Configurer un groupe de sécurité d’application avec un point de terminaison privé

Les points de terminaison Azure Private Link privés prennent en charge les groupes de sécurité d’application (ASG) pour la sécurité réseau. Vous pouvez associer les points de terminaison privés à un groupe de sécurité d’application existant dans votre infrastructure actuelle en même temps que des machines virtuelles et d’autres ressources réseau.

Prérequis

• Compte Azure avec un abonnement actif. Si vous n’avez pas encore de compte Azure, créez-en un gratuitement.

• Une application web Azure avec un niveau V2 ou un plan App Service supérieur déployé dans votre abonnement Azure.

  • Pour plus d’informations et pour obtenir un exemple, consultez Démarrage rapide : Créer une application web ASP.NET Core dans Azure.
  • L’exemple d’application web dans cet article est nommé myWebApp1979. Remplacez l’exemple par le nom de votre application web.

• Un ASG existant dans votre abonnement. Pour plus d’informations sur les groupes de sécurité d’application, consultez Groupes de sécurité d’application.

  • L’exemple de groupe de sécurité d’application utilisé dans cet article est nommé myASG. Remplacez l’exemple par votre groupe de sécurité d’application.

• Un réseau virtuel Azure existant et un sous-réseau dans votre abonnement. Pour en savoir plus sur la création d’un réseau virtuel, consultez Démarrage rapide : créer un réseau virtuel à l’aide du portail Azure.

  • L’exemple de réseau virtuel utilisé dans cet article est nommé myVNet. Remplacez l’exemple par votre réseau virtuel.

• La dernière version d’Azure CLI installée.

  • Vérifiez votre version d’Azure CLI dans un terminal ou une fenêtre de commande en exécutant az --version. Pour obtenir la dernière version, consultez les notes de publication les plus récentes.
  • Si vous ne disposez pas de la dernière version d’Azure CLI, mettez-la à jour en suivant le guide d’installation pour votre système d’exploitation ou votre plateforme.

Si vous choisissez d’installer et d’utiliser PowerShell en local, vous devez exécuter le module Azure PowerShell version 5.4.1 ou ultérieure pour les besoins de cet article. Pour trouver la version installée, exécutez Get-Module -ListAvailable Az. Si vous devez effectuer une mise à niveau, consultez Installation et configuration d’Azure PowerShell. Si vous exécutez PowerShell en local, vous devez également exécuter Connect-AzAccount pour créer une connexion avec Azure.

Créer un point de terminaison privé avec un groupe de sécurité d’application

Vous pouvez associer un ASG à un point de terminaison privé lors de sa création. Les procédures suivantes montrent comment associer un groupe de sécurité d’application à un point de terminaison privé lors de sa création.

Portail

1. Connectez-vous au portail Azure.

2. Dans la zone de recherche située en haut du portail, entrez Point de terminaison privé. Sélectionnez Points de terminaison privés dans les résultats de la recherche.

3. Sélectionnez + Créer dans Points de terminaison privés.

4. Sous l’onglet Général de Créer un point de terminaison privé, entrez ou sélectionnez les informations suivantes :

   Valeur	Paramètre
   Détails du projet
   Abonnement	Sélectionnez votre abonnement.
   Groupe de ressources	Sélectionnez votre groupe de ressources. Dans cet exemple, il s’agit de myResourceGroup.
   Détails de l’instance
   Nom	Entrez myPrivateEndpoint.
   Région	Sélectionnez USA Est.

5. Sélectionnez Suivant : Ressource en bas de la page.

6. Sur l’onglet Ressource, entrez ou sélectionnez les informations suivantes :

   Valeur	Paramètre
   Méthode de connexion	Sélectionnez Se connecter à une ressource Azure dans mon répertoire.
   Abonnement	Sélectionnez votre abonnement.
   Type de ressource	Sélectionnez Microsoft.Web/sites.
   Ressource	Sélectionnez mywebapp1979.
   Sous-ressource cible	Sélectionnez les sites.

7. Sélectionnez Suivant : Réseau virtuel au bas de la page.

8. Sur l’onglet Réseau virtuel, entrez ou sélectionnez les informations suivantes :

   Valeur	Paramètre
   Mise en réseau
   Réseau virtuel	Sélectionnez myVNet.
   Subnet	Sélectionnez votre sous-réseau. Dans cet exemple, il s’agit de myVNet/myBackendSubnet(10.0.0.0/24).
   Activez les stratégies réseau pour tous les points de terminaison privés de ce sous-réseau.	Conservez la valeur sélectionnée par défaut.
   Groupe de sécurité d’application
   Groupe de sécurité d’application	Sélectionnez myASG.

9. Sélectionnez Suivant : DNS au bas de la page.

10. Sélectionnez Suivant : Étiquettes au bas de la page.

11. Sélectionnez Suivant : Vérifier + créer.

12. Sélectionnez Create (Créer).

PowerShell

Azure PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

INTERFACE DE LIGNE DE COMMANDE

Azure CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Associer un groupe de sécurité d’application à un point de terminaison privé existant

Vous pouvez associer un groupe de sécurité d’application à un point de terminaison privé existant. Les procédures suivantes montrent comment associer un groupe de sécurité d’application à un point de terminaison privé existant.

Important

Vous devez disposer d’un point de terminaison privé précédemment déployé pour suivre les étapes décrites dans cette section. L’exemple de point de terminaison utilisé dans cette section est nommé myPrivateEndpoint. Remplacez l’exemple par votre point de terminaison privé.

Portail

1. Connectez-vous au portail Azure.

2. Dans la zone de recherche située en haut du portail, entrez Point de terminaison privé. Sélectionnez Points de terminaison privés dans les résultats de la recherche.

3. Dans Points de terminaison privés, sélectionnez myPrivateEndpoint.

4. Dans myPrivateEndpoint, dans Paramètres, sélectionnez Groupes de sécurité d’application.

5. Dans Groupes de sécurité d’application, sélectionnez myASG dans la zone de liste déroulante.

6. Cliquez sur Enregistrer.

PowerShell

L’association d’un ASG à un point de terminaison privé existant avec Azure PowerShell n’est actuellement pas prise en charge.

INTERFACE DE LIGNE DE COMMANDE

Azure CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Étapes suivantes

Pour plus d’informations sur Azure Private Link, consultez :

• Qu’est-ce que Liaison privée Azure ?