Vue d’ensemble de la sécurité réseau Azure

La sécurité du réseau pourrait être définie comme le processus de protection des ressources contre les accès non autorisés ou les attaques en appliquant des contrôles au trafic réseau. L’objectif est de vous assurer que seul le trafic légitime est autorisé. Azure inclut une infrastructure réseau solide pour prendre en charge les exigences de connectivité de vos applications et services. La connectivité réseau est possible entre les ressources hébergées dans Azure, entre les ressources hébergées sur site et dans Azure, mais aussi vers et à partir d’Internet et d’Azure.

Cet article explique quelques options que propose Azure dans le domaine de la sécurité du réseau. Vous en apprendrez plus sur :

• Mise en réseau Azure
• Contrôle d’accès réseau
• Pare-feu Azure
• Accès à distance sécurisé et connectivité intersite
• Disponibilité
• Résolution de noms
• Architecture (DMZ) du réseau de périmètre
• Protection DDoS dans Azure
• Azure Front Door
• Traffic Manager
• Surveillance et détection des menaces

Notes

Pour des charges de travail web, nous vous recommandons vivement d’utiliser la protection DDoS Azure et un pare-feu d’applications web pour vous protéger contre des attaques DDoS émergentes. Une autre option consiste à déployer Azure Front Door avec un pare-feu d’applications web. Azure Front Door offre une protection au niveau de la plateforme contre des attaques DDoS au niveau du réseau.

Mise en réseau Azure

Azure a besoin que les machines virtuelles soient connectées à un réseau virtuel Azure. Un réseau virtuel est une construction logique basée sur le réseau physique Azure. Chaque réseau privé est isolé de tous les autres réseaux virtuels. Cela permet de s’assurer que le trafic réseau dans vos déploiements n’est pas accessible aux autres clients Azure.

En savoir plus :

• Présentation du réseau virtuel

Contrôle d’accès réseau

Le contrôle d’accès réseau consiste à limiter la connectivité vers et depuis certains appareils ou sous-réseaux au sein d’un réseau virtuel. L’objectif du contrôle d’accès réseau est de limiter l’accès à vos machines virtuelles et services aux seuls utilisateurs et appareils approuvés. Les contrôles d’accès sont basés sur la décision d’autoriser ou de refuser la connexion vers et depuis votre machine virtuelle ou votre service.

Azure prend en charge plusieurs types de contrôle d’accès réseau, tels que :

• Contrôle de la couche réseau
• Contrôle du routage et tunneling forcé
• Appliances de sécurité de réseau virtuel

Contrôle de la couche réseau

Tout déploiement sécurisé requiert certaines mesures de contrôle d’accès réseau. L’objectif du contrôle d’accès réseau est de restreindre les communications des machines virtuelles aux systèmes nécessaires. Les autres tentatives de communication sont bloquées.

Notes

Les pare-feux de stockage sont détaillés dans l’article Vue d’ensemble des fonctionnalités de sécurité du stockage Azure

Règles de sécurité réseau (NSG)

Si vous avez besoin d’un contrôle d’accès au niveau du réseau de base (reposant sur l’adresse IP et les protocoles TCP ou UDP), vous pouvez utiliser des groupes de sécurité réseau (NSG). Un NSG est un pare-feu de filtrage des paquets avec état qui vous permet de contrôler l’accès sur la base d’un algorithme à 5 tuples. Les NSG incluent des fonctionnalités permettant de simplifier la gestion et réduire les risques d’erreurs de configuration :

• Les règles de sécurité augmentée simplifient la définition des règles de NSG et vous permettent de créer des règles complexes plutôt que de devoir créer plusieurs règles simples pour obtenir le même résultat.
• Les balises de service sont des étiquettes créées par Microsoft qui représentent un groupe d’adresses IP. Elles sont mises à jour de façon dynamique pour inclure des plages d’adresses IP qui remplissent les conditions définissant l’inclusion dans l’étiquette. Par exemple, si vous souhaitez créer une règle qui s’applique à tout le stockage Azure sur la région est des États-Unis, vous pouvez utiliser Storage.EastUS
• Les groupes de sécurité d’application vous permettent de déployer des ressources aux groupes d’application et de contrôler l’accès à ces ressources en créant des règles qui utilisent ces groupes d’applications. Par exemple, si vous disposez de serveurs web déployés sur le groupe d’applications « Webservers », vous pouvez créer une règle qui s’applique à un NSG, autorisant le trafic 443 d’Internet à tous les systèmes dans le groupe d’applications « Webservers ».

Les groupes de sécurité réseau n’effectuent pas d’inspection de la couche d’application ni de contrôles d’accès authentifiés.

En savoir plus :

• Groupes de sécurité réseau

Accès juste-à-temps aux machines virtuelles de Defender pour le cloud

Microsoft Defender pour le cloud gère les NSG sur les machines virtuelles et verrouille l’accès à la machine virtuelle jusqu’à ce qu’un utilisateur avec les autorisations de contrôle d’accès en fonction du rôle Azure (RBAC Azure) appropriées demande l’accès. Une fois l’utilisateur autorisé, Defender pour le cloud modifie les NSG pour autoriser l’accès aux ports sélectionnés pendant la durée spécifiée. Passé ce délai, les NSG sont restaurés à leur état sécurisé précédent.

En savoir plus :

• Microsoft Defender pour le cloud : Accès juste-à-temps

Points de terminaison de service

Les points de terminaison de service sont un autre moyen d’appliquer un contrôle sur votre trafic. Vous pouvez limiter la communication avec les services pris en charge à vos réseaux virtuels uniquement via une connexion directe. Le trafic de votre réseau virtuel vers le service Azure spécifié reste sur le réseau principal Microsoft Azure.

En savoir plus :

• Points de terminaison de service

Contrôle du routage et tunneling forcé

Il est essentiel de pouvoir contrôler le comportement du routage sur vos réseaux virtuels. Si le routage n’est pas configuré correctement, les applications et les services hébergés sur votre machine virtuelle risquent de se connecter à des appareils non autorisés, y compris les systèmes détenus et utilisés par des personnes malveillantes potentielles.

La mise en réseau Azure permet de personnaliser le comportement de routage du trafic réseau sur vos réseaux virtuels. Vous pouvez ainsi modifier les entrées de la table de routage par défaut dans votre réseau virtuel. Le contrôle du comportement de routage vous permet de vous assurer que tout le trafic en provenance d’un appareil ou d’un groupe d’appareils donné entre ou quitte votre réseau virtuel par un point spécifique.

Par exemple, vous pouvez disposer d’une appliance de sécurité de réseau virtuel sur votre réseau virtuel. Vous voulez vous assurer que tout le trafic vers et depuis votre réseau virtuel passe par cette appliance de sécurité virtuelle. Pour ce faire, vous pouvez configurer des itinéraires définis par l’utilisateur (UDR) dans Azure.

Le tunneling forcé est un mécanisme que vous pouvez utiliser pour empêcher vos services de se connecter aux appareils sur Internet. Par contre, cela n’empêche pas les services d’accepter des connexions entrantes ni d’y répondre. Les serveurs web frontaux doivent pouvoir répondre aux demandes provenant d’hôtes Interne, ce qui explique pourquoi le trafic Internet est autorisé à entrer sur ces serveurs web et pourquoi les serveurs web sont autorisés à y répondre.

Un serveur web frontal ne doit par contre pas pouvoir initier une requête sortante. Une telle requête pourrait représenter un risque de sécurité car ces connexions peuvent être utilisées pour télécharger des programmes malveillants. Même si vous voulez autoriser ces serveurs frontaux à initier des requêtes sortantes vers Internet, vous pourriez les obliger à passer par les serveurs proxy web locaux. Ainsi, vous pouvez utiliser les fonctionnalités de journalisation et de filtrage des URL.

Pour éviter ce problème, vous pouvez donc utiliser le tunneling forcé. Lorsque vous activez le tunneling forcé, toutes les connexions à Internet passent obligatoirement par votre passerelle locale. Vous pouvez configurer le tunneling forcé en utilisant les UDR.

En savoir plus :

• Routage du trafic de réseau virtuel

Appliances de sécurité de réseau virtuel

Bien que les groupes de sécurité réseau, les UDR et le tunneling forcé vous fournissent un niveau de sécurité au niveau du réseau et des couches de transport du modèle OSI, vous pouvez également activer la sécurité au niveau de la couche applicative.

Vos besoins en matière de sécurité peuvent inclure :

• Des fonctionnalités d’authentification et d’autorisation régissant l’accès à votre application
• La détection et la gestion des intrusions
• Une inspection de la couche d’application pour les protocoles de niveau supérieur
• Un filtrage des URL
• Un logiciel anti-programme malveillant et antivirus au niveau du réseau
• Une protection anti-robot
• Un contrôle d’accès aux applications
• Une protection DDoS supplémentaire (en supplément de la protection DDoS assurée par la structure Azure)

Ces fonctionnalités avancées de sécurité réseau peuvent être mises en œuvre via une solution de partenaire Azure. Pour connaître les dernières solutions de sécurité réseau des partenaires Azure, rendez-vous sur la Place de marché Azure et effectuez une recherche sur les mots clés « sécurité » et « sécurité réseau ».

Pare-feu Azure

Pare-feu Azure est un service de sécurité de pare-feu de réseau intelligent et natif Cloud qui fournit une protection contre les menaces pour vos charges de travail cloud s’exécutant dans Azure. Il s’agit d’un service de pare-feu avec état intégral, doté d’une haute disponibilité intégrée et d’une scalabilité illimitée dans le cloud. Le Pare-feu Azure inspecte le trafic est-ouest et nord-sud.

Le Pare-feu Azure est disponible dans trois références SKU : De base, Standard et Premium.

• Pare-feu Azure De base offre une sécurité simplifiée similaire à la référence SKU Standard, mais sans fonctionnalités avancées.
• Pare-feu Azure Standard fournit un filtrage des couches 3 à 7 et des flux de renseignement sur les menaces provenant directement de Microsoft Cyber Security.
• Le Pare-feu Azure Premium inclut des fonctionnalités avancées telles que les IDPS basés sur des signatures pour la détection rapide des attaques en identifiant des modèles spécifiques.

En savoir plus :

• Qu’est-ce que Pare-feu Azure

Accès à distance sécurisé et connectivité intersite

Imaginons que vous deviez installer, configurer et gérer vos ressources Azure à distance. Vous pouvez également déployer des solutions informatiques hybrides avec des composants hébergés localement et dans le cloud public Azure. Ces scénarios nécessitent un accès à distance sécurisé.

La mise en réseau Azure prend en charge les scénarios d’accès à distance sécurisé suivants :

• Connecter des stations de travail à un réseau virtuel
• Connecter votre réseau local à un réseau virtuel à l’aide d’un VPN
• Connecter votre réseau local à un réseau virtuel à l’aide d’une liaison réseau étendu dédiée
• Connecter des réseaux virtuels entre eux

Connecter des stations de travail à un réseau virtuel

Vous pouvez permettre à des développeurs ou à des membres du personnel d’exploitation de gérer les machines virtuelles et les services dans Azure. Par exemple, si vous avez besoin d’accéder à une machine virtuelle sur un réseau virtuel, mais que votre stratégie de sécurité interdit l’accès à distance RDP ou SSH à des machines virtuelles individuelles, vous pouvez utiliser une connexion VPN point à site .

Une connexion VPN point à site vous permet d’établir une connexion privée et sécurisée entre l’utilisateur et le réseau virtuel. Une fois la connexion VPN établie, l’utilisateur peut rdp ou SSH via le lien VPN vers n’importe quelle machine virtuelle sur le réseau virtuel, à condition qu’il soit authentifié et autorisé. Le VPN point à site prend en charge :

• Protocole SSTP (Secure Socket Tunneling Protocol) : Protocole VPN basé sur SSL propriétaire qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443, que TLS/SSL utilise. SSTP est pris en charge sur les appareils Windows (Windows 7 et versions ultérieures).
• VPN IKEv2 : Solution VPN IPsec basée sur des normes qui peut être utilisée pour se connecter à partir d’appareils Mac (OSX versions 10.11 et ultérieures).
• Protocole OpenVPN : Protocole VPN SSL/TLS qui peut pénétrer les pare-feu, car la plupart des pare-feu ouvrent le port TCP 443 sortant, que TLS utilise. OpenVPN peut être utilisé pour se connecter à partir d’Android, iOS (versions 11.0 et ultérieures), des appareils Windows, Linux et Mac (macOS versions 10.13 et ultérieures). Les versions prises en charge sont TLS 1.2 et TLS 1.3 basées sur le handshake TLS.

En savoir plus :

• À propos du routage VPN point à site

Connecter votre réseau local à un réseau virtuel avec une passerelle VPN

Pour connecter l’ensemble de votre réseau d’entreprise ou des segments spécifiques à un réseau virtuel, envisagez d’utiliser un VPN de site à site. Cette approche est courante dans les scénarios informatiques hybrides où des parties d’un service sont hébergées à la fois dans Azure et localement. Par exemple, vous pouvez avoir des serveurs web frontaux sur Azure et des bases de données backend locales. Les VPN de site à site améliorent la sécurité de la gestion des ressources Azure et permettent des scénarios tels que l’extension des contrôleurs de domaine Active Directory dans Azure.

Un VPN de site à site diffère d’un VPN de point à site dans lequel il connecte un réseau entier (tel que votre réseau local) à un réseau virtuel, plutôt qu’un seul appareil. Les VPN de site à site utilisent le protocole VPN en mode tunnel IPsec hautement sécurisé pour établir ces connexions.

En savoir plus :

• À propos de la passerelle VPN

Connecter votre réseau local à un réseau virtuel à l’aide d’une liaison réseau étendu dédiée

Les connexions VPN de point à site et de site à site sont utiles pour activer la connectivité intersite. Toutefois, ils ont certaines limitations :

• Les connexions VPN transmettent des données sur Internet, les exposant à des risques de sécurité potentiels associés aux réseaux publics. En outre, la fiabilité et la disponibilité des connexions Internet ne peuvent pas être garanties.
• Les connexions VPN aux réseaux virtuels peuvent ne pas fournir suffisamment de bande passante pour certaines applications, généralement avec un maximum d’environ 200 Mbits/s.

Pour les organisations nécessitant les niveaux de sécurité et de disponibilité les plus élevés pour leurs connexions intersite, les liens WAN dédiés sont souvent préférés. Azure propose des solutions telles qu’ExpressRoute, ExpressRoute Direct et ExpressRoute Global Reach pour faciliter ces connexions dédiées entre votre réseau local et vos réseaux virtuels Azure.

En savoir plus :

• Présentation d’ExpressRoute
• ExpressRoute Direct
• Service Global Reach d’ExpressRoute

Connecter des réseaux virtuels entre eux

Il est possible d’utiliser plusieurs réseaux virtuels pour vos déploiements pour différentes raisons, telles que la simplification de la gestion ou l’augmentation de la sécurité. Quelle que soit la motivation, il peut arriver que vous souhaitiez que des ressources sur différents réseaux virtuels se connectent les unes avec les autres.

Une option est de connecter les services d’un réseau virtuel aux services d’un autre réseau virtuel en effectuant un « retour de boucle » via Internet. Cela signifie que la connexion démarre sur un réseau virtuel, passe par Internet, puis atteint le réseau virtuel de destination. Toutefois, cela expose la connexion aux risques de sécurité inhérents à la communication basée sur Internet.

Une meilleure option consiste à créer un VPN de site à site qui connecte les deux réseaux virtuels. Cette méthode utilise le même protocole de mode tunnel IPsec que la connexion VPN intersite à site mentionnée précédemment.

L’avantage de cette approche est que la connexion VPN est établie sur l’infrastructure réseau Azure, fournissant une couche de sécurité supplémentaire par rapport aux VPN de site à site qui se connectent via Internet.

En savoir plus :

• Configurer une connexion de VNet à VNet à l'aide du portail Azure

Une autre méthode pour connecter vos réseaux virtuels est par le VNet peering. Le VNET Peering permet une communication directe entre deux réseaux virtuels Azure sur l’infrastructure principale de Microsoft, en contournant l’Internet public. Cette fonctionnalité prend en charge le peering dans la même région ou dans différentes régions Azure. Vous pouvez également utiliser des groupes de sécurité réseau (NSG) pour contrôler et restreindre la connectivité entre les sous-réseaux ou les systèmes au sein des réseaux appairés.

Disponibilité

La disponibilité est cruciale pour n’importe quel programme de sécurité. Si les utilisateurs et les systèmes ne peuvent pas accéder aux ressources nécessaires, le service est effectivement compromis. Azure propose des technologies de mise en réseau qui prennent en charge des mécanismes de haute disponibilité, notamment :

• Équilibrage de charge basé sur HTTP
• Équilibrage de charge au niveau du réseau
• Équilibrage de charge global

L’équilibrage de charge répartit uniformément les connexions sur plusieurs appareils, ce qui vise à :

• Augmenter la disponibilité : En distribuant des connexions, le service reste opérationnel même si un ou plusieurs appareils deviennent indisponibles. Les appareils restants continuent de servir le contenu.
• Améliorer les performances : La distribution des connexions réduit la charge sur n’importe quel appareil unique, en répartissant les demandes de traitement et de mémoire sur plusieurs appareils.
• Faciliter la mise à l’échelle : À mesure que la demande augmente, vous pouvez ajouter d’autres appareils à l’équilibreur de charge, ce qui lui permet de gérer davantage de connexions.

Équilibrage de charge basé sur HTTP

Les organisations qui exécutent des services web tirent souvent parti de l’utilisation d’un équilibreur de charge basé sur HTTP pour garantir des performances et une disponibilité élevées. Contrairement aux équilibreurs de charge traditionnels basés sur le réseau qui s’appuient sur les protocoles de couche réseau et de transport, les équilibreurs de charge BASÉS sur HTTP prennent des décisions en fonction des caractéristiques du protocole HTTP.

Azure Application Gateway et Azure Front Door offrent un équilibrage de charge HTTP pour les services web. Les deux services prennent en charge :

• Affinité de session basée sur les cookies : Garantit que les connexions établies à un serveur restent cohérentes entre le client et le serveur, en conservant la stabilité des transactions.
• Déchargement TLS : Chiffre les sessions entre le client et l’équilibreur de charge à l’aide du protocole HTTPS (TLS). Pour améliorer les performances, la connexion entre l’équilibreur de charge et le serveur web peut utiliser HTTP (non chiffré), ce qui réduit la surcharge de chiffrement sur les serveurs web et leur permet de gérer les requêtes plus efficacement.
• Routage du contenu basé sur l’URL : Permet à l’équilibreur de charge de transférer les connexions en fonction de l’URL cible, offrant une plus grande flexibilité que les décisions basées sur les adresses IP.
• Pare-feu d’applications web : Offre une protection centralisée pour les applications web contre les menaces et les vulnérabilités courantes.

En savoir plus :

• Vue d’ensemble d’Application Gateway
• Vue d’ensemble d’Azure Front Door
• Vue d’ensemble du pare-feu d’applications web

Équilibrage de charge au niveau du réseau

Contrairement à l’équilibrage de charge basé sur HTTP, l’équilibrage de charge au niveau du réseau prend des décisions en fonction des numéros d’adresse IP et de port (TCP ou UDP). Azure Load Balancer fournit un équilibrage de charge au niveau du réseau avec les caractéristiques clés suivantes :

• Équilibre le trafic en fonction de l’adresse IP et des numéros de port.
• Prend en charge n’importe quel protocole de couche d’application.
• Distribue le trafic vers des machines virtuelles Azure et des instances de rôle de service cloud.
• Peut être utilisé pour les applications et les machines virtuelles accessibles sur Internet (équilibrage de charge externe) et non accessibles sur Internet (équilibrage de charge interne).
• Inclut la surveillance des points de terminaison pour détecter et répondre à l’indisponibilité du service.

En savoir plus :

• Présentation de l’équilibrage de charge interne

Équilibrage de charge global

Certaines organisations souhaitent bénéficier du plus haut niveau de disponibilité possible. Pour y parvenir, une option consiste à héberger les applications dans des centres de données répartis dans le monde entier. Lorsqu’une application est hébergée dans des centres de données répartis dans le monde entier, celle-ci reste opérationnelle même si une région géopolitique entière devient indisponible.

Cette stratégie d’équilibrage de charge peut également contribuer à améliorer les performances. Vous pouvez diriger les demandes du service vers le centre de données le plus proche de l’appareil effectuant la requête.

Dans Azure, vous pouvez bénéficier des avantages de l’équilibrage de charge global à l’aide d’Azure Traffic Manager pour l’équilibrage de charge basé sur DNS, Global Load Balancer pour l’équilibrage de charge de la couche de transport ou d’Azure Front Door pour l’équilibrage de charge BASÉ sur HTTP.

En savoir plus :

• Qu’est-ce que Traffic Manager ?
• Vue d’ensemble d’Azure Front Door
• Vue d’ensemble de l’équilibreur de charge global

Résolution de noms

La résolution de noms est essentielle pour tous les services hébergés dans Azure. Du point de vue de la sécurité, la compromission de la fonction de résolution de noms peut permettre aux attaquants de rediriger les demandes de vos sites vers des sites malveillants. Par conséquent, la résolution de noms sécurisée est cruciale pour tous vos services hébergés dans le cloud.

Il existe deux types de résolution de noms à prendre en compte :

• Résolution de noms interne : utilisée par les services de vos réseaux virtuels, réseaux locaux ou les deux. Ces noms ne sont pas accessibles sur Internet. Pour une sécurité optimale, assurez-vous que votre schéma de résolution de noms interne n’est pas exposé aux utilisateurs externes.
• Résolution de noms externes : Utilisé par des personnes et des appareils en dehors de vos réseaux locaux et virtuels. Ces noms sont visibles sur Internet et se rapportent directement à vos services basés sur le cloud.

Pour la résolution de noms interne, vous avez deux options :

• Serveur DNS de réseau virtuel : Lorsque vous créez un réseau virtuel, Azure fournit un serveur DNS qui peut résoudre les noms des machines au sein de ce réseau virtuel. Ce serveur DNS est géré par Azure et n’est pas configurable, ce qui permet de sécuriser votre résolution de noms.
• Apportez votre propre serveur DNS : Vous pouvez déployer un serveur DNS de votre choix au sein de votre réseau virtuel. Il peut s’agir d’un serveur DNS intégré Active Directory ou d’une solution de serveur DNS dédiée à partir d’un partenaire Azure, disponible dans la Place de marché Azure.

En savoir plus :

• Présentation du réseau virtuel
• Gestion des serveurs DNS utilisés par un réseau virtuel

Pour la résolution de noms externe, vous avez deux options :

• Héberger votre propre serveur DNS externe en local.
• Utilisez un fournisseur de services DNS externe.

Les grandes organisations hébergent souvent leurs propres serveurs DNS locaux en raison de leur expertise réseau et de leur présence mondiale.

Toutefois, pour la plupart des organisations, l’utilisation d’un fournisseur de services DNS externe est préférable. Ces fournisseurs offrent une haute disponibilité et une fiabilité pour les services DNS, ce qui est essentiel, car les pannes du DNS peuvent rendre inaccessibles vos services orientés vers Internet.

Azure DNS offre une solution DNS externe hautement disponible et hautement performante. Il tire parti de l’infrastructure globale d’Azure, ce qui vous permet d’héberger votre domaine dans Azure avec les mêmes informations d’identification, API, outils et facturation que vos autres services Azure. En outre, il bénéficie des contrôles de sécurité robustes d’Azure.

En savoir plus :

• Vue d’ensemble d’Azure DNS
• Les zones privées Azure DNS vous permettent de configurer des noms DNS privés pour les ressources Azure plutôt que de conserver les noms affectés automatiquement, sans avoir à ajouter une solution DNS personnalisée.

Architecture du réseau de périmètre

De nombreuses organisations utilisent les réseaux de périmètre pour segmenter leurs réseaux et créer une zone de mémoire tampon entre Internet et leurs services. La partie périmètre du réseau est considérée comme une zone de sécurité faible qui n’héberge aucune ressource de valeur. Généralement, les appareils de sécurité du réseau ayant une interface réseau sur le segment du réseau de périmètre sont visibles. Une autre interface réseau est connectée à un réseau comportant des machines virtuelles et des services qui acceptent les connexions entrantes à partir d’Internet.

Vous pouvez concevoir des réseaux de périmètre de différentes manières. En fonction de vos exigences de sécurité du réseau, vous pouvez décider ou non de déployer un réseau de périmètre et choisir le type de réseau de périmètre à utiliser le cas échéant.

En savoir plus :

• Réseaux de périmètre pour les zones de sécurité

Protection DDoS dans Azure

Les attaques par déni de service distribué (DDoS) sont des menaces de disponibilité et de sécurité importantes pour les applications cloud. Ces attaques visent à épuiser les ressources d’une application, ce qui lui rend inaccessible aux utilisateurs légitimes. Tout point de terminaison accessible publiquement peut être une cible.

Les fonctionnalités Azure DDoS Protection incluent :

• Intégration de la plateforme native : Entièrement intégré à Azure avec la configuration disponible via le portail Azure. Il comprend vos ressources et leurs configurations.
• Protection clé en main : Protège automatiquement toutes les ressources sur un réseau virtuel dès que la protection DDoS est activée, sans intervention de l'utilisateur. L’atténuation commence instantanément lors de la détection des attaques.
• Surveillance du trafic always-on : Surveille le trafic de votre application 24/7 pour détecter les signes d’attaques DDoS et initie une atténuation lorsque les stratégies de protection sont enfreintes.
• Rapports d’atténuation des attaques : Fournit des informations détaillées sur les attaques à l’aide de données de flux réseau agrégées.
• Journaux de flux d’atténuation des attaques : Offre des journaux quasiment en temps réel de trafic supprimé et transféré pendant une attaque DDoS active.
• Réglage adaptatif : Apprend les modèles de trafic de votre application au fil du temps et ajuste le profil de protection en conséquence. Fournit la protection de couche 3 à couche 7 lorsqu’elle est utilisée avec un pare-feu d’applications web.
• Échelle d’atténuation étendue : Peut atténuer plus de 60 types d’attaques différents avec une capacité globale pour gérer les plus grandes attaques DDoS connues.
• Métriques d’attaque : Les métriques résumées de chaque attaque sont disponibles via Azure Monitor.
• Alertes d’attaque : Alertes configurables pour le démarrage, l’arrêt et la durée d’une attaque, en s’intégrant à des outils tels que les journaux Azure Monitor, Splunk, Stockage Azure, e-mail et le portail Azure.
• Garantie de coût : Offre des crédits de service de transfert de données et de scale-out d’application pour les attaques DDoS documentées.
• Réponse rapide DDoS : Fournit l’accès à une équipe de réponse rapide lors d’une attaque active pour l’investigation, les atténuations personnalisées et l’analyse post-attaque.

En savoir plus :

• Présentation de la Protection DDoS

Azure Front Door

Azure Front Door vous permet de définir, de gérer et de surveiller le routage global de votre trafic web, en l’optimisant pour les performances et la haute disponibilité. Il vous permet de créer des règles de pare-feu d’applications web personnalisées (WAF) pour protéger vos charges de travail HTTP/HTTPS contre l’exploitation en fonction des adresses IP clientes, des codes de pays et des paramètres HTTP. De plus, Front Door prend en charge les règles de limitation de débit pour lutter contre le trafic malveillant des bots, inclut le déchargement TLS et fournit un traitement par couche applicative de requête HTTP/HTTPS.

La plateforme Front Door est protégée par la protection DDoS au niveau de l’infrastructure Azure. Pour une protection renforcée, vous pouvez activer la protection réseau Azure DDoS sur vos réseaux virtuels pour protéger les ressources des attaques de couche réseau (TCP/UDP) via le réglage automatique et l’atténuation. En tant que proxy inverse de couche 7, Front Door autorise uniquement le trafic web à passer à des serveurs principaux, bloquant d’autres types de trafic par défaut.

Notes

Pour des charges de travail web, nous vous recommandons vivement d’utiliser la protection DDoS Azure et un pare-feu d’applications web pour vous protéger contre des attaques DDoS émergentes. Une autre option consiste à déployer Azure Front Door avec un pare-feu d’applications web. Azure Front Door offre une protection au niveau de la plateforme contre des attaques DDoS au niveau du réseau.

En savoir plus :

• Pour plus d’informations sur l’ensemble des fonctionnalités du service Azure Front Door, vous pouvez consulter l’article de présentation d’Azure Front Door.

Azure Traffic Manager

Azure Traffic Manager est un équilibreur de charge de trafic basé sur DNS qui distribue le trafic vers les services dans les régions Azure globales, garantissant ainsi une haute disponibilité et une réactivité. Il utilise DNS pour router les demandes du client vers le point de terminaison de service le plus approprié en fonction d’une méthode de routage du trafic et de l’intégrité des points de terminaison. Un point de terminaison peut être n’importe quel service accessible sur Internet hébergé à l’intérieur ou à l’extérieur d’Azure. Traffic Manager surveille en permanence les points de terminaison et évite de diriger le trafic vers tous les points de terminaison indisponibles.

En savoir plus :

• Azure Traffic manager overview (Vue d’ensemble d’Azure Traffic Manager)

Surveillance et détection des menaces

Azure fournit des fonctions pour vous aider dans ce domaine clé avec la détection précoce, la surveillance, ainsi que la collecte et l’examen du trafic réseau.

Azure Network Watcher

Azure Network Watcher fournit des outils permettant de résoudre et d’identifier les problèmes de sécurité.

• Vue du groupe de sécurité : audite et garantit la conformité à la sécurité des machines virtuelles en comparant les stratégies de base à des règles en vigueur, ce qui permet d’identifier la dérive de la configuration.
• Capture de paquets : capture le trafic réseau vers et à partir de machines virtuelles, ce qui facilite la collecte des statistiques réseau et la résolution des problèmes d’application. Elle peut également être déclenchée par Azure Functions en réponse à des alertes spécifiques.

Pour plus d’informations, consultez la vue d’ensemble de la supervision d’Azure Network Watcher.

Notes

Pour connaître les dernières mises à jour sur la disponibilité et l’état du service, consultez la page des mises à jour Azure.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud vous aide à prévenir, détecter et résoudre les menaces grâce à une visibilité et un contrôle accrus de la sécurité de vos ressources Azure. Il fournit une surveillance de la sécurité et une gestion des stratégies intégrées pour l’ensemble de vos abonnements Azure, vous aidant ainsi à détecter les menaces qui pourraient passer inaperçues. De plus, il est compatible avec un vaste ensemble de solutions de sécurité.

Defender pour le cloud vous permet d’optimiser et de surveiller la sécurité réseau grâce aux opérations suivantes :

• Mise à disposition de recommandations relatives à la sécurité réseau.
• Surveillance de l’état de votre configuration de la sécurité réseau.
• Envoi d’alertes destinées à vous informer de toute menace touchant le réseau, au niveau des points de terminaison comme à celui du réseau.

En savoir plus :

• Présentation de Microsoft Defender pour le cloud

TAP de réseau virtuel

Le TAP (point d’accès terminal) de réseau virtuel Azure vous permet de diffuser en continu votre trafic réseau de machine virtuelle vers un collecteur de paquets réseau ou un outil analytique. Le collecteur ou l’outil analytique est fourni par une appliance virtuelle réseau partenaire. Vous pouvez utiliser la même ressource TAP de réseau virtuel pour agréger le trafic de plusieurs interfaces réseau dans le même abonnement ou des abonnements différents.

En savoir plus :

• TAP de réseau virtuel

Journalisation

La journalisation au niveau du réseau est un élément clé de tout scénario de sécurité réseau. Dans Azure, vous pouvez consigner les informations obtenues pour les NSG afin de collecter les données de journalisation au niveau du réseau. La journalisation des groupes de sécurité réseau vous permet de consigner les données des journaux suivants :

• Journaux d’activité. Utilisez ces journaux d’activité pour consulter toutes les opérations envoyées à vos abonnements Azure. Ces journaux sont activés par défaut et peuvent être utilisés dans le portail Azure. Ils étaient auparavant nommés « Journaux d’activité d’audit » ou « Journaux d’activité des opérations ».
• Journaux d’événements. Ces journaux d’activité permettent de savoir quelles règles de groupe de sécurité réseau (NSG) ont été appliquées.
• Journaux d’activité des compteurs. Ces journaux d’activité affichent le nombre de fois où chaque règle NSG a été appliquée pour refuser ou autoriser le trafic.

Vous pouvez également utiliser Microsoft Power BI, un puissant outil de visualisation de données, pour afficher et analyser ces journaux d’activité. En savoir plus :

• Journaux Azure Monitor pour les groupes de sécurité réseau (NSG)