé), vous devez suivre la procédure de mise à niveau décrite dans Tutoriel : Sécuriser votre hub virtuel avec Azure PowerShell. secure-cloud-network-powershell).

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une architecture hub and spoke

Commencez par créer un réseau virtuel en étoile où placer vos serveurs.

Créer deux réseaux virtuels en étoile et des sous-réseaux

Les deux réseaux virtuels comporteront chacun un serveur de charge de travail et seront protégés par le pare-feu.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Recherchez Réseau virtuel, puis sélectionnez Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour Groupe de ressources, sélectionnez Créer et entrez fw-manager-rg comme nom, puis sélectionnez OK.
  5. Pour Nom, entrez Spoke-01.
  6. Pour Région, sélectionnez (États-Unis) USA Est.
  7. Sélectionnez Suivant : Adresses IP.
  8. Pour Espace d’adressage, entrez 10.0.0.0/16.
  9. Sélectionnez Ajouter un sous-réseau.
  10. Pour Nom du sous-réseau, tapez Workload-01-SN.
  11. Pour Plage d’adresses de sous-réseau, tapez 10.0.1.0/24.
  12. Sélectionnez Ajouter.
  13. Sélectionnez Vérifier + créer.
  14. Sélectionnez Créer.

Répétez cette procédure pour créer un autre réseau virtuel similaire :

Nom : Spoke-02
Espace d’adressage : 10.1.0.0/16
Nom du sous-réseau : Charge de travail-02-SN
Plage d’adresses de sous-réseau : 10.1.1.0/24

Créer le hub virtuel sécurisé

Créez votre hub virtuel sécurisé à l’aide de Firewall Manager.

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

  2. Dans la zone de recherche, entrez Firewall Manager et sélectionnez Firewall Manager.

  3. Dans la page Firewall Manager, sous Déploiements, sélectionnez Hubs virtuels.

  4. Dans la page Firewall Manager | Hubs virtuels, sélectionnez Créer un hub virtuel sécurisé.

    Screenshot of creating a new secured virtual hub.

  5. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  6. Pour Région, sélectionnez USA Est.

  7. Pour le nom du hub virtuel sécurisé, entrez Hub-01.

  8. Pour Espace d’adressage du hub, entrez 10.2.0.0/16.

  9. Pour le nom du nouveau réseau WAN virtuel, tapez Vwan-01.

  10. Sélectionnez Nouveau vWAN, puis Standard pour « Type »

  11. Laissez la case à cocher Inclure la passerelle VPN pour activer les Partenaires de sécurité de confiance désactivée.

    Screenshot of creating a new virtual hub with properties.

  12. Sélectionnez Suivant : Pare-feu Azure.

  13. Acceptez le paramètre par défaut Pare-feu AzureActivé.

  14. Pour Niveau du pare-feu Azure, sélectionnez Standard.

  15. Sélectionnez la combinaison souhaitée de Zones de disponibilité.

Important

Un Virtual WAN est une collection de hubs et de services disponibles dans le hub. Vous pouvez déployer autant de Virtual WAN que de besoin. Dans un hub Virtual WAN, il existe plusieurs services tels que VPN, ExpressRoute, etc. Chacun de ces services est automatiquement déployé dans les Zones de disponibilité, à l’exception du Pare-feu Azure, si la région prend en charge les Zones de disponibilité. Pour vous aligner sur la résilience d’Azure Virtual WAN, vous devez sélectionner toutes les Zones de disponibilité disponibles.

Screenshot of configuring Azure Firewall parameters.

  1. Sélectionnez la Stratégie de pare-feu à appliquer à la nouvelle instance de Pare-feu Azure. Sélectionnez Stratégie de refus par défaut. Vous affinerez vos paramètres ultérieurement dans cet article.

  2. Sélectionnez Suivant : Partenaire de sécurité de confiance.

    Screenshot of configuring Trusted Partners parameters.

  3. Acceptez le paramètre Partenaire de sécurité de confianceDésactivé par défaut, puis sélectionnez Suivant : Vérifier + créer.

  4. Sélectionnez Create (Créer).

    Screenshot of creating the Firewall instance.

Notes

La création d’un hub virtuel sécurisé peut prendre jusqu’à 30 minutes.

Vous pouvez obtenir l’adresse IP publique du pare-feu une fois le déploiement terminé.

  1. Ouvrez Firewall Manager.
  2. Sélectionnez Hubs virtuels.
  3. Sélectionnez hub-01.
  4. Sélectionnez Configuration d’adresse IP publique.
  5. Notez l’adresse IP publique à utiliser ultérieurement.

Connecter les réseaux virtuels en étoile

À présent, vous pouvez appairer les réseaux virtuels en étoile.

  1. Sélectionnez le groupe de ressources fw-manager-rg, puis le WAN virtuel Vwan-01.

  2. Sous Connectivité, sélectionnez Connexions de réseau virtuel.

    Screenshot of adding Virtual Network connections.

  3. Sélectionnez Ajouter une connexion.

  4. Pour Nom de la connexion, entrez hub-spoke-01.

  5. Pour Hubs, sélectionnez Hub-01.

  6. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  7. Pour Réseau virtuel, sélectionnez Spoke-01.

  8. Sélectionnez Create (Créer).

  9. Répétez la procédure pour connecter le réseau virtuel spoke-02 : nom de la connexion -hub-spoke-02

Déployer les serveurs

  1. Dans le portail Azure, sélectionnez Créer une ressource.

  2. Sélectionnez Windows Server 2019 Datacenter dans la liste Populaire.

  3. Entrez ces valeurs pour la machine virtuelle :

    Paramètre Valeur
    Resource group fw-manager-rg
    Nom de la machine virtuelle Srv-workload-01
    Région (États-Unis) USA Est
    Nom d’utilisateur de l’administrateur Entrez un nom d’utilisateur
    Mot de passe Entrez un mot de passe
  4. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Aucun.

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.

  6. Acceptez les disques par défaut, puis sélectionnez Suivant : Mise en réseau.

  7. Sélectionnez Spoke-01 pour le réseau virtuel, puis Workload-01-SN pour le sous-réseau.

  8. Pour Adresse IP publique, sélectionnez Aucune.

  9. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Gestion.

  10. Sélectionnez Désactiver pour désactiver les diagnostics de démarrage. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  11. Vérifiez les paramètres sur la page de récapitulatif, puis sélectionnez Créer.

Utilisez les informations du tableau suivant pour configurer une autre machine virtuelle nommée Srv-Workload-02. Le reste de la configuration est le même que pour la machine virtuelle Srv-workload-01.

Paramètre Valeur
Réseau virtuel Spoke-02
Subnet Charge de travail-02-SN

Une fois les serveurs déployés, sélectionnez une ressource de serveur, puis, dans Mise en réseau, notez l’adresse IP privée de chaque serveur.

Créer une stratégie de pare-feu et sécuriser votre hub

Une stratégie de pare-feu définit des collections de règles pour diriger le trafic sur un ou plusieurs hubs virtuels sécurisés. Vous allez créer votre stratégie de pare-feu, puis sécuriser votre hub.

  1. Dans Firewall Manager, sélectionnez Stratégies de Pare-feu Azure.

    Screenshot of creating an Azure Policy with first step.

  2. Sélectionnez Créer une stratégie de pare-feu Azure.

    Screenshot of configuring Azure Policy settings in first step.

  3. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  4. Sous Détails de la stratégie, pour Nom, entrez Policy-01 et pour Région, sélectionnez USA Est.

  5. Pour Niveau de stratégie, sélectionnez Standard.

  6. Sélectionnez Suivant : Paramètres DNS.

    Screenshot of configuring DNS settings.

  7. Sélectionnez Suivant : Inspection TLS.

    Screenshot of configuring TLS settings.

  8. Sélectionnez Suivant : Règles.

  9. Dans l’onglet Règles, sélectionnez Ajouter une collection de règles.

    Screenshot of configuring Rule Collection.

  10. Dans la page Ajouter une collection de règles, entrez App-RC-01 pour Nom.

  11. Pour Type de collection de règles, sélectionnez Application.

  12. Pour Priorité, tapez 100.

  13. Vérifiez que Action de collection de règles est défini sur Autoriser.

  14. Pour Nom, entrez Allow-msft.

  15. Pour Type de source, sélectionnez Adresse IP.

  16. Pour Source, tapez *.

  17. Pour Protocole, entrez http,https.

  18. Vérifiez que Type de destination est défini sur FQDN.

  19. Pour Destination, tapez *.microsoft.com.

  20. Sélectionnez Ajouter.

  21. Ajoutez une Règle DNAT pour pouvoir connecter un bureau à distance à la machine virtuelle Srv-Workload-01.

    1. Sélectionnez Ajouter une collection de règles.
    2. Pour Nom, tapez dnat-rdp.
    3. Comme Type de collection de règles, sélectionnez DNAT.
    4. Pour Priorité, tapez 100.
    5. Pour Nom, entrez Allow-rdp.
    6. Pour Type de source, sélectionnez Adresse IP.
    7. Pour Source, tapez *.
    8. Pour Protocole, sélectionnez TCP.
    9. Pour Ports de destination, tapez 3389.
    10. Pour Type de destination, sélectionnez Adresse IP.
    11. Pour Destination, tapez l’adresse IP publique du pare-feu que vous avez notée précédemment.
    12. Pour Adresses traduites, tapez l’adresse IP privée de Srv-Workload-01 que vous avez notée précédemment.
    13. Dans le champ Port traduit, tapez 3389.
    14. Sélectionnez Ajouter.
  22. Ajoutez une Règle de réseau afin de pouvoir connecter un bureau à distance de Srv-Workload-01 à Srv-Workload-02.

    1. Sélectionnez Ajouter une collection de règles.
    2. Dans le champ Nom, tapez vnet-hub.
    3. Comme Type de collection de règles, sélectionnez Réseau.
    4. Pour Priorité, tapez 100.
    5. Pour Action de collection de règles, sélectionnez Autoriser.
    6. Pour le Nom de la règle, tapez Allow-vnet.
    7. Pour Type de source, sélectionnez Adresse IP.
    8. Pour Source, tapez *.
    9. Pour Protocole, sélectionnez TCP.
    10. Pour Ports de destination, tapez 3389.
    11. Pour Type de destination, sélectionnez Adresse IP.
    12. Pour Destination, tapez l’adresse IP privée Srv-Workload-02 que vous avez notée précédemment.
    13. Sélectionnez Ajouter.
    14. Sélectionnez Vérifier + créer.
    15. Sélectionnez Create (Créer).
  23. Dans la page IDPS, cliquez sur Suivant : Renseignement sur les menaces.

    Screenshot of configuring IDPS settings.

  24. Dans la page Renseignement sur les menaces, acceptez les valeurs par défaut, puis cliquez sur Vérifier et créer :

    Screenshot of configuring Threat Intelligence settings.

  25. Vérifiez et confirmez votre sélection en cliquant sur le bouton Créer.

Associer une stratégie

Associez la stratégie de pare-feu au hub.

  1. Dans Firewall Manager, sélectionnez Stratégies de Pare-feu Azure.

  2. Cochez la case Policy-01.

  3. Sélectionnez Gérer les associations, Associer des hubs.

    Screenshot of configuring Policy association.

  4. Sélectionnez hub-01.

  5. Sélectionnez Ajouter.

    Screenshot of adding Policy and Hub settings.

Acheminer le trafic vers votre hub

Vous devez maintenant vérifier que le trafic réseau est acheminé via votre pare-feu.

  1. Dans Firewall Manager, sélectionnez Hubs virtuels.

  2. Sélectionnez Hub-01.

  3. Sous Paramètres, sélectionnez Configuration de la sécurité.

  4. Sous Trafic Internet, sélectionnez Pare-feu Azure.

  5. Sous Trafic privé, sélectionnez Envoyer via le Pare-feu Azure.

  6. Sélectionnez Enregistrer.

  7. Sélectionnez OK dans la boîte de dialogue Avertissement.

    Screenshot of Secure Connections.

    Notes

    La mise à jour des tables de routage prend quelques minutes.

  8. Vérifiez que les deux connexions indiquent que le Pare-feu Azure sécurise le trafic Internet et privé.

    Screenshot of Secure Connections final status.

Tester le pare-feu

Pour tester les règles de pare-feu, vous allez connecter un bureau à distance à l’aide de l’adresse IP publique du pare-feu, qui est traduite en Srv-Workload-01. À partir de là, vous allez utiliser un navigateur pour tester la règle d’application et connecter un bureau à distance à Srv-Workload-02 pour tester la règle de réseau.

Tester la règle d’application

À présent, testez les règles de pare-feu pour vérifier qu’elles fonctionnent comme prévu.

  1. Connectez un bureau à distance à l’adresse IP publique du pare-feu, puis connectez-vous.

  2. Ouvrez Internet Explorer et accédez à https://www.microsoft.com.

  3. Sélectionnez OK>Fermer sur les alertes de sécurité d’Internet Explorer.

    La page d’accueil de Microsoft doit s’afficher.

  4. Accédez à https://www.google.com.

    Vous devriez être bloqué par le pare-feu.

À présent que vous avez vérifié que la règle d’application de pare-feu fonctionne :

  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.

Tester la stratégie réseau

Testez à présent la règle de réseau.

  • À partir de Srv-Workload-01, ouvrez un bureau à distance à l’adresse IP privée Srv-Workload-02.

    Un bureau à distance doit se connecter à Srv-Workload-02.

Maintenant que vous avez vérifié que la règle de réseau du pare-feu fonctionne :

  • Vous pouvez connecter un bureau à distance à un serveur situé dans un autre réseau virtuel.

Nettoyer les ressources

Quand vous avez terminé de tester vos ressources de pare-feu, supprimez le groupe de ressources fw-manager-rg afin de supprimer toutes les ressources liées au pare-feu.

Étapes suivantes