Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier les répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer de répertoire.
Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau entre les ressources Azure dans des réseaux virtuels Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant vers différents types de ressources Azure.
Cet article explique les propriétés d’une règle de groupe de sécurité réseau et les règles de sécurité par défaut appliquées par Azure. Il décrit également comment modifier les propriétés de règle pour créer une règle de sécurité augmentée.
Règles de sécurité
Un groupe de sécurité réseau contient des règles de sécurité réseau comme vous le souhaitez, dans les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :
| Propriété | Explication |
|---|---|
| Nom | Nom unique au sein du groupe de sécurité réseau. Le nom peut contenir jusqu’à 80 caractères. Il doit commencer par un caractère de mot, et il doit se terminer par un caractère de mot ou par _. Le nom peut contenir des caractères de mot, ., - ou \_. |
| Priorité | Nombre compris entre 100 et 4096. Les règles sont traitées dans l’ordre de priorité, avec des nombres inférieurs traités avant des nombres plus élevés, car les nombres inférieurs ont une priorité plus élevée. Une fois que le trafic correspond à une règle, le traitement s’arrête. Par conséquent, toutes les règles qui existent avec des priorités inférieures (nombres plus élevés) qui ont les mêmes attributs que les règles avec des priorités plus élevées ne sont pas traitées. Les règles de sécurité par défaut Azure reçoivent la priorité la plus basse (nombre le plus élevé) pour vous assurer que vos règles personnalisées sont toujours traitées en premier. |
| Source ou destination | Vous pouvez spécifier any, une adresse IP individuelle, un bloc CIDR (par exemple, 10.0.0.0.0/24), une balise de service ou un groupe de sécurité d’application. Pour spécifier une ressource Azure particulière, utilisez l’adresse IP privée affectée à la ressource. Pour le trafic entrant, les groupes de sécurité réseau traitent le trafic après qu’Azure convertit les adresses IP publiques en adresses IP privées. Pour le trafic sortant, les groupes de sécurité réseau traitent le trafic avant de traduire des adresses IP privées en adresses IP publiques. Entrez une plage, une étiquette de service ou un groupe de sécurité d’application pour réduire le nombre de règles de sécurité nécessaires. Les règles de sécurité augmentées permettent de spécifier plusieurs adresses IP et plages individuelles dans une seule règle. Toutefois, vous ne pouvez pas spécifier plusieurs balises de service ou groupes d’applications dans une seule règle. Les règles de sécurité augmentées sont disponibles uniquement dans les groupes de sécurité réseau créés via le modèle de déploiement Resource Manager. Dans le modèle de déploiement classique, plusieurs adresses IP et plages ne peuvent pas être spécifiées dans une règle unique. Par exemple, si la source est le sous-réseau 10.0.1.0/24 (où se trouve VM1) et que la destination est sous-réseau 10.0.2.0/24 (où se trouve VM2), le groupe de sécurité réseau filtre le trafic pour VM2. Ce comportement se produit parce que le groupe de sécurité réseau est associé à l’interface réseau de VM2. |
| Protocole | TCP, UDP, ICMP, ESP, AH ou n’importe lequel. Les protocoles ESP et AH ne sont pas actuellement disponibles via le portail Azure, mais peuvent être utilisés via des modèles ARM. |
| Sens | Indique si la règle s’applique au trafic entrant ou sortant. |
| Plage de ports | Vous pouvez spécifier un port ou des plages de ports individuels. Par exemple, vous pouvez spécifier 80 ou 10000-10005 ; ou pour un mélange de ports et de plages individuels, vous pouvez les séparer par des virgules, telles que 80, 10000-10005. La spécification de plages et de séparation des virgules vous permet de créer moins de règles de sécurité. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique. |
| Action | Autorisez ou refusez votre trafic spécifié. |
Les règles de sécurité sont évaluées et appliquées en fonction des informations à cinq tuples de la source, du port source, de la destination, du port de destination et du protocole. Vous ne pouvez pas créer deux règles de sécurité avec les mêmes priorité et direction. Deux règles de sécurité avec la même priorité et la même direction peuvent introduire un conflit dans la façon dont le système traite le trafic. Un enregistrement de flux est créé pour les connexions existantes. La communication est autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux. L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état. Si vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante pour la réponse au trafic sortant. Vous devez uniquement spécifier une règle de sécurité entrante si la communication est établie en externe. L’inverse est vrai. Si le trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur ce port.
Lorsque vous supprimez une règle de sécurité qui a autorisé une connexion, les connexions existantes restent ininterrompues. Les règles de groupe de sécurité réseau affectent uniquement les nouvelles connexions. Les règles nouvelles ou mises à jour d’un groupe de sécurité réseau s’appliquent exclusivement aux nouvelles connexions, ce qui laisse les connexions existantes non affectées par les modifications. Par exemple, si vous disposez d’une session SSH active sur une machine virtuelle, puis supprimez la règle de sécurité autorisant ce trafic SSH, votre session SSH actuelle reste connectée et fonctionnelle. Toutefois, si vous essayez d’établir une nouvelle connexion SSH après la suppression de la règle de sécurité, cette nouvelle tentative de connexion sera bloquée.
Il existe des limites au nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau et d’autres propriétés du groupe de sécurité réseau. Pour plus d’informations, consultez limites Azure.
Règles de sécurité par défaut
Azure crée les règles par défaut suivantes dans chaque groupe de sécurité réseau que vous créez :
Trafic entrant
AllowVNetInBound
| Priorité | Origine | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Quelconque | Autoriser |
AllowAzureLoadBalancerInBound
| Priorité | Origine | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 001 | AzureLoadBalancer (équilibreur de charge Azure) | 0-65535 | 0.0.0.0/0 | 0-65535 | Quelconque | Autoriser |
DenyAllInbound
| Priorité | Origine | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Quelconque | Deny |
Règle de trafic sortant
AllowVnetOutBound
| Priorité | Origine | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 000 | VirtualNetwork | 0-65535 | VirtualNetwork | 0-65535 | Quelconque | Autoriser |
AllowInternetOutBound
| Priorité | Origine | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 001 | 0.0.0.0/0 | 0-65535 | Internet | 0-65535 | Quelconque | Autoriser |
DenyAllOutBound
| Priorité | Origine | Ports sources | Destination | Ports de destination | Protocole | Accès |
|---|---|---|---|---|---|---|
| 65 500 | 0.0.0.0/0 | 0-65535 | 0.0.0.0/0 | 0-65535 | Quelconque | Deny |
Dans les colonnes Source et Destination , VirtualNetwork, AzureLoadBalancer et Internet sont des balises de service plutôt que des adresses IP. Dans la colonne Protocole , any englobe TCP, UDP et ICMP. Lors de la création d’une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any. 0.0.0.0/0 dans les colonnes Source et Destination représente toutes les adresses IP. Les clients tels que le portail Azure, Azure CLI ou PowerShell peuvent utiliser * ou n’importe quelle expression.
Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par des règles de priorité plus élevée.
Règles de sécurité augmentée
Les règles de sécurité augmentée simplifient la définition de sécurité pour les réseaux virtuels, ce qui vous permet de définir des stratégies de sécurité réseau plus volumineuses et complexes avec moins de règles. Vous pouvez combiner plusieurs ports ainsi que des adresses ou plages d’adresses IP explicites dans une seule règle de sécurité facilement compréhensible. Utiliser des règles augmentées dans les champs source, destination et port d’une règle. Pour simplifier la maintenance de votre définition de règle de sécurité, combinez des règles de sécurité augmentée avec des balises de service ou des groupes de sécurité d’application. Il existe des limites au nombre d’adresses, de plages et de ports que vous pouvez spécifier dans une règle de sécurité. Pour plus d’informations, consultez limites Azure.
Balises de service
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Il permet de réduire la complexité des mises à jour fréquentes sur les règles de sécurité réseau.
Pour plus d’informations, consultez Balises de Service Azure. Pour obtenir un exemple d’utilisation de la balise de service de stockage pour limiter l’accès réseau, consultez Limiter l’accès réseau aux ressources PaaS.
Groupes de sécurité d’application
Les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l’application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites. Pour en savoir plus, consultez Groupes de sécurité d’application.
Règles d’administration de sécurité
Les règles d’administration de sécurité sont des règles de sécurité réseau globales qui appliquent des stratégies de sécurité sur des réseaux virtuels. Les règles d’administration de sécurité proviennent d’Azure Virtual Network Manager, un service de gestion qui permet aux administrateurs réseau de regrouper, de configurer, de déployer et de gérer des réseaux virtuels globalement dans les abonnements.
Les règles d’administration de sécurité ont toujours une priorité plus élevée que les règles de groupe de sécurité réseau et sont donc évaluées en premier. Les règles d’administrateur de sécurité « Autoriser » continuent à être évaluées en fonction de la correspondance avec les règles du groupe de sécurité réseau. Toutefois, les règles d’administration de sécurité « Toujours autoriser » et « Refuser » mettent fin à l’évaluation du trafic une fois la règle traitée. Les règles d’administrateur de sécurité « Toujours autoriser » envoient le trafic directement à la ressource, en contournant les règles de groupe de sécurité réseau potentiellement en conflit. Les règles d'administration de sécurité "Deny" bloquent le trafic sans l'acheminer vers la destination. Ces règles appliquent la stratégie de sécurité de référence sans risque de conflit de groupe de sécurité réseau, de configuration incorrecte ou d’introduction de lacunes de sécurité. Ces types d’actions de règle d’administrateur de sécurité peuvent être utiles pour appliquer la distribution du trafic et empêcher le comportement conflictuel ou inattendu par les règles de groupe de sécurité réseau dans le sens descendant.
Ce comportement est important à comprendre, car le trafic correspondant aux règles d’administrateur de sécurité des types d’action « Toujours autoriser » ou « Refuser » n’atteint pas les règles de groupe de sécurité réseau pour une évaluation plus poussée. Pour plus d’informations, consultez les règles d’administration de sécurité.
Délai d’expiration du flux
Important
Le 30 septembre 2027, les journaux de flux du groupe de sécurité réseau (NSG) seront supprimés. Dans le cadre de cette mise hors service, vous ne pourrez plus créer de journaux de flux du groupe de sécurité réseau à compter du 30 juin 2025. Nous vous recommandons de migrer vers des journaux de flux de réseau virtuel, qui surmontent les limitations des journaux de flux de NSG. Après la date de mise hors service, l’analytique du trafic activée avec les journaux de flux NSG n’est plus prise en charge, et les ressources de journaux de flux NSG existantes dans vos abonnements sont supprimées. Toutefois, les enregistrements des journaux de flux de NSG ne seront pas supprimés et continueront de suivre leurs stratégies de rétention respectives. Pour plus d’informations, consultez l’annonce officielle.
Les paramètres de délai d’expiration du flux déterminent la durée pendant laquelle un enregistrement de flux reste actif avant l’expiration. Vous pouvez configurer ce paramètre à l’aide du portail Azure ou via la ligne de commande. Pour plus d’informations, consultez la vue d’ensemble des journaux de flux NSG.
Considérations relatives à la plateforme Azure
Adresse IP virtuelle du nœud hôte : Des services d’infrastructure de base tels que DHCP, DNS, IMDS et l’analyse de l’intégrité sont fournis par le biais des adresses IP d’hôte virtualisées 168.63.129.16 et 169.254.169.254. Ces adresses IP appartiennent à Microsoft et sont les seules adresses IP virtualisées utilisées à cet effet dans toutes les régions. Par défaut, ces services ne sont pas soumis aux groupes de sécurité réseau configurés, sauf si les étiquettes de service spécifiques à chaque service sont ciblées. Pour remplacer cette communication d’infrastructure de base, vous pouvez créer une règle de sécurité pour refuser le trafic en utilisant les balises de service suivantes sur vos règles de groupe de sécurité réseau : AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Découvrez comment diagnostiquer le filtrage de trafic réseau et diagnostiquer le routage réseau.
Gestion des licences (Service de gestion des clés) : Les images Windows en cours d’exécution sur les machines virtuelles doivent être acquises sous licence. Pour garantir la licence, le système envoie une demande aux serveurs hôtes du service de gestion des clés qui gèrent ces requêtes. La requête est effectuée en sortie par le port 1688. Pour les déploiements utilisant la configuration de route par défaut 0.0.0.0/0 , cette règle de plateforme est désactivée.
Machines virtuelles dans des pools d’équilibrage de charge : Le port source et la plage d’adresses appliquées proviennent de l’ordinateur d’origine, pas de l’équilibreur de charge. La plage de ports et d’adresses de destination sont ceux de l’ordinateur de destination, et non de l’équilibreur de charge.
Instances de service Azure : les instances de plusieurs services Azure, tels que HDInsight, les environnements de service d’application et les ensembles d'échelle de machines virtuelles, sont déployées dans des sous-réseaux de réseau virtuel. Consultez la liste complète des services que vous pouvez déployer dans des réseaux virtuels. Avant d’appliquer un groupe de sécurité réseau au sous-réseau, familiarisez-vous avec les exigences de port pour chaque service. Si vous refusez les ports requis par le service, le service ne fonctionne pas correctement.
Envoi d’e-mail sortant : Microsoft vous recommande l’utilisation de services de relais authentifiés SMTP (généralement connectés via le port TCP 587, mais parfois via d’autres ports) pour envoyer un e-mail depuis des machines virtuelles Azure. Les services de relais SMTP se spécialisent dans la réputation de l’expéditeur, afin de minimiser la possibilité que les fournisseurs de messagerie partenaires rejettent les messages. Ce type de services de relais SMTP incluent, sans s’y limiter, Exchange Online Protection et SendGrid. L’utilisation de services de relais SMTP n’est en aucun cas limitée dans Azure et ne tient pas compte de votre type d’abonnement.
Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, en plus de pouvoir utiliser des services de relais SMTP, vous pouvez envoyer un e-mail directement via le port TCP 25. Si vous avez créé votre abonnement après le 15 novembre 2017, il se peut que vous ne puissiez pas envoyer de courrier directement sur le port 25. Le comportement des communications sortantes via le port 25 dépend de votre type d’abonnement :
Contrat Entreprise : Pour les machines virtuelles déployées dans des abonnements Contrat Entreprise standard, les connexions SMTP sortantes sur le port TCP 25 ne sont pas bloquées. Toutefois, il n’existe aucune garantie que les domaines externes acceptent les e-mails entrants des machines virtuelles. Si les domaines externes rejettent ou filtrent les e-mails, contactez les fournisseurs de services de messagerie des domaines externes pour résoudre les problèmes. Ces problèmes ne sont pas couverts par le support Azure.
Pour les abonnements Enterprise Dev/Test, le port 25 est bloqué par défaut. Il est possible de faire sauter ce blocage. Pour demander la suppression du blocage, accédez à la section Impossible d’envoyer un e-mail (SMTP/Port 25) de la page de paramètres Diagnostiquer et résoudre pour la ressource Réseau virtuel Azure sur le portail Azure, puis exécutez le diagnostic. Cette procédure exempte automatiquement les abonnements de développement/test d’entreprise qualifiés.
Une fois que l’abonnement est exempté de ce blocage et que les machines virtuelles sont arrêtées et redémarrées, toutes les machines virtuelles de cet abonnement sont exemptées. L’exemption s’applique uniquement à l’abonnement demandé et uniquement au trafic de machine virtuelle qui achemine directement vers Internet.
Paiement à l’utilisation : les communications sortantes via le port 25 sont bloquées vers toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
MSDN, Azure Pass, Azure en version Open, Education et Essai gratuit : la communication sur le port de sortie 25 est bloquée pour toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
Fournisseur de services cloud : Les communications sortantes via le port 25 sont bloquées vers toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
Étapes suivantes
Découvrez les ressources Azure que vous pouvez déployer dans un réseau virtuel. Consultez l’intégration de réseau virtuel pour les services Azure pour comprendre comment les groupes de sécurité réseau peuvent être associés.
Pour savoir comment les groupes de sécurité réseau évaluent le trafic, consultez Comment fonctionnent les groupes de sécurité réseau.
Créez un groupe de sécurité réseau en suivant ce tutoriel rapide.
Si vous êtes familier avec les groupes de sécurité réseau et que vous devez en gérer un, consultez Gérer un groupe de sécurité réseau.
Si vous rencontrez des problèmes de communication et que vous avez besoin résoudre les problèmes de groupes de sécurité réseau, consultez Diagnostiquer un problème de filtre de trafic réseau sur une machine virtuelle.
Découvrez comment activer les journaux de flux de réseau virtuel pour analyser le trafic réseau transitant par un réseau virtuel susceptible de correspondre à un groupe de sécurité réseau associé.