Partager via


Groupes de sécurité réseau

Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau entre des ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau contient des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et sortant vers différents types de ressources Azure. Pour chaque règle, vous pouvez spécifier la source et la destination, le port et le protocole.

Cet article explique les propriétés d’une règle de groupe de sécurité réseau et les règles de sécurité par défaut appliquées par Azure. Il décrit également comment modifier les propriétés de règle pour créer une règle de sécurité augmentée.

Règles de sécurité

Un groupe de sécurité réseau contient le nombre de règles souhaité, dans les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :

Propriété Explication
Nom Nom unique au sein du groupe de sécurité réseau. Le nom peut contenir jusqu’à 80 caractères. Il doit commencer par un caractère de mot, et il doit se terminer par un caractère de mot ou par _. Le nom peut contenir des caractères de mot ou ., -\_.
Priorité Nombre compris entre 100 et 4096. Les règles sont traitées dans l’ordre de priorité, en commençant par les numéros les plus bas, car les nombres les plus faibles ont une priorité plus élevée. Une fois que le trafic correspond à une règle, le traitement s’arrête. Par conséquent, toutes les règles qui existent avec des priorités inférieures (nombres plus élevés) qui ont les mêmes attributs que les règles avec des priorités plus élevées ne sont pas traitées.
Les règles de sécurité par défaut Azure reçoivent le nombre le plus élevé avec la priorité la plus basse pour s’assurer que les règles personnalisées sont toujours traitées en premier.
Source ou destination Vous pouvez spécifier any, une adresse IP individuelle, un bloc CIDR (par exemple, 10.0.0.0.0/24), une balise de service ou un groupe de sécurité d’application. Pour les ressources Azure, utilisez l’adresse IP privée affectée à la ressource. Les groupes de sécurité réseau traitent le trafic après qu’Azure convertit les adresses IP publiques en adresses IP privées pour le trafic entrant. Ils traitent le trafic avant de traduire des adresses IP privées en adresses IP publiques pour le trafic sortant. Entrez une plage, une étiquette de service ou un groupe de sécurité d’application pour réduire le nombre de règles de sécurité nécessaires. Les règles de sécurité augmentées permettent de spécifier plusieurs adresses IP et plages individuelles dans une seule règle. Toutefois, vous ne pouvez pas spécifier plusieurs balises de service ou groupes d’applications dans une seule règle. Les règles de sécurité augmentées sont disponibles uniquement dans les groupes de sécurité réseau créés via le modèle de déploiement Resource Manager. Dans le modèle de déploiement classique, plusieurs adresses IP et plages ne peuvent pas être spécifiées dans une règle unique.
Si la source est sous-réseau 10.0.1.0/24 (où vm1 est situé) et que la destination est sous-réseau 10.0.2.0/24 (où vm2 se trouve), le groupe de sécurité réseau filtre le trafic pour VM2. Ce comportement se produit parce que le groupe de sécurité réseau est associé à l’interface réseau de VM2.
Protocole TCP, UDP, ICMP, ESP, AH ou n’importe lequel. Les protocoles ESP et AH ne sont pas actuellement disponibles via le portail Azure, mais peuvent être utilisés via des modèles ARM.
Sens Indique si la règle s’applique au trafic entrant ou sortant.
Plage de ports Vous pouvez spécifier un port individuel ou une plage de ports. Par exemple, indiquez 80 ou 10000-10005. La spécification de plages vous permet de créer moins de règles de sécurité. Les règles de sécurité augmentée peuvent uniquement être créées dans des groupes de sécurité réseau créés par le biais du modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du modèle de déploiement classique.
Action Autoriser ou refuser

Les règles de sécurité sont évaluées et appliquées en fonction des informations de cinq tuples (source, port source, destination, port de destination et protocole). Vous ne pouvez pas créer deux règles de sécurité avec les mêmes priorité et direction. Un enregistrement de flux est créé pour les connexions existantes. La communication est autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux. L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état. Si vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante pour la réponse au trafic sortant. Vous devez uniquement spécifier une règle de sécurité entrante si la communication est établie en externe. Le contraire est également vrai. Si le trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de sécurité sortante pour répondre au trafic sur ce port.

Lorsque vous supprimez une règle de sécurité qui a autorisé une connexion, les connexions existantes restent ininterrompues. Les règles de groupe de sécurité réseau affectent uniquement les nouvelles connexions. Les règles nouvelles ou mises à jour d’un groupe de sécurité réseau s’appliquent exclusivement aux nouvelles connexions, ce qui laisse les connexions existantes non affectées par les modifications.

Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité réseau est limité. Pour plus d’informations, consultez limites Azure.

Règles de sécurité par défaut

Azure crée les règles par défaut suivantes dans chaque groupe de sécurité réseau que vous créez :

Trafic entrant

AllowVNetInBound
Priorité Origine Ports sources Destination Ports de destination Protocole Accès
65 000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Quelconque Autoriser
AllowAzureLoadBalancerInBound
Priorité Origine Ports sources Destination Ports de destination Protocole Accès
65 001 AzureLoadBalancer (équilibreur de charge Azure) 0-65535 0.0.0.0/0 0-65535 Quelconque Autoriser
DenyAllInbound
Priorité Origine Ports sources Destination Ports de destination Protocole Accès
65 500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Quelconque Refuser

Règle de trafic sortant

AllowVnetOutBound
Priorité Origine Ports sources Destination Ports de destination Protocole Accès
65 000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Quelconque Autoriser
AllowInternetOutBound
Priorité Origine Ports sources Destination Ports de destination Protocole Accès
65 001 0.0.0.0/0 0-65535 Internet 0-65535 Quelconque Autoriser
DenyAllOutBound
Priorité Origine Ports sources Destination Ports de destination Protocole Accès
65 500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Quelconque Refuser

Dans les colonnes Source et Destination, VirtualNetwork, AzureLoadBalancer et Internet sont des balises de service, non des adresses IP. Dans la colonne de protocole, Any (N’importe lequel) englobe TCP, UDP et ICMP. Lorsque vous créez une règle, vous pouvez spécifier TCP, UDP, ICMP ou Any (N’importe lequel). 0.0.0.0/0 dans les colonnes Source et Destination représente toutes les adresses. Les clients comme le portail Azure, Azure CLI ou PowerShell peuvent utiliser « * » ou « any » pour cette expression.

Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par des règles de priorité plus élevée.

Règles de sécurité augmentée

Les règles de sécurité augmentée simplifient la définition de la sécurité pour les réseaux virtuels, ce qui vous permet de définir des stratégies de sécurité réseau plus vastes et plus complexes, avec moins de règles. Vous pouvez combiner plusieurs ports ainsi que des adresses ou plages d’adresses IP explicites dans une seule règle de sécurité facilement compréhensible. Utiliser des règles augmentées dans les champs source, destination et port d’une règle. Pour simplifier la maintenance de votre définition de règle de sécurité, combinez des règles de sécurité augmentée avec des balises de service ou des groupes de sécurité d’application. Le nombre d’adresses, les plages et les ports que vous pouvez spécifier dans une règle sont limités. Pour plus d’informations, consultez limites Azure.

Balises de service

Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure donné. Elle permet de minimiser la complexité des mises à jour fréquentes des règles de sécurité réseau.

Pour plus d’informations, consultez Balises de Service Azure. Pour obtenir un exemple d’utilisation de la balise de service de stockage pour limiter l’accès réseau, consultez Limiter l’accès réseau aux ressources PaaS.

Groupes de sécurité d’application

Les groupes de sécurité d’application permettent de configurer la sécurité réseau comme un prolongement naturel de la structure de l’application, et donc de regrouper les machines virtuelles et définir des stratégies de sécurité réseau basés sur ces groupes. Vous pouvez réutiliser votre stratégie de sécurité à grande échelle sans maintenance manuelle d’adresses IP explicites. Pour en savoir plus, consultez Groupes de sécurité d’application.

Délai d’expiration du flux

Les paramètres de délai d’expiration du flux déterminent la durée pendant laquelle un enregistrement de flux reste actif avant l’expiration. Vous pouvez configurer ce paramètre à l’aide du portail Azure ou via la ligne de commande. Pour plus d’informations, consultez Vue d’ensemble des journaux de flux du groupe de sécurité réseau.

Considérations relatives à la plateforme Azure

  • Adresse IP virtuelle du nœud hôte : Des services d’infrastructure de base tels que DHCP, DNS, IMDS et l’analyse de l’intégrité sont fournis par le biais des adresses IP d’hôte virtualisées 168.63.129.16 et 169.254.169.254. Ces adresses IP appartiennent à Microsoft et sont les seules adresses IP virtualisées utilisées à cet effet dans toutes les régions. Par défaut, ces services ne sont pas soumis aux groupes de sécurité réseau configurés, sauf si les étiquettes de service spécifiques à chaque service sont ciblées. Pour remplacer cette communication d’infrastructure de base, vous pouvez créer une règle de sécurité pour refuser le trafic en utilisant les balises de service suivantes sur vos règles de groupe de sécurité réseau : AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Découvrez comment diagnostiquer le filtrage de trafic réseau et diagnostiquer le routage réseau.

  • Gestion des licences (Service de gestion des clés) : Les images Windows en cours d’exécution sur les machines virtuelles doivent être acquises sous licence. Pour assurer la gestion des licences, une requête est envoyée aux serveurs hôtes du Service de gestion de clés qui gèrent les requêtes de ce type. La requête est effectuée en sortie par le port 1688. Pour les déploiements utilisant la configuration de route par défaut 0.0.0.0/0 , cette règle de plateforme est désactivée.

  • Machines virtuelles dans des pools d’équilibrage de charge : Le port source et la plage d’adresses appliquées proviennent de l’ordinateur d’origine, pas de l’équilibreur de charge. La plage de ports et d’adresses de destination sont ceux de l’ordinateur de destination, et non de l’équilibreur de charge.

  • Instances de service Azure : Les instances de plusieurs services Azure, tels que HDInsight, les environnements de service d’application et Virtual Machine Scale Sets, sont déployées dans des sous-réseaux du réseau virtuel. Pour obtenir la liste complète des services que vous pouvez déployer sur des réseaux virtuels, consultez Réseau virtuel pour les services Azure. Avant d’appliquer un groupe de sécurité réseau au sous-réseau, familiarisez-vous avec les exigences de port pour chaque service. Si vous refusez les ports requis par le service, le service ne fonctionne pas correctement.

  • Envoi d’e-mail sortant : Microsoft vous recommande l’utilisation de services de relais authentifiés SMTP (généralement connectés via le port TCP 587, mais parfois via d’autres ports) pour envoyer un e-mail depuis des machines virtuelles Azure. Les services de relais SMTP se spécialisent dans la réputation de l’expéditeur, afin de minimiser la possibilité que les fournisseurs de messagerie partenaires rejettent les messages. Ce type de services de relais SMTP incluent, sans s’y limiter, Exchange Online Protection et SendGrid. L’utilisation de services de relais SMTP n’est en aucun cas limitée dans Azure et ne tient pas compte de votre type d’abonnement.

    Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, en plus de pouvoir utiliser des services de relais SMTP, vous pouvez envoyer un e-mail directement via le port TCP 25. Si vous avez créé votre abonnement après le 15 novembre 2017, il se peut que vous ne puissiez pas envoyer de courrier directement sur le port 25. Le comportement des communications sortantes via le port 25 dépend de votre type d’abonnement :

    • Contrat Entreprise : Pour les machines virtuelles déployées dans des abonnements Contrat Entreprise standard, les connexions SMTP sortantes sur le port TCP 25 ne sont pas bloquées. Toutefois, il n’existe aucune garantie que les domaines externes acceptent les e-mails entrants des machines virtuelles. Si les domaines externes rejettent ou filtrent les e-mails, contactez les fournisseurs de services de messagerie des domaines externes pour résoudre les problèmes. Ces problèmes ne sont pas couverts par le support Azure.

      Pour les abonnements Enterprise Dev/Test, le port 25 est bloqué par défaut. Il est possible de faire sauter ce blocage. Pour demander la suppression du blocage, accédez à la section Impossible d’envoyer un e-mail (SMTP/Port 25) de la page de paramètres Diagnostiquer et résoudre pour la ressource Réseau virtuel Azure sur le portail Azure, puis exécutez le diagnostic. Cette procédure exempte automatiquement les abonnements de développement/test d’entreprise qualifiés.

      Une fois que l’abonnement est exempté de ce blocage et que les machines virtuelles sont arrêtées et redémarrées, toutes les machines virtuelles de cet abonnement sont exemptées. L’exemption s’applique uniquement à l’abonnement demandé et au trafic de machine virtuelle acheminé directement vers Internet.

    • Paiement à l’utilisation : les communications sortantes via le port 25 sont bloquées vers toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.

    • MSDN, Azure Pass, Azure en version Open, Education et Essai gratuit : la communication sur le port de sortie 25 est bloquée pour toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.

    • Fournisseur de services cloud : Les communications sortantes via le port 25 sont bloquées vers toutes les ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles ne sont pas autorisées. Si vous devez envoyer des courriers électroniques depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.

Étapes suivantes