Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Virtual WAN est un service de mise en réseau qui combine un grand nombre de fonctionnalités de mise en réseau, de sécurité et de routage pour fournir une interface opérationnelle unique. Elle permet aux organisations de se connecter et de sécuriser des filiales, des utilisateurs distants et des ressources Azure via une architecture de réseau de transit global. Lors du déploiement de Virtual WAN pour une connectivité stratégique, vous devez implémenter des contrôles de sécurité complets pour protéger votre infrastructure réseau et vos données en transit.
Cet article fournit des conseils sur la meilleure sécurisation de votre déploiement Azure Virtual WAN.
Sécurité réseau
La sécurité réseau pour Virtual WAN se concentre sur la protection des données en transit, la sécurisation de la connectivité entre les ressources locales et cloud et l’implémentation du chiffrement approprié pour toutes les communications réseau. L’architecture hub-and-spoke de Virtual WAN nécessite un examen attentif du flux de trafic, des protocoles de chiffrement et des options de connectivité sécurisée pour garantir une protection réseau complète.
Activer le chiffrement ExpressRoute avec Virtual WAN : utilisez les fonctionnalités de chiffrement natives de Virtual WAN pour le trafic ExpressRoute pour sécuriser les données entre les réseaux locaux et les réseaux virtuels Azure. Cela fournit un transit chiffré sans nécessiter de trafic pour traverser l’Internet public ou utiliser des adresses IP publiques. Pour plus d’informations, consultez Chiffrement en transit.
Configurer des connexions VPN de site à site sécurisées : implémentez des connexions VPN IPsec avec des protocoles de chiffrement forts pour la connectivité de site à site. Virtual WAN prend en charge les stratégies IPsec personnalisées qui vous permettent de configurer des algorithmes de chiffrement et des méthodes d’authentification préférés. Pour plus d’informations, consultez Stratégies par défaut pour la connectivité IPsec.
VPN de point à site sécurisé pour les utilisateurs distants : déployez des connexions VPN utilisateur (point à site) avec l’authentification basée sur un certificat ou Azure Active Directory pour fournir un accès à distance sécurisé. Configurez les paramètres de chiffrement et les stratégies d’accès appropriés pour protéger les connexions utilisateur distantes. Pour plus d’informations, consultez Créer une connexion VPN utilisateur (point à site).
Implémenter la segmentation du réseau avec des stratégies de routage : utilisez les fonctionnalités de routage personnalisées de Virtual WAN pour implémenter la segmentation du réseau et contrôler le flux de trafic entre différents segments réseau. Configurez les tables de routage et les stratégies de routage pour vous assurer que le trafic transite uniquement vers des destinations autorisées. Pour plus d’informations, consultez À propos du routage de hub virtuel.
Déployer le Pare-feu Azure pour l’inspection du trafic : configurez le Pare-feu Azure dans les hubs Virtual WAN pour inspecter et filtrer tout le trafic réseau, y compris le trafic inter-hub, la branche à réseau virtuel et le trafic lié à Internet. Utilisez l'intention de routage et les stratégies de routage pour acheminer automatiquement le trafic via le Pare-feu Azure pour une inspection complète de sécurité. Pour plus d’informations, consultez Sécuriser le trafic entre Application Gateway et les pools principaux.
Activer le tunneling forcé pour un VPN de point à site : configurez le tunneling forcé pour acheminer tout le trafic lié à Internet à partir d’utilisateurs distants via Azure pour l’inspection et l’application des stratégies. Cela garantit que le trafic utilisateur distant est soumis aux mêmes contrôles de sécurité que le trafic local. Pour plus d’informations, consultez Configurer le tunneling forcé pour le VPN de point à site Virtual WAN.
Utilisez des appliances virtuelles réseau (NVA) pour une sécurité avancée : déployez des appliances virtuelles virtuelles tierces dans des hubs Virtual WAN pour fournir SD-WAN connectivité combinée aux fonctionnalités de pare-feu de nouvelle génération. Configurez les stratégies de routage pour envoyer le trafic via des appliances virtuelles de réseau pour une inspection approfondie des paquets et une protection avancée contre les menaces. Pour plus d’informations, consultez À propos des appliances virtuelles réseau dans un hub Virtual WAN.
Gestion des identités
La gestion des identités pour Virtual WAN garantit que seuls les utilisateurs et services autorisés peuvent accéder aux ressources réseau et gérer les configurations Virtual WAN. Les contrôles d’identité appropriés permettent d’empêcher l’accès non autorisé à une infrastructure réseau sensible et de maintenir l’intégrité de votre architecture réseau globale.
Utilisez Azure Key Vault pour la gestion des informations d’identification : stockez et gérez des clés pré-partagées VPN (PSK), des certificats et d’autres informations d’identification en toute sécurité dans Azure Key Vault au lieu de les incorporer dans des fichiers de configuration ou du code. Les connexions VPN de site à site dans Virtual WAN peuvent s’intégrer à Azure Key Vault pour une gestion sécurisée du cycle de vie des informations d’identification. Pour plus d’informations, consultez l’intégration d’Azure Key Vault.
Implémenter l’authentification Azure Active Directory pour le VPN utilisateur : configurez l’authentification Azure Active Directory pour les connexions VPN point à site afin de tirer parti de la gestion centralisée des identités, des stratégies d’accès conditionnel et de l’authentification multifacteur. Cela offre une sécurité plus forte que l’authentification basée sur des certificats classique seule. Pour plus d’informations, consultez Créer une connexion VPN utilisateur (point à site).
Appliquer le contrôle d’accès en fonction du rôle (RBAC) pour la gestion virtual WAN : utilisez Azure RBAC pour contrôler qui peut gérer les ressources Virtual WAN et les actions qu’ils peuvent effectuer. Attribuez des rôles appropriés aux utilisateurs et aux principaux de service pour suivre le principe de privilège minimum pour la gestion de l’infrastructure réseau.
Activer les identités managées pour l’automatisation : utilisez des identités managées lors de l’automatisation des opérations Virtual WAN via des services Azure ou des applications personnalisées. Cela élimine la nécessité de stocker les informations d’identification dans des fichiers de code ou de configuration tout en fournissant un accès sécurisé aux ressources Azure.
Configurez l’authentification basée sur des certificats avec une gestion appropriée du cycle de vie : implémentez l’authentification basée sur des certificats pour les connexions VPN avec une gestion appropriée du cycle de vie des certificats, notamment la rotation et la révocation. Stockez les certificats de manière sécurisée et assurez-vous qu’ils sont correctement distribués aux appareils autorisés uniquement. Pour plus d’informations, consultez Générer et exporter des certificats pour point à site.
Utilisez l’authentification RADIUS pour la gestion centralisée des utilisateurs : implémentez l’authentification du serveur RADIUS pour centraliser la gestion des utilisateurs et tirer parti de l’infrastructure d’identité existante. Configurez l’authentification RADIUS avec des protocoles forts comme EAP-TLS pour l’authentification basée sur des certificats ou EAP-MSCHAPv2 pour l’authentification par nom d’utilisateur/mot de passe. Pour plus d’informations, consultez Configurer la passerelle VPN utilisateur P2S pour l’authentification Microsoft Entra ID.
Protection de données
La protection des données dans Virtual WAN se concentre sur la garantie que tout le trafic réseau est correctement chiffré et que les clés de chiffrement sont gérées en toute sécurité. Virtual WAN gère les données réseau sensibles et les informations de connexion qui doivent être protégées en transit et au repos.
Activez le chiffrement de données en transit pour toutes les connexions : configurez le chiffrement pour toutes les connexions Virtual WAN, notamment vpn de site à site, VPN point à site et ExpressRoute. Virtual WAN prend en charge différents protocoles de chiffrement et suites de chiffrement pour protéger les données à mesure qu’elles transitent par l’infrastructure réseau. Pour plus d’informations, consultez Chiffrement des données en transit.
Utilisez Azure Key Vault pour la gestion des clés de chiffrement : intégrez Virtual WAN à Azure Key Vault pour gérer de manière centralisée les clés de chiffrement, les certificats et les secrets utilisés pour les connexions VPN. Cela garantit une gestion du cycle de vie, une rotation et un contrôle d’accès appropriés pour tous les supports de chiffrement. Pour plus d’informations, consultez Gestion des clés dans Azure Key Vault.
Implémentez l’analyse des informations d’identification et le stockage sécurisé : utilisez le scanneur d’informations d’identification pour identifier les informations d’identification qui peuvent être stockées par inadvertance dans des fichiers de code ou de configuration. Déplacez toutes les informations d’identification découvertes vers des emplacements sécurisés tels qu’Azure Key Vault pour empêcher l’accès non autorisé aux ressources réseau.
Configurer des algorithmes de chiffrement fort : sélectionnez des algorithmes de chiffrement forts et des tailles de clé pour toutes les connexions VPN. Évitez les protocoles de chiffrement déconseillés ou faibles et passez régulièrement en revue les paramètres de chiffrement pour s’assurer qu’ils répondent aux normes de sécurité actuelles et aux exigences de conformité.
Journalisation et détection des menaces
La journalisation et la surveillance de Virtual WAN offrent une visibilité sur les activités réseau, l’intégrité de la connexion et les menaces de sécurité potentielles. La journalisation complète vous permet de détecter un comportement anormal, de résoudre les problèmes de connectivité et de maintenir la conformité aux exigences de sécurité.
Activez les journaux de ressources Azure pour Virtual WAN : configurez les journaux de ressources pour Virtual WAN et les ressources associées pour capturer des informations détaillées sur les activités réseau, les tentatives de connexion et les flux de trafic. Les journaux de ressources sont disponibles pour les connexions ExpressRoute et VPN et peuvent être envoyés à Log Analytics, Event Hubs ou aux comptes de stockage. Pour plus d’informations, consultez Journaux des ressources.
Configurez la collecte de journaux centralisée avec Azure Monitor : utilisez Azure Monitor pour collecter et analyser les journaux à partir de ressources Virtual WAN, notamment les journaux de connexion, l’analytique du trafic et les métriques de performances. Configurez les espaces de travail Log Analytics pour centraliser le stockage des journaux et activer la corrélation entre plusieurs composants Virtual WAN. Pour plus d’informations, consultez Monitoring Virtual WAN avec Azure Monitor.
Configurez Azure Monitor Insights pour Virtual WAN : implémentez Azure Monitor Insights pour bénéficier d’une visibilité améliorée des performances, de l’état de connectivité et de la topologie réseau virtual WAN. Cela fournit des tableaux de bord et des analyses prédéfinies spécifiquement conçus pour la supervision de Virtual WAN. Pour plus d’informations, consultez Monitor à l’aide d’Azure Monitor Insights.
Configurer des alertes pour les défaillances et anomalies de connexion : configurez des alertes Azure Monitor pour informer les administrateurs des défaillances de connexion, de la dégradation des performances ou des modèles de trafic inhabituels. Configurez les seuils appropriés et les canaux de notification pour garantir une réponse en temps opportun aux problèmes potentiels.
Gestion des ressources
La gestion des ressources pour Virtual WAN garantit que vos configurations d’infrastructure réseau sont conformes aux stratégies organisationnelles et aux normes de sécurité. La gestion appropriée des ressources permet de maintenir la cohérence entre les déploiements et d’activer la surveillance automatisée de la conformité.
Utilisez Azure Policy pour la conformité de la configuration : implémentez Azure Policy pour surveiller et appliquer des configurations Virtual WAN en fonction des normes de sécurité de votre organisation. Créez des stratégies personnalisées pour vous assurer que les paramètres de chiffrement, les méthodes d’authentification et les configurations réseau répondent aux exigences de conformité. Pour plus d’informations, consultez le support d’Azure Policy.
Implémenter la détection de dérive de configuration : Utilisez Azure Monitor pour créer des alertes lorsque des modifications de configuration se produisent sur des ressources Virtual WAN. Cela permet de détecter les modifications non autorisées et de s’assurer que les configurations de sécurité restent cohérentes au fil du temps.
Automatisez la surveillance de la conformité avec Microsoft Defender pour cloud : configurez Microsoft Defender pour cloud pour évaluer en permanence les configurations virtual WAN par rapport aux meilleures pratiques de sécurité et aux infrastructures de conformité. Utilisez les recommandations fournies pour maintenir une posture de sécurité optimale dans votre déploiement Virtual WAN.
Utilisez les effets Azure Policy pour la mise en œuvre : implémentez les effets [deny] et [deploy if not exists] d'Azure Policy pour appliquer automatiquement des configurations sécurisées sur les ressources du WAN virtuel. Cela empêche le déploiement de configurations non conformes et garantit des normes de sécurité cohérentes.
Implémenter la planification de la reprise d’activité : concevez des topologies multirégions et multi-hubs pour garantir la continuité de l’activité lors des sinistres. Envisagez d’implémenter des hubs virtuels redondants au sein des régions et entre les régions pour vous protéger contre les défaillances localisées et catastrophiques. Planifiez régulièrement les mécanismes de basculement automatisé et testez les procédures de récupération. Pour plus d’informations, consultez la conception de la récupération d’urgence pour Azure Virtual WAN.