Utiliser un VPN avec Azure Managed Instance pour Apache Cassandra

Article
15/08/2024

Les nœuds Azure Managed Instance pour Apache Cassandra nécessitent l’accès à de nombreux autres services Azure lorsqu’ils sont injectés dans votre réseau virtuel. Normalement, l’accès est activé en veillant à ce que votre réseau virtuel dispose d’un accès sortant à Internet. Si votre stratégie de sécurité interdit l’accès sortant, vous pouvez configurer des règles de pare-feu ou des routes définies par l’utilisateur pour l’accès approprié. Pour plus d’informations, consultez Règles de trafic réseau sortant requises.

Toutefois, si vous avez des problèmes de sécurité internes à propos de l’exfiltration de données, votre stratégie de sécurité risque d’interdire l’accès direct à ces services à partir de votre réseau virtuel. En utilisant un réseau privé virtuel (VPN) avec Azure Managed Instance pour Apache Cassandra, vous pouvez vous assurer que les nœuds de données dans le réseau virtuel communiquent uniquement avec un point de terminaison VPN sécurisé, sans aucun accès direct à aucun autre service.

Fonctionnement

Une machine virtuelle appelée l’opérateur fait partie de chaque Azure Managed Instance pour Apache Cassandra. Il permet de gérer le cluster, par défaut, l’opérateur se trouve dans le même réseau virtuel que le cluster. Cela signifie que l’opérateur et les machines virtuelles de données ont les mêmes règles de groupe de sécurité réseau (NSG). Ce qui n’est pas idéal pour des raisons de sécurité, et permet également aux clients d’empêcher l’opérateur d’atteindre les services Azure nécessaires lorsqu’ils configurent des règles de groupe de sécurité réseau pour leur sous-réseau.

L’utilisation d’un VPN comme méthode de connexion pour Azure Managed Instance pour Apache Cassandra permet à l’opérateur d’être dans un réseau virtuel différent du cluster à l’aide du service de liaison privée. Cela signifie que l’opérateur peut se trouver dans un réseau virtuel qui a accès aux services Azure nécessaires et que le cluster peut se trouver dans un réseau virtuel que vous contrôlez.

Avec le VPN, l’opérateur peut désormais se connecter à une adresse IP privée à l’intérieur de la plage d’adresses de votre réseau virtuel appelé point de terminaison privé. La liaison privée route les données entre l’opérateur et le point de terminaison privé via le réseau principal Azure, ce qui évite l’exposition à l’Internet public.

Avantages de sécurité

Nous voulons empêcher les attaquants d’accéder au réseau virtuel où l’opérateur est déployé et d’essayer de voler des données. Par conséquent, nous avons des mesures de sécurité en place pour vous assurer que l’opérateur ne peut atteindre que les services Azure nécessaires.

Stratégies de point de terminaison de service : ces stratégies offrent un contrôle granulaire sur le trafic de sortie au sein du réseau virtuel, en particulier vers les services Azure. En utilisant des points de terminaison de service, ils établissent des restrictions, autorisant l’accès aux données exclusivement aux services Azure spécifiés tels qu’Azure Monitoring, Stockage Azure et Azure KeyVault. Notamment, ces stratégies garantissent que la sortie des données est limitée uniquement aux comptes de stockage Azure prédéterminés, ce qui améliore la sécurité et la gestion des données au sein de l’infrastructure réseau.
Groupes de sécurité réseau : ces groupes sont utilisés pour filtrer le trafic réseau vers et depuis les ressources d’un réseau virtuel Azure. Nous bloquent tout le trafic de l’opérateur vers Internet et autorisent uniquement le trafic vers certains services Azure via un ensemble de règles de groupe de sécurité réseau.

Comment utiliser un VPN avec Azure Managed Instance pour Apache Cassandra

Créer un cluster Azure Managed Instance pour Apache Cassandra en utilisant "VPN" comme la valeur pour l’option --azure-connection-method :

Bash

az managed-cassandra cluster create \
--cluster-name "vpn-test-cluster" \
--resource-group "vpn-test-rg" \
--location "eastus2" \
--azure-connection-method "VPN" \
--initial-cassandra-admin-password "password"

Utilisez la commande suivante pour voir les propriétés du cluster :

Bash
```
az managed-cassandra cluster show \
--resource-group "vpn-test-rg" \
--cluster-name "vpn-test-cluster"
```
À partir de la sortie, copiez la valeur privateLinkResourceId.
Dans le Portail Microsoft Azure, créez un point de terminaison privé en utilisant ces détails :
1. Sous l’onglet Ressource, sélectionnez Connectez-vous à une ressource Azure par son alias ou identifiant de ressource comme méthode de connexion et Microsoft.Network/privateLinkServices comme type de ressource. Entrez la valeur privateLinkResourceId de l’étape précédente.
2. Sous l’onglet Réseau virtuel, sélectionnez le sous-réseau de votre réseau virtuel et sélectionnez l’option Allouer statiquement l’adresse IP.
3. Validez et créez.
Notes

Pour le moment, la connexion entre le service de gestion et votre point de terminaison privé a besoin de l’approbation de l’équipe Azure Managed Instance pour Apache Cassandra.
Obtenez l’adresse IP de l’interface réseau de votre point de terminaison privé.
Créez un nouveau centre de données en utilisant l’adresse IP de l’étape précédente comme paramètre --private-endpoint-ip-address.

Étapes suivantes

Découvrez la configuration d’un cluster hybride dans Azure Managed Instance pour Apache Cassandra.

Ressources supplémentaires

Documentation

Comment exécuter des commandes DBA pour Azure Managed Instance pour Apache Cassandra

En savoir plus sur l’exécution des commandes DBA
Gérer les ressources avec Azure CLI : Azure Resource Manager

Découvrez les commandes courantes permettant d’automatiser la gestion d'Azure Managed Instance pour Apache Cassandra en utilisant Azure CLI.
Clés gérées par le client dans Azure Managed Instance pour Apache Cassandra

Découvrez comment mettre en œuvre des clés gérées par le client dans Azure Managed Instance pour Apache Cassandra en utilisant Azure Key Vault.
Opérations de gestion dans Azure Managed Instance pour Apache Cassandra

En savoir plus sur les opérations de gestion prises en charge par Azure Managed Instance pour Apache Cassandra. Elle explique également la séparation des responsabilités entre l’équipe de support Azure et les clients lors de la gestion de clusters hybrides et autonomes.
Démarrage rapide - Configurer un cluster hybride le configurateur client Azure Managed Instance pour Apache Cassandra

Ce guide de démarrage rapide montre comment configurer un cluster hybride avec le,configurateur client Azure Managed Instance pour Apache Cassandra.
Sécurité dans Azure Managed Instance pour Apache Cassandra – Vue d’ensemble

Découvrez les meilleures pratiques en matière de sécurité des bases de données et les principales fonctionnalités d’Azure Managed Instance pour Apache Cassandra. Elles vous permettent d’éviter, de détecter et de contrer des violations de base de données.

Entrainement

Module

Se connecter à un serveur Azure SQL avec Azure Private Endpoint en utilisant le Portail Azure - Training

Découvrez comment connecter en toute sécurité un serveur Azure SQL à l’aide d’un point de terminaison privé Azure via le Portail Azure, ce qui garantit une communication privée et sécurisée avec votre serveur SQL.

Certification

Microsoft Certified : Azure Network Engineer Associate - Certifications

Faites la démonstration de la conception, de l’implémentation et de la maintenance de l’infrastructure de mise en réseau, du trafic d’équilibrage de charge, du routage réseau Azure et bien plus encore.

Partager via