Tutoriel : Filtrer le trafic réseau avec un groupe de sécurité réseau à l’aide du portail Azure

Vous pouvez utiliser un groupe de sécurité réseau pour filtrer le trafic réseau sortant et entrant respectivement à destination et en provenance de ressources Azure dans un réseau virtuel Azure.

Les groupes de sécurité réseau contiennent des règles de sécurité qui filtrent le trafic réseau par adresse IP, port et protocole. Quand un groupe de sécurité réseau est associé à un sous-réseau, des règles de sécurité sont appliquées aux ressources déployées dans ce sous-réseau.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un groupe de sécurité réseau et les règles associées
  • Créer des groupes de sécurité d’application
  • Créer un réseau virtuel et associer un groupe de sécurité réseau à un sous-réseau
  • Déployer des machines virtuelles et associer leurs interfaces réseau aux groupes de sécurité d’application
  • Tester les filtres de trafic

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Prérequis

  • Un abonnement Azure

Connexion à Azure

Connectez-vous au portail Azure.

Créer un réseau virtuel

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Mise en réseau>Réseau virtuel ou, dans la zone de recherche du portail, recherchez Réseau virtuel.

  2. Sélectionnez Create (Créer).

  3. Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer nouveau.
    Entrez myResourceGroup.
    Sélectionnez OK.
    Détails de l’instance
    Nom Entrez myVNet.
    Région Sélectionnez USA Est.
  4. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  5. Sélectionnez Create (Créer).

Créer des groupes de sécurité d’application

Un groupe de sécurité d’application vous permet de regrouper des serveurs dont les fonctions sont similaires, comme des serveurs Web.

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Mise en réseau>Groupe de sécurité d’application ou, dans la zone de recherche du portail, recherchez Groupe de sécurité d’application.

  2. Sélectionnez Create (Créer).

  3. Dans Créer un groupe de sécurité d’application, sous l’onglet De base, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom Entrez myAsgWebServers.
    Région Sélectionnez (États-Unis) USA Est.
  4. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  5. Sélectionnez Create (Créer).

  6. Répétez les étapes précédentes en spécifiant les valeurs suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom Entrez myAsgMgmtServers.
    Région Sélectionnez (États-Unis) USA Est.
  7. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  8. Sélectionnez Create (Créer).

Créer un groupe de sécurité réseau

Un groupe de sécurité réseau (NSG) sécurise le trafic réseau dans votre réseau virtuel.

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Mise en réseau>Groupe de sécurité réseau ou, dans la zone de recherche du portail, recherchez Groupe de sécurité réseau.

  2. Sélectionnez Create (Créer).

  3. Dans Créer un groupe de sécurité réseau, sous l’onglet De base, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom Entrez myNSG.
    Emplacement Sélectionnez (États-Unis) USA Est.
  4. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  5. Sélectionnez Create (Créer).

Associer le groupe de sécurité réseau au sous-réseau

Dans cette section, vous allons associer le groupe de sécurité réseau au sous-réseau du réseau virtuel que vous avez créé.

  1. Dans la zone de recherche du portail, recherchez myVMNVA.

  2. Dans la section Paramètres de myNSG, sélectionnez Sous-réseaux.

  3. Dans la page Sous-réseaux, sélectionnez + Associer :

    Capture d’écran de Associer un groupe de sécurité réseau à un sous-réseau.

  4. Sous Associer un sous-réseau, pour Réseau virtuel, sélectionnez myVNet.

  5. Pour Sous-réseau, sélectionnez Par défaut, puis OK.

Créer des règles de sécurité

  1. Dans la section Paramètres de myNSG, sélectionnez Règles de sécurité de trafic entrant.

  2. Dans la page Règles de sécurité de trafic entrant, sélectionnez + Ajouter :

    Capture d’écran de Règles de sécurité de trafic entrant dans un groupe de sécurité réseau.

  3. Créez une règle de sécurité qui autorise les ports 80 et 443 dans le groupe de sécurité d’application myAsgWebServers. Dans la page Ajouter une règle de sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Source Conservez la valeur par défaut Tous.
    Source port ranges Conservez la valeur par défaut de (*).
    Destination Sélectionnez Groupe de sécurité d’application.
    Groupes de sécurité d’application de destination Sélectionnez myAsgWebServers.
    Service Conservez la valeur par défaut Personnalisé.
    Plages de ports de destination Entrez 80,443.
    Protocol Sélectionnez TCP.
    Action Conservez la valeur par défaut Autoriser.
    Priority Conservez la valeur par défaut 100.
    Nom Entrez Allow-Web-All.

    Capture d’écran de Ajouter une règle de sécurité de trafic entrant dans un groupe de sécurité réseau.

  4. Sélectionnez Ajouter.

  5. Répétez les étapes 3 à 4 à l’aide des informations suivantes :

    Paramètre Valeur
    Source Conservez la valeur par défaut Tous.
    Source port ranges Conservez la valeur par défaut de (*).
    Destination Sélectionnez Groupe de sécurité d’application.
    Groupe de sécurité d’application de destination Sélectionnez myAsgMgmtServers.
    Service Conservez la valeur par défaut Personnalisé.
    Plages de ports de destination Entrez 3389.
    Protocol sélectionnez N'importe laquelle.
    Action Conservez la valeur par défaut Autoriser.
    Priority Conservez la valeur par défaut 110.
    Nom Entrez Allow-RDP-All.
  6. Sélectionnez Ajouter.

    Attention

    Dans cet article, le protocole RDP (port 3389) est exposé à Internet pour la machine virtuelle affectée au groupe de sécurité d’application myAsgMgmtServers.

    Pour les environnements de production, au lieu d’exposer le port 3389 sur Internet, il est recommandé de vous connecter aux ressources Azure à gérer via un réseau VPN ou Azure Bastion.

    Pour plus d'informations sur Azure Bastion, consultez Présentation d'Azure Bastion.

Une fois que vous avez terminé les étapes 1 à 3, passez en revue les règles que vous avez créées. Votre liste doit ressembler à la liste de l’exemple suivant :

Capture d’écran de Règles de sécurité d’un groupe de sécurité réseau.

Créer des machines virtuelles

Créez deux machines virtuelles dans le réseau virtuel.

Créer la première machine virtuelle

  1. Dans le menu du portail Azure, sélectionnez + Créer une ressource>Calcul>Machine virtuelle ou, dans la zone de recherche du portail, recherchez Machine virtuelle.

  2. Dans Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes sous l’onglet Informations de base :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez myResourceGroup.
    Détails de l’instance
    Nom de la machine virtuelle Entrez myVMWeb.
    Région Sélectionnez (États-Unis) USA Est.
    Options de disponibilité Conservez la valeur par défaut Aucune redondance d’infrastructure requise.
    Type de sécurité Conservez la valeur par défaut Standard.
    Image Sélectionnez Windows Server 2019 Datacenter – Gen2.
    Instance Azure Spot Conservez la valeur par défaut (case non cochée).
    Taille Sélectionnez Standard_D2s_V3.
    Compte administrateur
    Nom d’utilisateur Entrez un nom d’utilisateur.
    Mot de passe Entrez un mot de passe.
    Confirmer le mot de passe Retapez le mot de passe.
    Règles des ports d’entrée
    Sélectionner des ports d’entrée Sélectionnez Aucun.
  3. Sélectionnez l’onglet Réseau.

  4. Sous l’onglet Mise en réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez myVNet.
    Subnet Sélectionnez par défaut (10.0.0.0/24) .
    Adresse IP publique Conservez la valeur par défaut indiquant une nouvelle IP publique.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Aucun.
  5. Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton bleu Vérifier + créer situé au bas de la page.

  6. Sélectionnez Create (Créer). Le déploiement de la machine virtuelle peut prendre quelques minutes.

Créer la deuxième machine virtuelle

Répétez les étapes 1 à 6 mais, à l’étape 2, pour le nom de la machine virtuelle, entrez myVMMgmt.

Attendez que le déploiement des machines virtuelles soit terminé avant de passer à la section suivante.

Associer des interfaces réseau à un groupe de sécurité d’application

Quand vous avez créé les machines virtuelles, Azure a créé une interface réseau pour chacune d’elles et l’a attachée à celle-ci.

Ajoutez l’interface réseau de chaque machine virtuelle à l’un des groupes de sécurité d’application que vous avez créés précédemment :

  1. Dans la zone de recherche du portail, recherchez myVMWeb.

  2. Dans la section Paramètres de la machine virtuelle myVMWeb, sélectionnez Mise en réseau.

  3. Sélectionnez l’onglet Groupes de sécurité d’application, puis sélectionnez Configurer les groupes de sécurité d’application.

    Capture d’écran de Configurer des groupes de sécurité d’application.

  4. Dans Configurer les groupes de sécurité d’application, sélectionnez myAsgWebServers. Sélectionnez Enregistrer.

    Capture d’écran montrant comment associer des groupes de sécurité d’application à une interface réseau.

  5. Répétez les étapes 1 et 2, en recherchant la machine virtuelle myVMMgmt et en sélectionnant le groupe de sécurité d’application (ASG) myAsgMgmtServers.

Tester les filtres de trafic

  1. Dans la zone de recherche du portail, recherchez myVMMgmt.

  2. Dans la page Vue d’ensemble, sélectionnez le bouton Se connecter, puis RDP.

  3. Sélectionnez Télécharger le fichier RDP.

  4. Ouvrez le fichier RDP téléchargé et sélectionnez Connecter. Entrez le nom d’utilisateur et le mot de passe spécifiés lors de la création de la machine virtuelle.

  5. Sélectionnez OK.

  6. Vous pouvez éventuellement recevoir un avertissement lié au certificat pendant le processus de connexion. Si vous recevez l’avertissement, sélectionnez Oui ou Continuer pour poursuivre le processus de connexion.

    La connexion aboutit parce que le trafic entrant en provenance d’Internet à destination du groupe de sécurité d’application myAsgMgmtServers est autorisé via le port 3389.

    L’interface réseau de myVMMgmt est associée au groupe de sécurité d’application myAsgMgmtServers et autorise la connexion.

  7. Ouvrez une session PowerShell sur myVMMgmt. Connectez-vous à myVMWeb en procédant comme suit :

    mstsc /v:myVmWeb
    

    La connexion RDP de myVMMgmt à myVMWeb aboutit parce que des machines virtuelles dans le même réseau peuvent communiquer entre elles sur n’importe quel port par défaut.

    Vous ne pouvez pas créer de connexion RDP à la machine virtuelle myVMWeb à partir d’Internet. La règle de sécurité de myAsgWebServers empêche les connexions entrantes en provenance d’Internet sur le port 3389. Par défaut, le trafic entrant en provenance d’Internet est refusé pour toutes les ressources.

  8. Pour installer Microsoft IIS sur la machine virtuelle myVMWeb, entrez la commande suivante à partir d’une session PowerShell sur la machine virtuelle myVMWeb :

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  9. Une fois l’installation d’IIS effectuée, déconnectez-vous de la machine virtuelle myVMWeb. Cela vous laisse ensuite uniquement la connexion Bureau à distance de la machine virtuelle myVMMgmt.

  10. Déconnectez-vous de la machine virtuelle myVMMgmt.

  11. Dans la zone de recherche du portail, recherchez myVMWeb.

  12. Dans la page Vue d’ensemble de myVMWeb, notez l’adresse IP publique de votre machine virtuelle. L’adresse affichée dans l’exemple suivant est 23.96.39.113, mais votre adresse est différente :

    Capture d’écran de Adresse IP publique d’une machine virtuelle dans la page Vue d’ensemble.

  13. Pour vérifier si vous pouvez accéder au serveur web myVMWeb depuis Internet, ouvrez un navigateur Internet sur votre ordinateur et accédez à http://<public-ip-address-from-previous-step>.

Vous voyez cette page par défaut IIS parce que le trafic entrant en provenance d’Internet à destination du groupe de sécurité d’application myAsgWebServers est autorisé via le port 80.

L’interface réseau attachée à myVMWeb est associée au groupe de sécurité d’application myAsgWebServers et autorise la connexion.

Nettoyer les ressources

Quand vous n’avez plus besoin du groupe de ressources, supprimez-le, ainsi que toutes les ressources qu’il contient :

  1. Entrez myResourceGroup dans le champ Recherche en haut du portail. Quand myResourceGroup apparaît dans les résultats de la recherche, sélectionnez-le.
  2. Sélectionnez Supprimer le groupe de ressources.
  3. Entrez myResourceGroup dans TAPER NOM DU GROUPE DE RESSOURCES : puis sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous allez :

  • Vous avez créé un groupe de sécurité réseau, et vous l’avez associé à un sous-réseau de réseau virtuel.
  • Vous avez créé des groupes de sécurité d’application pour le web et la gestion.
  • Créez deux machines virtuelles et associez leurs interfaces réseau aux groupes de sécurité d’application.
  • Vous avez testé le filtrage réseau du groupe de sécurité d’application.

Pour en savoir plus sur les groupes de sécurité réseau, consultez Vue d’ensemble d’un groupe de sécurité réseau et Gérer un groupe de sécurité réseau.

Azure achemine par défaut le trafic entre les sous-réseaux. À la place, vous pouvez choisir par exemple d’acheminer le trafic entre les sous-réseaux via une machine virtuelle, agissant comme un pare-feu.

Pour apprendre à créer une table de routage, passez au didacticiel suivant.