Tutoriel : Sécuriser votre hub virtuel avec Azure Firewall Manager

  • Article

À l’aide d’Azure Firewall Manager, vous pouvez créer des hubs virtuels sécurisés pour sécuriser le trafic de votre réseau cloud à destination d’adresses IP privées, d’Azure PaaS et d’Internet. Le routage du trafic vers le pare-feu étant automatisé, vous n’avez pas besoin de créer des routes définies par l’utilisateur.

Firewall Manager prend également en charge une architecture de réseau virtuel hub. Pour obtenir une comparaison des types d’architectures de hub virtuel sécurisé et de réseau virtuel hub, consultez Quelles sont les options d’architecture d’Azure Firewall Manager ?

Dans ce tutoriel, vous allez apprendre à :

  • Créer le réseau virtuel spoke
  • Créer un hub virtuel sécurisé
  • Connecter les réseaux virtuels en étoile
  • Acheminer le trafic vers votre hub
  • Déployer les serveurs
  • Créer une stratégie de pare-feu et sécuriser votre hub
  • Tester le pare-feu

Important

La procédure décrite dans ce didacticiel utilise Azure Firewall Manager pour créer un hub sécurisé Azure Virtual WAN. Vous pouvez utiliser Firewall Manager pour mettre à niveau un hub existant, mais ne pouvez pas configurer de Zones de disponibilité Azure pour un Pare-feu Azure. Il est également possible de convertir un hub existant en hub sécurisé à l’aide du portail Azure, comme décrit dans Configurer un Pare-feu Azure dans un hub Virtual WAN. Toutefois, comme Azure Firewall Manager, vous ne pouvez pas configurer de Zones de disponibilité. Pour mettre à niveau un hub existant et spécifier des Zones de disponibilité pour un Pare-feu Azure (recommandé), vous devez suivre la procédure de mise à niveau décrite dans Tutoriel : Sécuriser votre hub virtuel avec Azure PowerShell.

Diagram showing the secure cloud network.

Prérequis

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Créer une architecture hub and spoke

Commencez par créer un réseau virtuel en étoile où placer vos serveurs.

Créer deux réseaux virtuels en étoile et des sous-réseaux

Les deux réseaux virtuels comportent chacun un serveur de charge de travail et sont protégés par le pare-feu.

  1. Dans la page d’accueil du portail Azure, sélectionnez Créer une ressource.
  2. Recherchez Réseau virtuel, sélectionnez-le, puis choisissez Créer.
  3. Pour Abonnement, sélectionnez votre abonnement.
  4. Pour Groupe de ressources, sélectionnez Créer et entrez fw-manager-rg comme nom, puis sélectionnez OK.
  5. Pour le Nom du réseau virtuel, tapez Spoke-01.
  6. Pour Région, sélectionnez USA Est.
  7. Cliquez sur Suivant.
  8. Sur la page Sécurité, sélectionnez Suivant.
  9. Sous Ajouter un espace d’adressage IPv4, acceptez la valeur par défaut 10.0.0.0/16.
  10. Sous Sous-réseaux, sélectionnez par défaut.
  11. Pour Nom, tapez Workload-01-SN.
  12. Pour Adresse de départ, tapez 10.0.1.0/24.
  13. Sélectionnez Enregistrer.
  14. Sélectionnez Revoir + créer.
  15. Sélectionnez Create (Créer).

Répétez cette procédure pour créer un autre réseau virtuel similaire dans le groupe de ressources fw-manager-rg :

Nom : Spoke-02
Espace d’adressage : 10.1.0.0/16
Nom du sous-réseau : Charge de travail-02-SN
Adresse de départ : 10.1.1.0/24

Créer le hub virtuel sécurisé

Créez votre hub virtuel sécurisé à l’aide de Firewall Manager.

  1. À partir de la page d’accueil du portail Azure, sélectionnez Tous les services.

  2. Dans la zone de recherche, entrez Firewall Manager et sélectionnez Firewall Manager.

  3. Dans la page Firewall Manager, sous Déploiements, sélectionnez Hubs virtuels.

  4. Dans la page Firewall Manager | Hubs virtuels, sélectionnez Créer un hub virtuel sécurisé.

    Screenshot of creating a new secured virtual hub.

  5. Sélectionnez votre abonnement.

  6. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  7. Pour Région, sélectionnez USA Est.

  8. Pour le nom du hub virtuel sécurisé, entrez Hub-01.

  9. Pour Espace d’adressage du hub, entrez 10.2.0.0/16.

  10. Sélectionnez Nouveau vWAN.

  11. Pour le nom du nouveau réseau WAN virtuel, tapez Vwan-01.

  12. Pour Type, sélectionnez Standard.

  13. Laissez la case à cocher Inclure la passerelle VPN pour activer les Partenaires de sécurité de confiance désactivée.

    Screenshot of creating a new virtual hub with properties.

  14. Sélectionnez Suivant : Pare-feu Azure.

  15. Acceptez le paramètre par défaut Pare-feu AzureActivé.

  16. Pour Niveau du pare-feu Azure, sélectionnez Standard.

  17. Sélectionnez la combinaison souhaitée de Zones de disponibilité.

Important

Un Virtual WAN est une collection de hubs et de services disponibles dans le hub. Vous pouvez déployer autant de Virtual WAN que de besoin. Dans un hub Virtual WAN, il existe plusieurs services tels que VPN, ExpressRoute, etc. Chacun de ces services est automatiquement déployé dans les Zones de disponibilité, à l’exception du Pare-feu Azure, si la région prend en charge les Zones de disponibilité. Pour vous aligner sur la résilience d’Azure Virtual WAN, vous devez sélectionner toutes les Zones de disponibilité disponibles.

Screenshot of configuring Azure Firewall parameters.

  1. Tapez 1 dans la zone de texte Spécifier le nombre d’adresses IP publiques.

  2. Sous Stratégie de pare-feu, vérifiez que la Stratégie de refus par défaut est sélectionnée. Vous affinerez vos paramètres plus loin dans cet article.

  3. Sélectionnez Suivant : Fournisseur de partenaire de sécurité.

    Screenshot of configuring Trusted Partners parameters.

  4. Acceptez le paramètre Partenaire de sécurité de confianceDésactivé par défaut, puis sélectionnez Suivant : Vérifier + créer.

  5. Cliquez sur Créer.

    Screenshot of creating the Firewall instance.

Remarque

La création d’un hub virtuel sécurisé peut prendre jusqu’à 30 minutes.

Vous pouvez trouver l’adresse IP publique du pare-feu une fois le déploiement terminé.

  1. Ouvrez Firewall Manager.
  2. Sélectionnez Hubs virtuels.
  3. Sélectionnez hub-01.
  4. Sélectionnez AzureFirewall_Hub-01.
  5. Notez l’adresse IP publique à utiliser ultérieurement.

Connecter les réseaux virtuels en étoile

À présent, vous pouvez appairer les réseaux virtuels en étoile.

  1. Sélectionnez le groupe de ressources fw-manager-rg, puis le WAN virtuel Vwan-01.

  2. Sous Connectivité, sélectionnez Connexions de réseau virtuel.

    Screenshot of adding Virtual Network connections.

  3. Sélectionnez Ajouter une connexion.

  4. Pour Nom de la connexion, entrez hub-spoke-01.

  5. Pour Hubs, sélectionnez Hub-01.

  6. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  7. Pour Réseau virtuel, sélectionnez Spoke-01.

  8. Sélectionnez Créer.

  9. Répétez la procédure pour connecter le réseau virtuel Spoke-02 avec le nom de connexion hub-spoke-02.

Déployer les serveurs

  1. Dans le portail Azure, sélectionnez Créer une ressource.

  2. Sélectionnez Windows Server 2019 Datacenter dans la liste Populaire.

  3. Entrez ces valeurs pour la machine virtuelle :

    Paramètre Valeur
    Resource group fw-manager-rg
    Nom de la machine virtuelle Srv-workload-01
    Région (États-Unis) USA Est
    Nom d’utilisateur de l’administrateur Entrez un nom d’utilisateur
    Mot de passe Entrez un mot de passe

  4. Sous Règles des ports d’entrée, pour Ports d’entrée publics, sélectionnez Aucun.

  5. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Disques.

  6. Acceptez les disques par défaut, puis sélectionnez Suivant : Mise en réseau.

  7. Sélectionnez Spoke-01 pour le réseau virtuel, puis Workload-01-SN pour le sous-réseau.

  8. Pour Adresse IP publique, sélectionnez Aucune.

  9. Acceptez les autres valeurs par défaut, puis sélectionnez Suivant : Gestion.

  10. Sélectionnez Suivant : analyse.

  11. Sélectionnez Désactiver pour désactiver les diagnostics de démarrage. Acceptez les autres valeurs par défaut, puis sélectionnez Vérifier + créer.

  12. Vérifiez les paramètres sur la page de récapitulatif, puis sélectionnez Créer.

Utilisez les informations du tableau suivant pour configurer une autre machine virtuelle nommée Srv-Workload-02. Le reste de la configuration est le même que pour la machine virtuelle Srv-workload-01.

Paramètre Valeur
Réseau virtuel Spoke-02
Subnet Charge de travail-02-SN

Une fois les serveurs déployés, sélectionnez une ressource de serveur, puis, dans Mise en réseau, notez l’adresse IP privée de chaque serveur.

Créer une stratégie de pare-feu et sécuriser votre hub

Une stratégie de pare-feu définit des collections de règles pour diriger le trafic sur un ou plusieurs hubs virtuels sécurisés. Vous créez votre stratégie de pare-feu, puis vous sécurisez votre hub.

  1. Dans Firewall Manager, sélectionnez Stratégies de Pare-feu Azure.

    Screenshot of creating an Azure Policy with first step.

  2. Sélectionnez Créer une stratégie de pare-feu Azure.

    Screenshot of configuring Azure Policy settings in first step.

  3. Pour Groupe de ressources, sélectionnez fw-manager-rg.

  4. Sous Détails de la stratégie, pour Nom, entrez Policy-01 et pour Région, sélectionnez USA Est.

  5. Pour Niveau de stratégie, sélectionnez Standard.

  6. Sélectionnez Suivant : Paramètres DNS.

    Screenshot of configuring DNS settings.

  7. Sélectionnez Suivant : Inspection TLS.

    Screenshot of configuring TLS settings.

  8. Sélectionnez Suivant : Règles.

  9. Dans l’onglet Règles, sélectionnez Ajouter une collection de règles.

    Screenshot of configuring Rule Collection.

  10. Dans la page Ajouter une collection de règles, entrez App-RC-01 pour Nom.

  11. Pour Type de collection de règles, sélectionnez Application.

  12. Pour Priorité, tapez 100.

  13. Vérifiez que Action de collection de règles est défini sur Autoriser.

  14. Pour le Nom de la règle, tapez Allow-msft.

  15. Pour Type de source, sélectionnez Adresse IP.

  16. Pour Source, tapez *.

  17. Pour Protocole, entrez http,https.

  18. Vérifiez que Type de destination est défini sur FQDN.

  19. Pour Destination, tapez *.microsoft.com.

  20. Sélectionnez Ajouter.

  21. Ajoutez une Règle DNAT pour pouvoir connecter un bureau à distance à la machine virtuelle Srv-Workload-01.

    1. Sélectionnez Ajouter une collection de règles.
    2. Pour Nom, tapez dnat-rdp.
    3. Comme Type de collection de règles, sélectionnez DNAT.
    4. Pour Priorité, tapez 100.
    5. Pour le Nom de la règle, tapez Allow-rdp.
    6. Pour Type de source, sélectionnez Adresse IP.
    7. Pour Source, tapez *.
    8. Pour Protocole, sélectionnez TCP.
    9. Pour Ports de destination, tapez 3389.
    10. Pour Destination, tapez l’adresse IP publique du pare-feu que vous avez notée précédemment.
    11. Pour Type traduit, sélectionnez Adresse IP.
    12. Pour Adresses traduites, tapez l’adresse IP privée de Srv-Workload-01 que vous avez notée précédemment.
    13. Dans le champ Port traduit, tapez 3389.
    14. Sélectionnez Ajouter.

  22. Ajoutez une Règle de réseau afin de pouvoir connecter un bureau à distance de Srv-Workload-01 à Srv-Workload-02.

    1. Sélectionnez Ajouter une collection de règles.
    2. Dans le champ Nom, tapez vnet-hub.
    3. Comme Type de collection de règles, sélectionnez Réseau.
    4. Pour Priorité, tapez 100.
    5. Pour Action de collection de règles, sélectionnez Autoriser.
    6. Pour le Nom de la règle, tapez Allow-vnet.
    7. Pour Type de source, sélectionnez Adresse IP.
    8. Pour Source, tapez *.
    9. Pour Protocole, sélectionnez TCP.
    10. Pour Ports de destination, tapez 3389.
    11. Pour Type de destination, sélectionnez Adresse IP.
    12. Pour Destination, tapez l’adresse IP privée Srv-Workload-02 que vous avez notée précédemment.
    13. Sélectionnez Ajouter.

  23. Sélectionnez Suivant : IDPS.

  24. Sur la page IDPS, sélectionnez Suivant : renseignements sur les menaces.

    Screenshot of configuring IDPS settings.

  25. Sur la page Renseignements sur les menaces, acceptez les valeurs par défaut, puis sélectionnez Vérifier et créer :

    Screenshot of configuring Threat Intelligence settings.

  26. Procédez à la vérification pour confirmer votre sélection, puis sélectionnez Créer.

Associer une stratégie

Associez la stratégie de pare-feu au hub.

  1. Dans Firewall Manager, sélectionnez Stratégies de Pare-feu Azure.

  2. Cochez la case Policy-01.

  3. Sélectionnez Gérer les associations, Associer des hubs.

    Screenshot of configuring Policy association.

  4. Sélectionnez hub-01.

  5. Sélectionnez Ajouter.

    Screenshot of adding Policy and Hub settings.

Acheminer le trafic vers votre hub

Vous devez maintenant vérifier que le trafic réseau est acheminé via votre pare-feu.

  1. Dans Firewall Manager, sélectionnez Hubs virtuels.

  2. Sélectionnez Hub-01.

  3. Sous Paramètres, sélectionnez Configuration de la sécurité.

  4. Sous Trafic Internet, sélectionnez Pare-feu Azure.

  5. Sous Trafic privé, sélectionnez Envoyer via le Pare-feu Azure.

    Remarque

    Si vous utilisez des plages d'adresses IP publiques pour les réseaux privés dans un réseau virtuel ou une succursale sur site, vous devez spécifier explicitement ces préfixes d'adresse IP. Sélectionnez la section Préfixes de trafic privé, puis ajoutez-les aux côtés des préfixes d'adresse RFC1918.

  6. Sous Inter-hub, sélectionnez Activé afin d’activer la fonctionnalité d’intention de routage Virtual WAN. L’intention de routage est le mécanisme par lequel vous pouvez configurer Virtual WAN pour acheminer le trafic de branche à branche (local vers local) par le Pare-feu Azure déployé dans le hub Virtual WAN. Pour plus d'informations sur les conditions préalables et les considérations associées à la fonctionnalité d'intention de routage, consultez la documentation sur l'intention de routage.

  7. Cliquez sur Enregistrer.

  8. Sélectionnez OK dans la boîte de dialogue Avertissement.

    Screenshot of Secure Connections.

  9. Sélectionnez OK dans la boîte de dialogue Migrer pour utiliser inter-hub.

    Remarque

    La mise à jour des tables de routage prend quelques minutes.

  10. Vérifiez que les deux connexions indiquent que le Pare-feu Azure sécurise le trafic Internet et privé.

    Screenshot of Secure Connections final status.

Tester le pare-feu

Pour tester les règles de pare-feu, connectez un bureau à distance à l’aide de l’adresse IP publique du pare-feu, qui est traduite via NAT en Srv-Workload-01. À partir de là, utilisez un navigateur pour tester la règle d’application et connectez un bureau à distance à Srv-Workload-02 pour tester la règle de réseau.

Tester la règle d’application

À présent, testez les règles de pare-feu pour vérifier qu’elles fonctionnent comme prévu.

  1. Connectez un bureau à distance à l’adresse IP publique du pare-feu, puis connectez-vous.

  2. Ouvrez Internet Explorer et accédez à https://www.microsoft.com.

  3. Sélectionnez OK>Fermer sur les alertes de sécurité d’Internet Explorer.

    La page d’accueil de Microsoft doit s’afficher.

  4. Accédez à https://www.google.com.

    Le pare-feu doit bloquer ceci.

Vous venez de vérifier que la règle d’application du pare-feu fonctionne :

  • Vous pouvez accéder au nom de domaine complet autorisé, mais pas à d’autres.

Tester la stratégie réseau

Testez à présent la règle de réseau.

  • À partir de Srv-Workload-01, ouvrez un bureau à distance à l’adresse IP privée Srv-Workload-02.

    Un bureau à distance doit se connecter à Srv-Workload-02.

Vous venez de vérifier que la règle de réseau du pare-feu fonctionne :

  • Vous pouvez connecter un bureau à distance à un serveur situé dans un autre réseau virtuel.

Nettoyer les ressources

Quand vous avez terminé de tester vos ressources de pare-feu, supprimez le groupe de ressources fw-manager-rg afin de supprimer toutes les ressources liées au pare-feu.

Étapes suivantes

En savoir plus sur les partenaires de sécurité de confiance